全球 AI 治理的五張地圖——OECD、UNESCO、NIST、EU AI Act 一次讀懂，台灣團隊該怎麼用

2026.06.16 ‧ 那個數位 AJ

全球 AI 治理的共同骨幹——人腦與電路的結合，象徵把人放在 AI 系統中心的治理哲學 — Photo by Steve A Johnson on Unsplash

過去兩年，我們花了很多力氣在比較哪個模型更聰明、哪個工具更好用。但真正決定一間公司能不能把 AI 放心地用下去的，其實不是模型，而是兩個字：治理。

而且這已經不是學術名詞了。歐盟《AI 法案》裡那些「不可接受風險」的禁止項目，早在 2025 年 2 月就已正式生效；通用型 AI 的義務 2025 年 8 月上路；大多數高風險系統的要求，2026 年 8 月就要全面適用。換句話說——倒數計時的鐘，已經在走。

問題是，現在攤在桌上的「AI 治理文件」實在太多，每一份都厚得像磚頭，彼此又好像各說各話。所以這篇文章想做一件事：把全球最具份量的五份框架，一次拆給你看，並回答最實際的那個問題——台灣的團隊，到底該拿它們來做什麼？

這五份分別是：

OECD AI 原則（2019）——一切的源頭
UNESCO 人工智慧倫理建議書（2021）——193 國的最大公約數
UNESCO 說明冊（2023）——把上面那份「講給人聽」的普及版
NIST AI 風險管理框架（AI RMF）（2023）——從原則到「明天就能做的事」
歐盟《AI 法案》（2024）——全球第一部「真的會罰錢」的 AI 法

先給你一張地圖：從「軟法」到「硬法」的光譜

讀這五份文件最容易迷路的地方，是搞不清楚它們「算不算數」。所以先建立一個座標：把它們放在一條從軟到硬的光譜上。

軟法（soft law）：沒有法律強制力，靠的是各國的政治意志與道德壓力。違反它，不會有人罰你錢，但會讓你在國際合作、供應鏈與品牌信任上失分。OECD、UNESCO、NIST 都屬於這一類。
硬法（hard law）：白紙黑字、違反就罰錢。歐盟《AI 法案》就是這一類，而且罰得比 GDPR 還重。

每次你拿到一份 AI 治理文件，先問自己四個問題，就不會被它的厚度嚇到：

誰發的？（國際組織、標準機構，還是立法者？）
有沒有強制力？（軟法還是硬法？）
它在管什麼？（價值觀、操作流程，還是法律義務？）
我該怎麼用？（拿來對齊理念、建立流程，還是盤點曝險？）

帶著這四個問題，我們一份一份看。

一、OECD AI 原則（2019）——所有框架的源頭

全名：《理事會關於人工智慧之建議》（Recommendation of the Council on Artificial Intelligence，編號 OECD/LEGAL/0449）
性質：政府間建議，不具法律強制力，但影響力極深。

OECD 在 2019 年通過的這份建議，是全球第一份由各國政府共同達成的 AI 治理標準。它最大的貢獻有兩個。

第一，它確立了「可信賴 AI（trustworthy AI）」的五大價值原則，後來幾乎所有框架都是它的變奏：

包容性成長、永續發展與福祉——AI 要對人與地球有益。
以人為本的價值與公平——尊重人權、民主與法治，保留「人為決定的能力」。
透明與可解釋——讓人知道自己正在跟 AI 互動，並能挑戰對自己不利的結果。
穩健、安全與可靠——全生命週期都要能承受誤用與攻擊，並確保可追溯性。
問責——AI 行為者要為系統運作與原則遵守負責。

第二，它寫下了一句改寫全球監理範圍的 AI 定義：「AI 系統是一種以機器為基礎的系統，能針對人類定義的目標，做出影響真實或虛擬環境的預測、建議或決策。」這個定義後來被歐盟《AI 法案》直接採用——誰掌握了「定義權」，誰就劃定了監理的邊界。

一句話記住它：一份沒有強制力的建議，卻因為凝聚了各國政治意志、被 G20 與歐盟沿用，成了全球 AI 治理的「事實標準」。OECD 並主張：把 AI 的可信賴度，當成全球市場的競爭參數，而不是合規負擔。

（補充：OECD AI 原則已於 2024 年 5 月做過一次修訂，主要更新了 AI 系統定義與資訊完整性等內容。）

二、UNESCO 人工智慧倫理建議書（2021）——193 國的最大公約數

全名：《人工智慧倫理建議書》（Recommendation on the Ethics of Artificial Intelligence）
性質：全球首份 AI 倫理的全球性標準，由 193 個會員國於 2021 年 11 月無異議通過，屬軟法。

