AI 合規指南 2026:歐盟 AI Act 與台灣 AI 基本法對中小企業的實戰影響
TL;DR:歐盟 AI Act 的高風險與透明度條款於 2026 年 8 月 2 日全面生效,違規最高罰至全球年營業額 7%。台灣 AI 基本法則以「風險分級 + 標示義務 + 資料治理」三支柱為核心,預計 2026 年內完成立法。中小企業要做的不是恐慌,而是先盤點「有沒有用 AI」、「用在哪裡」、「資料從哪來」,再對照三件事:標示、紀錄、人為審查。
為什麼 2026 年是 AI 合規的轉折點?
2026 年是全球 AI 治理從「原則」走向「強制」的分水嶺。歐盟 AI Act 自 2024 年 8 月 1 日生效後採分階段實施:禁止性條款 2025 年 2 月生效、通用 AI 模型(GPAI)義務 2025 年 8 月生效、高風險 AI 系統與大多數透明度條款於 2026 年 8 月 2 日全面適用。
對中小企業而言,這代表三個立即影響:
- 客戶會問:歐盟客戶開始要求台灣供應商提供 AI 使用揭露
- 平台會限:Microsoft、Google、AWS 等雲端平台會把合規義務「下推」給使用者
- 罰責不輕:嚴重違規最高罰款達全球年營業額的 7% 或 3,500 萬歐元(取較高者)
台灣方面,國科會於 2024 年提出《人工智慧基本法》草案,2025 年立法院持續審議中,預計 2026 年內三讀通過。雖然細則仍在討論,但「風險分級、透明標示、資料治理」三大原則已成共識。
歐盟 AI Act 的四級風險分類是什麼?
EU AI Act 採「風險導向」立法,把 AI 系統分為四級,每級義務不同。中小企業最常碰到的是後兩級。
| 風險等級 | 範例 | 中小企業義務 |
|---|---|---|
| 不可接受風險(禁止) | 社交評分、即時生物辨識監控、操縱人類行為的系統 | 完全禁止使用 |
| 高風險 | 招聘篩選 AI、信用評分、醫療診斷、教育評量 | 風險評估、技術文件、人為監督、資料品質紀錄 |
| 有限風險(透明度) | 聊天機器人、deepfake、生成式 AI 內容 | 須揭露「正在與 AI 互動」、AI 生成內容須標示 |
| 最低風險 | 垃圾郵件過濾、推薦演算法、AI 寫作助手 | 自願遵守行為準則 |
根據歐盟執委會(2025)統計,超過 85% 的企業 AI 應用屬於「最低風險」或「有限風險」,但**「揭露義務」幾乎所有企業都會踩到**。例如使用 LINE Bot 客服、AI 撰寫的部落格內容、AI 生成的行銷圖片,都觸發透明度義務。
中小企業最容易踩的三個合規地雷
地雷一:使用 AI 客服未明確揭露
只要客戶可能誤以為自己在跟「真人」對話,就必須清楚揭露。例如 LINE Bot 客服在對話開頭應聲明「您正與 AI 助理互動」,或在自動回覆中標示「此訊息由 AI 自動生成」。
根據 IDC(2026)調查,亞洲有 62% 的企業 LINE/WhatsApp 客服機器人未提供明確的 AI 揭露,這在 2026 年 8 月後將直接違反 EU AI Act 第 50 條。
地雷二:AI 生成內容未標示
EU AI Act 要求所有 AI 生成或修改的圖片、影片、音訊、深度偽造內容必須機器可讀地標示為「AI 生成」。這影響:
- 用 Midjourney/DALL-E 生成的行銷圖
- 用 ElevenLabs 生成的 AI 配音
- 用 Sora 或 Runway 生成的 AI 影片
- 用 ChatGPT 生成的部落格文章(在「公共利益議題」上)
地雷三:用 AI 篩選履歷或評估員工
招聘 AI 篩選系統在 EU AI Act 中明確列為「高風險」(附件 III)。即使中小企業使用 LinkedIn Recruiter、Indeed 的 AI 篩選功能,也須確保:
- 應徵者被告知 AI 介入決策
- 保留可追溯的決策紀錄至少 6 個月
- 提供人為複核的機制
- 不可單獨依賴 AI 做最終錄用決定
台灣 AI 基本法的三大支柱
台灣《人工智慧基本法》草案以「風險分級 + 標示義務 + 資料治理」為核心,與 EU AI Act 大方向一致,但更強調「中小企業友善」。
支柱一:風險分級
採「重要 AI 系統」概念,鎖定金融、醫療、教育、公共服務等領域的高影響應用,要求事前風險評估與事後可追溯紀錄。一般商業 AI 應用(如 CRM 智慧推薦、ERP 庫存預測)原則上歸類為一般風險,義務較輕。
支柱二:標示義務
