企業AI 治理只是一場秀?三個問題見真章

每家公司都說自己在「治理 AI」,如果你問企業的高階主管:「貴公司有在治理 AI 嗎?」幾乎每一位都會給你肯定的答案。但當某個 AI 模型做出不該做的事,誰有權力叫它停下來?這不是「誰會被通知」,也不是「誰負責寫事故報告」。而是誰擁有足夠的組織地位、授權範圍,乃至於「不怕丟工作」,能夠走進會議室說出:「我們現在就把這個系統關掉。」

AI 治理是近幾年最熱門的企業議題之一。圍繞著人工智慧的治理產業正悄悄成形,各家公司也紛紛建立相關措施,例如建立目錄列管旗下的 AI 模型、導入系統為資料標記歷程、設立儀表板監控模型行為,以及組成風險委員會審查。這些政策、合規主管設置、董事會報告,表面上看起來已經大幅擴充了治理的基礎設施。

然而,若進一步叩問這些宣稱已落實治理的企業領導者:「當 AI 系統引發危害時,誰有權限真正按下停止鍵?」如果主管無言以對,那便突顯出當前 AI 治理最大的盲點:組織投入大量資源建置了「看得見」的治理工具,卻沒有建立「能行動」「能負責」的管理結構。

現有的治理工具確實對法規遵循與有效治理也至關重要,例如模型管理表則能有助掌握目前有哪些 AI 系統存在、各自的運作邏輯;風險分類框架能告訴你哪些系統需要最嚴格的審查;資料歷程(data lineage)系統則能追溯輸入資料的來源;以及數據是否乾淨可信。這些都是真實且必要的基礎設施。
但問題在於,知道系統在哪裡、知道風險有多高,並不等於在系統出錯的那一刻,有人能夠、也敢於把它關掉、啟動備用方案,或者決定任何實際減輕損害的行動。而那些名義上該負責的角色與編制,例如「首席 AI 倫理官」,或是資料治理委員會、負責任 AI 小組,往往被安排在開發團隊之外,有建議權,卻沒有決定權。當真正需要做出困難決定的時刻來臨,他們在組織裡的話語分量,通常不足以撼動一個已經準備上線的產品。

為什麼這個問題刻不容緩?

隨著歐盟的《人工智慧法案》(EU AI Act)正式生效,它要求企業拿出來的不能只是紙上作業,而是「實質有意義的治理」:包括有紀錄可查的決策過程、清晰的責任歸屬,以及在事後能明確交代「是誰、基於什麼理由,做出了這項關鍵決策」。也就是,一份政策文件或風險控管清單是遠遠不夠,主管機關要的是一個具體要負責的「人名」。

與此同時,AI 導入的速度之快,更放大了這個問題的嚴重性。現在多數大型企業在組織的各個角落,可能同時運行著數百個 AI 系統:客服、招募、內容審查、定價、防詐欺偵測,甚至是基層員工為了貪圖方便而私下導入的工具,都涵蓋其中,有許多系統甚至連高層都未必掌握全貌。
加上這些系統多半是在時間壓力下趕鴨子上架的,「治理」大多數時候被當成「以後再說」的麻煩事。然而,那個所謂的「以後」,現在已經找上門來了。

檢驗企業的 AI 治理是玩真的還是做表面的三個問題

解決之道並非要放慢導入 AI 的腳步,而是應該嚴肅看待「組織架構設計」的問題。每一個 AI 治理專案,都應該要能清楚回答以下三個問題:

  1. 誰有權限強制停止一個 AI 模型的運作?
  2. 這個人清楚知道這就是他的職責嗎?
  3. 當行使這項權力,卻與其他部門的產品藍圖(Roadmap)發生衝突時,他是否有足夠的組織層級與底氣去堅持喊卡?

工具只能告訴你系統哪裡出了錯;但只有建立清晰、獨立且握有實權的當責架構,才能確保在系統失控的那一刻,真的有人願意且敢於伸出手,勇敢按下那個「停止鍵」。如果一家公司答不出這三個問題,那麼你們擁有的就不是一套治理計畫,而只是一堆紙上作業。

能夠順利挺過未來五年 AI 監管與公眾檢視考驗的企業,不會是買了最昂貴、最複雜 AI 工具鏈的公司;而是那些紮紮實實在技術底層真正把「人的當責架構」建立起來的企業。