如果說 OECD 是「俱樂部會員」的共識，UNESCO 這份就是全人類的最大公約數——它是史上第一份得到幾乎全球所有國家認可的 AI 倫理文件，以「人類尊嚴與人權」為基石。

它的結構是「四價值觀 + 十原則 + 十一個政策行動領域」。價值觀（人權與尊嚴、環境繁榮、多樣與包容、和平公正的社會）是最高理想；十原則則把它操作化，包括：比例與不傷害、安全與保安、公平與不歧視、永續、隱私與資料保護、人類監督與決定、透明與可解釋、責任與問責、覺察與素養、多方治理。

這份文件有兩個地方特別值得台灣團隊記住：

它劃出了具體紅線：在「比例與不傷害」原則中，明文禁止把 AI 用於社會評分（social scoring）與大規模監控。以建議書層級寫出這麼明確的禁區，相當罕見。
它給了可落地的工具：最具操作性的是「倫理影響評估（EIA, Ethical Impact Assessment）」——要求在 AI 上市前，先辨識並評估它對人權、勞動、環境與弱勢族群的影響；另一個是給各國政府用的「整備度評估方法論（RAM, Readiness Assessment Methodology）」，幫一個國家定位自己在 AI 治理上的成熟度。

一句話記住它：它把「以人為本」從口號，變成一份貫穿 AI 全生命週期、可以拿來自我檢核的清單，而且劃出了「什麼絕對不能做」的紅線。

三、UNESCO 說明冊（2023）——把建議書「講給人聽」

全名：The UNESCO Recommendation on the Ethics of AI: Shaping the Future of Our Societies
性質：普及型說明冊（brochure），約 11 頁，不是條文本身，而是把上面那份硬梆梆的建議書，翻譯成大眾與決策者看得懂的摘要。

為什麼要特別介紹一份「摘要」？因為它解決了一個真實的痛點：正式建議書是「每個字都經 193 國逐字協商」的法律文本，一般人根本讀不下去。這份說明冊的價值，就在於把它講成人話，並從十一個政策領域中精選了五個和每個人都切身相關的面向來展開：健康、文化、性別、教育與研究、環境與生態系。

它也點出一個很重要的治理起手式：除了 EIA，企業與機構可以設置「AI 倫理長（AI Ethics Officers）」這類角色，把倫理責任落到具體的人身上。

這份小冊子裡有幾句話，很適合貼在每個導入 AI 的團隊牆上：

「AI 倫理意味著確保我們與 AI 系統的互動不會造成傷害，而是有助於和平、人性尊嚴、永續與安全。」

「以人為本的 AI 發展，被定義為整個社會的任務，遠遠超出單純對技術的監管。」

一句話記住它：治理不是法務部門的事，是全社會、全公司的事——而要做到這件事，前提是「人人都有足夠的 AI 素養」。

四、NIST AI 風險管理框架（2023）——從原則到「明天就能做的事」

NIST 把治理拆成 GOVERN／MAP／MEASURE／MANAGE 四個可操作的環節，像一條把抽象原則落地的生產線 — Photo by Hyundai Motor Group on Unsplash

全名：《人工智慧風險管理框架 1.0》（AI Risk Management Framework, AI RMF 1.0），美國 NIST 於 2023 年 1 月發布。
性質：自願性、非監管的框架。

前面三份都在講「該追求什麼價值」，但企業最常卡住的問題是：「然後呢？我星期一進公司要做什麼？」 NIST AI RMF 就是來回答這個問題的。它不講大道理，而是把 AI 風險治理拆成四個可操作的核心功能：

GOVERN（治理）——建立貫穿全組織的政策、流程與問責文化。它不是四步驟之一，而是包覆其他三者的底盤：先有治理文化，工具才有意義。
MAP（對映）——盤點這個 AI 系統的使用情境、目的、利害關係人與潛在影響，建立脈絡。
MEASURE（衡量）——用量化與質化的方法，分析、評估、追蹤辨識出來的風險。
MANAGE（管理）——依風險優先順序分配資源、實施緩解、持續監測與回應。

對應的「可信賴 AI 七大特徵」也很實用：有效可靠、安全、保安與韌性、可問責與透明、可解釋與可詮釋、隱私強化、公平（並管理有害偏見）。

最棒的是它的配套——AI RMF Playbook。Playbook 把框架裡每一個抽象的「成果」，翻譯成「建議行動 + 該記錄哪些文件 + 可參考的資源」四件套。它明說自己不是檢核表、不必照單全收，你可以按產業與規模，只取用跟自己相關的部分。