要求 AI 生成內容須清楚標示,並設置「公平合理的人為介入機制」。這部分與 EU AI Act 的透明度條款高度重疊。
支柱三:資料治理
強調個資保護法的延伸應用——使用 AI 前須評估資料來源合法性、用途相符性、與第三方分享風險。這對使用 ChatGPT、Claude 等海外 AI 服務的企業尤為重要。
中小企業七步合規行動清單
Step 1:盤點 AI 使用現況
列出公司目前使用的所有 AI 工具與場景,包含:
- 客服系統(LINE Bot、WhatsApp Bot、網站聊天機器人)
- 行銷工具(AI 圖像生成、AI 文案、AI 影片)
- 業務系統(CRM 推薦引擎、ERP 預測模型、自動報價)
- 員工日常(ChatGPT、Claude、Copilot 等)
- 招聘工具(履歷篩選、面試錄影分析)
Step 2:對照風險分級
針對每個 AI 應用,判斷屬於哪一級風險。多數中小企業的應用會集中在「最低風險」與「有限風險」,但要特別留意:招聘、信用評估、保險定價屬於高風險。
Step 3:建立透明標示機制
- 客服機器人:對話開頭加上 AI 揭露句
- AI 生成內容:在文末標註「本文由 AI 協助生成」
- AI 圖片/影片:使用 C2PA 標準的元資料嵌入
Step 4:保留決策紀錄
特別針對高風險或「半自動」決策(如 AI 推薦折扣、AI 分配優先順序),保留三類紀錄:
- 輸入資料快照
- AI 模型版本與參數
- 最終決策結果與人為複核紀錄
DanLee CRM 與 Dinkoko ERP 等系統可內建決策日誌(audit log)功能,自動記錄 AI 介入的所有業務決策。
Step 5:設置人為審查節點
對「不可逆」或「影響重大」的 AI 決策(解雇、信用拒絕、價格大幅調整),務必設置人類最終決定權。系統設計上要讓人類「真的能介入」,而不只是按下「同意」按鈕。
Step 6:審視資料供應鏈
- 訓練資料來源是否合法?
- 個資處理是否符合 GDPR / 個資法?
- 跨境資料傳輸是否有合法基礎?
- 與 AI 服務商的合約是否包含資料保護條款?
Step 7:建立簡易治理文件
不需要厚厚一本文件,建議三份就夠:
- AI 使用清單(記錄用了哪些工具、用在哪)
- AI 風險評估表(每個應用的風險等級與防護措施)
- AI 事件處理 SOP(出狀況時誰負責、怎麼通報)
實戰案例:30 人貿易公司的合規導入經驗
背景:某中型出口貿易公司,主要客戶在歐盟,員工 30 人。2025 年下半年開始為 2026 年 EU AI Act 做準備。
盤點結果:
- 使用 LINE Bot 自動回覆客戶詢價(有限風險,需加 AI 揭露)
- 使用 ChatGPT 撰寫產品說明(有限風險,需內容標示)
- CRM 內建 AI 推薦續購商品給客戶(最低風險,自願遵守)
- 沒有招聘 AI、沒有信用評估 AI(高風險全部排除)
改造行動:
- 在 LINE Bot 開場語加上「您正與 AI 助理對話,複雜問題我會轉給專員」
- 產品說明頁面加上「部分內容由 AI 協助撰寫並經人工校閱」
- 使用 DanLee CRM 開啟 AI 決策日誌,記錄推薦商品的依據
- 建立 4 頁的內部 AI 治理手冊
成效:
- 通過歐盟客戶的 AI 合規問卷審查,續約金額 +120 萬歐元
- 內部員工對 AI 工具的使用更謹慎,減少敏感資料外洩風險
- 整體導入成本約 8 萬台幣(顧問費 + 系統設定)
EU AI Act 與台灣 AI 基本法重點比較
| 項目 | EU AI Act | 台灣 AI 基本法(草案) |
|---|---|---|
| 立法形式 | 直接適用的法規 | 原則性基本法 + 各部會細則 |
| 全面生效 | 2026 年 8 月 2 日 | 預計 2026 年內三讀 |
| 風險分級 | 四級(禁止/高/有限/最低) | 重要 AI 系統 vs 一般 AI |
| 罰款上限 | 全球年營業額 7% 或 3,500 萬歐元 | 行政罰鍰,金額待定 |
| 透明度義務 | 必須揭露 AI 互動與 AI 生成內容 | 標示義務(細節由主管機關訂定) |
| 通用模型(GPAI)義務 | 詳細規範(技術文件、版權政策) | 暫無明文,預期由細則處理 |
| 適用範圍 | 在歐盟提供或使用 AI 的任何企業 | 在台灣境內或對台灣人民提供服務的企業 |
FAQ 常見問題
我的公司在台灣,沒有歐盟客戶,需要管 EU AI Act 嗎?
