治理 / 提案
In preparation

產品上線之後,治理才真正開始。

一份以產品部署版本為治理單位的生命週期提案。把醫材與航空的成熟核准邏輯,延伸到 GenAI 與 Agent 產品層。狀態:concept paper 撰寫中,規劃以 Zenodo 存證取得 DOI。

01
制度空隙

三層之間的空位

組織層有 ISO/IEC 42001,模型層有各 AI 實驗室的能力門檻框架,法規層有 EU AI Act 合格評定。經 45 條事實主張反向查核,目前查無以個別 GenAI 或 Agent 產品部署組態為單位的治理機制。

02
一個架構

治理生命週期循環十節點

01 基本原則
不可突破的第一層規範,先於任何產品存在。
02 候選部署版本
組態凍結的版本出現,成為治理掛鉤時點。
03 產品風險分類
以風險分級決定審查強度,高風險才進入完整流程。
04 產品特定規範
依真實能力、用途、部署情境與使用者群體生成。
05 第三方驗證
分階段成熟度:先文件審查與設計檢核,後量測協定。
06 核准部署
核准者、核准依據、異議紀錄入治理紀錄。
07 持續監測
上市後監測,含使用者端認知風險指標。
08 更新分級與再驗證
依五級分級判定,重大以上觸發再驗證與再核准。
09 事故回報
事故連結回版本與核准紀錄。
10 規範修正與回饋
修正後再部署,或撤照。
03
三個增量

查證後可主張的三個增量

Increment 1

候選部署版本

以組態凍結的版本作為監管掛鉤時點。凍結邊界六要素:基座模型與微調權重、系統提示與人格設定、工具調用權限、RAG 資料源、記憶機制配置、互動優化目標。

Increment 2

五級更新分級

從低風險更新到緊急安全修補的五級制度,涵蓋 AI 原生變更類型:記憶機制、人格設定、互動優化目標的變更列為高風險觸發。

Increment 3

認知風險入循環

把使用者端認知與語境風險接入強制治理循環:部署前審查面向、更新觸發條件、上市後監測指標。

04
異議紀錄

一個小而硬的原創點

誰核准、依據什麼核准、誰提出異議、事故連回哪個版本。

現行框架的可追溯性停留在技術層與文件層。治理決策層的可追溯性沒有任何框架要求,異議紀錄在查證過的框架中均無對應物。

05
兩層規範

規範生成時點的重排

第一層
不可突破的基本原則,先於任何產品存在。
第二層
產品特定規範,在候選部署版本出現後、能力可觀察時才生成。

分層本身有先例。有價值的是把第二層的生成時點延後到能力可觀察之後,回應預先立法趕不上能力演進的實務痛點。

06
引用紀律

站在誰的肩膀上

可追溯性作為問責前提,已由 Kroll(FAccT 2021)定式化。本提案在此前提上做的是制度設計。

07
與 USCP 的關係

上游與下游

USCP 描述使用者端風險,在上游。本提案設計制度回應,在下游。兩者互相引用,不混寫成同一件事。

08
查證背書

這份提案怎麼被查證

一手來源
9 個框架群的官方一手來源研究。
反向查核
45 條關鍵事實主張逐條反向查核:34 條確認、11 條修正、0 條駁斥。
新穎性判定
3 個獨立視角:標準認證、學術審查、政策實務。
09
狀態

現在進行到哪裡

Concept paper 撰寫中,規劃以 Zenodo 存證取得 DOI。本頁內容屬提案性質,尚未定稿。

開始

對這份提案有意見或想合作,從聯絡頁開始。

前往聯絡