一句話記住它：它是過程導向而非條文導向——不規定你「該裝什麼技術」，而是定義「該達成什麼風險治理成果」。這跟歐盟《AI 法案》那種「條文 + 風險等級」的監管路線，恰好是兩種互補的思路。

五、歐盟《AI 法案》（2024）——全球第一部「真的會罰錢」的 AI 法

歐盟 AI 法案以風險分級為核心，把 AI 從「全面禁止」到「幾乎不規範」分成四級管理 — Photo by Sasun Bughdaryan on Unsplash

全名：人工智慧法案（Artificial Intelligence Act，正式編號 Regulation (EU) 2024/1689）
性質：具直接法律強制力的法規，全球第一部全面性 AI 法，違反者面臨高額罰款。

前面四份是「建議」與「框架」，這一份是真正的法律。它的核心是一句話：風險越高，管得越嚴。整部法案把 AI 依風險分成四級：

不可接受風險 → 全面禁止：社會評分、操弄人類行為、利用弱勢族群脆弱性、在公共場所即時遠端生物辨識、無差別爬取人臉建資料庫、職場與校園情緒辨識等。
高風險 → 最重的義務：關鍵基礎設施、教育、就業與人事、執法、移民、司法、醫療等領域的 AI。上市前必須做到風險管理、資料治理、技術文件、人為監督、透明揭露、準確與資安。
有限風險 → 透明義務：聊天機器人要告知對方「我是 AI」；深偽（deepfake）與 AI 生成內容要加註標示。
最小風險 → 幾乎不規範：垃圾郵件過濾、AI 遊戲等絕大多數應用。

它還為 ChatGPT 這類通用型 AI（GPAI）設了專章：所有 GPAI 都要備技術文件、遵守著作權、公開訓練資料摘要；達到「系統性風險」門檻的大型模型，還要額外做模型評估、對抗測試與事件通報。

罰則比 GDPR 更重（取金額與比例的較高者）：

違反「禁止項目」：最高 3,500 萬歐元，或全球年營業額 7%。
違反其他義務（如高風險要求）：最高 1,500 萬歐元，或 3%。
提供不實資訊：最高 750 萬歐元，或 1%。

（坊間流傳的「6%」是草案舊數字，最終正式版是 7%。）

時程已經啟動，請以「月」為單位倒數：

時間	開始適用的義務
2025-02-02	不可接受風險的禁止項目、AI 素養義務
2025-08-02	通用型 AI（GPAI）義務、治理架構、罰則
2026-08-02	大多數高風險系統要求（法案主體全面適用）
2027-08-02	屬「受規範產品」的高風險 AI（最長過渡期）

最關鍵的是它的域外效力：只要你的 AI 產品或服務投放到歐盟市場，或其產出在歐盟被使用，即使公司與伺服器都在台灣，一樣受規範——這跟 GDPR 的「長臂管轄」是同一套邏輯。

一句話記住它：這是全球 AI 立法的範本（所謂「布魯塞爾效應」），而且它不是遠在天邊的未來法——禁令已生效，高風險義務 2026 年 8 月到期。台灣的出口導向企業，很難置身事外。

五份框架，一張表看懂

框架	發布者／年份	性質	核心結構	對台灣團隊最大的用處
OECD AI 原則	OECD／2019（2024 更新）	軟法・政府間建議	5 大價值原則 + 5 項政策建議	對齊國際共通語言、可信賴 AI 的起點
UNESCO 建議書	UNESCO／2021	軟法・全球標準（193 國）	4 價值 + 10 原則 + 11 政策領域 + EIA/RAM	倫理紅線與全生命週期影響評估
UNESCO 說明冊	UNESCO／2023	普及說明冊	上述的白話摘要 + 5 大社會領域	對內溝通、建立全員 AI 素養共識
NIST AI RMF	美國 NIST／2023	軟法・自願性框架	GOVERN／MAP／MEASURE／MANAGE + 7 特徵	可操作的落地手冊，建立內部流程
歐盟 AI 法案	歐盟／2024	硬法・強制法規	四級風險分類 + GPAI 專章 + 罰則	盤點曝險、出口歐盟的合規底線

它們其實在說同一件事：五份框架共享的 DNA

五份框架看似各說各話，骨子裡卻共享同一套核心——像同心圓一樣層層指向「把人放在中心」 — Photo by Zach M on Unsplash

把五份文件疊在一起看，你會發現一件讓人安心的事：它們的骨架幾乎一模一樣。反覆出現的，是同樣五件事：

以人為本（Human-centric）——AI 是來增強人、不是取代人的判斷。
透明與可解釋（Transparency）——讓人知道自己在跟 AI 互動，並能理解、挑戰結果。
問責與可追溯（Accountability）——出了事，責任永遠要能歸屬到「人」身上。
人類監督（Human oversight）——重大與生死攸關的決定，最終由人拍板。
全生命週期的風險管理——從設計、訓練到退役，風險要被持續地辨識與管理。