如果你完全沒有歐盟客戶、不對歐盟提供服務、AI 系統的輸出也不會在歐盟使用,理論上不適用 EU AI Act。但只要有歐盟客戶或經銷商,AI Act 就有「域外效力」。建議即使目前沒有歐盟業務,也採用相同標準,因為台灣 AI 基本法的方向高度相似。
用 ChatGPT 寫部落格需要標示嗎?
EU AI Act 要求「公共利益議題」的 AI 文字內容須揭露,但商業性質的部落格、產品說明、內部文件不在強制範圍。實務上建議:在「政治、健康、法律、新聞」相關文章標示,一般行銷文章可不標示。台灣方面,標示細則尚未公布,採保守做法較安全。
違規會罰多少?中小企業會被盯上嗎?
EU AI Act 罰款分三級:禁止性條款違規最高罰 3,500 萬歐元或全球營業額 7%;其他義務違規最高罰 1,500 萬歐元或 3%;提供不實資訊最高罰 750 萬歐元或 1%。實務上監管機構優先針對重大違規與系統性問題,中小企業若展現「合理努力」(有書面政策、有紀錄),即使未盡完善也較不易重罰。
我們已經在用 ISO 27001,這夠嗎?
ISO 27001 偏重資訊安全管理,不直接等同 AI 合規。但 ISO 27001 的風險評估與紀錄保留實務可以延伸到 AI 治理,省下大量重複工作。2025 年發布的 ISO/IEC 42001(AI 管理系統標準)才是直接對應 AI 合規的國際標準,建議有歐盟客戶的企業考慮認證。
DanLee CRM 與 Dinkoko ERP 如何協助合規?
兩個系統內建符合 EU AI Act 與個資法要求的功能:完整的 AI 決策日誌、可追溯的資料處理紀錄、客戶資料分級權限、一鍵匯出個資的權利請求支援。對中小企業而言,使用合規友善的系統,可以省去自行建置稽核機制的成本。
結語:合規不是負擔,是商業信任的入場券
2026 年起,AI 合規不再是「大企業才需要做的事」。歐盟客戶的 AI 揭露問卷、台灣即將上路的 AI 基本法、雲端平台的合規下推——三股力量會把合規義務帶到每一家中小企業面前。
好消息是:合規的核心不是技術而是流程——盤點、揭露、紀錄、審查。中小企業反而比大公司更容易建立輕量但有效的治理框架,把合規變成競爭優勢而非沉重負擔。
最後更新日期:2026-04-21
準備好開始建立你的 AI 合規框架了嗎?
ACTGSYS 藍圖思維團隊熟悉 EU AI Act 與台灣 AI 基本法要求,可協助中小企業:
- AI 使用現況盤點與風險分級
- DanLee CRM、Dinkoko ERP 的合規設定與決策日誌啟用
- 制定 AI 使用政策與標示機制
- 配合歐盟客戶的 AI 合規問卷審查
👉 預約免費合規諮詢,讓 AI 合規成為你打開國際市場的通行證。
相關文章
可組合式 CRM 完整指南:2026 年中小企業為何拋棄大一統套件,改用模組化架構
深入解析可組合式 CRM 架構如何讓中小企業靈活選配功能模組,降低 40% 導入成本。含 Salesforce、HubSpot 與 DanLee 比較表、5 步導入流程與成功案例。
2025 中小企業 AI 自動化採用現況:68% 已每日使用 AI 工具
最新調查顯示 68% 中小企業已每日使用 AI 自動化工具,季增長 23%。深入分析 SMB 導入 AI 的熱門應用場景、預算分配、成功關鍵因素,以及台灣中小企業的 AI 採用策略。
AI 員工體驗與智慧辦公完整指南:2026 年中小企業如何打造高效數位工作環境
深度解析 AI 如何革新員工日常工作體驗,從智慧排程、自動化行政流程到 AI 會議助手,幫助中小企業提升 35% 員工生產力與滿意度。