這代表什麼？代表你不需要為每一份框架各做一套。只要把這五件事做扎實，你就同時對齊了 OECD、UNESCO、NIST，也為歐盟《AI 法案》打好了底。

那個數位的落地觀點：台灣團隊可以照著走的四步路線圖

讀懂這五份只是第一步。我們在陪企業導入 AI 的過程中，把它們整理成一條務實的四步路線——不必一次到位，但每一步都踩得到地。

第一步：用 OECD ＋ UNESCO 對齊「價值」。
先開一場內部對話，用 OECD 五原則與 UNESCO 十原則當檢核表，問自己：我們現在用 AI 的方式，有沒有踩到紅線（社會評分、無差別監控）？有沒有保留「人最終決定」的環節？這一步幾乎零成本，卻能讓全公司對「什麼能做、什麼不能做」有共識。

第二步：用 NIST AI RMF 建立「流程」。
價值對齊後，把它變成可重複的動作。從 RMF 的 GOVERN 開始（先指定一個負責的人或小組，例如 UNESCO 說的「AI 倫理長」），再對你最關鍵的 AI 應用做一次 MAP → MEASURE → MANAGE。Playbook 的「建議行動 + 文件問句」可以直接轉成你的內部稽核清單。中小企業不用全做，先挑一兩個高影響的應用試跑。

第三步：用 EU AI Act 盤點「曝險」。
如果你的產品或服務會碰到歐盟市場或使用者，立刻做一次風險分級自評：我落在哪一級？是不是高風險？GPAI 義務跟我有沒有關係？對照前面那張時程表，把合規準備排進專案時程——記得，禁令已經生效了。

第四步：用 UNESCO 說明冊把「AI 素養」變成全員任務。
治理不是法務或資訊部門關起門來做的事。最關鍵、也最容易被跳過的一步，是讓每一位同仁都具備基本的 AI 素養——知道 AI 會幻覺、知道哪些資料不能餵、知道什麼時候該讓人介入。這正是那個數位最在意的一件事：真正稀缺的從來不是 AI 生成的內容，而是人的判斷力。 治理框架再完整，最後守住那道關的，還是有素養、肯負責的人。

結語：還有工作要做

這五份框架，從沒有強制力的 OECD 建議，到罰你全球營業額 7% 的歐盟法案，看起來是一條從「呼籲」到「強制」的光譜。但它們指向的，其實是同一個簡單的信念——讓 AI 服務於人，而不是反過來。

正如 UNESCO 那本說明冊的結語所說：

「還有工作要做！所有 AI 參與者……都應把握這個機會，共同打造確保 AI 倫理且以人為本的系統。」

對台灣的團隊來說，好消息是：你不必等政府立完法、也不必把五份磚頭全部讀完，才開始動手。今天就可以用 OECD ＋ UNESCO 對齊價值、用 NIST 建立流程、用 EU AI Act 盤點曝險、用 AI 素養守住最後一道關。

把 AI 用得強，是這個時代的入場券；把 AI 用得讓人放心，才是真正的競爭力。

五份原始文件，自己讀一手

OECD AI 原則建議書（英文 PDF）：https://www.fsmb.org/siteassets/artificial-intelligence/pdfs/oecd-recommendation-on-ai-en.pdf
UNESCO 人工智慧倫理建議書（完整建議書）：https://unesdoc.unesco.org/ark:/48223/pf0000380455
NIST AI 風險管理框架 Playbook（完整 PDF）：https://airc.nist.gov/docs/AI_RMF_Playbook.pdf
歐盟《AI 法案》（Regulation (EU) 2024/1689，官方入口）：https://artificialintelligenceact.eu/the-act/
UNESCO 說明冊《Ethics of AI: Shaping the Future of Our Societies》（IRCAI 官方鏡像 PDF）：https://ircai.org/wp-content/uploads/2023/07/Recommendation_brochure_A5_web_doublepage.pdf

＊本文整理之數字、年份與條文重點，均以上述五份官方文件為準。各框架之中文名詞為依台灣慣用語翻譯，部分文件目前尚無官方繁體中文正式譯本，引用法律條文時建議再以官方來源核對。

想把這些方法帶進你的團隊？

無論是一場主題講座，或完整的 AI 導入規劃，歡迎與我們聊聊你的需求。

預約課程洽詢