歐盟啟動《重大 AI 事故通報指引》草案公開徵詢,未來將協調 NIS2、DORA、GDPR 等通報流程以避免重複申報
主筆者:夏慧馨
歐盟執委會於今(2025)年9月26日起發布《重大AI事故通報指引》草案(Draft Guidance Article 73 AI Act-Incident Reporting (High Risk AI Systems)(以下簡稱本指引草案),指引說明《人工智慧法》(EU/2024/1689,AI Act)第73條中要求高風險AI系統(high-risk AI systems)供應商於系統使用所引發重大事故時之通報義務、適用情境以及與既有法定通報流程之協調與整合原則,徵詢利害關係人意見。
一、背景概述
根據歐盟《人工智慧法》第73條要求,高風險 AI 系統供應商須向會員國之國家市場監理機關通報嚴重事故,且規範事故通報之後續流程,包括啟動調查與執行改善措施。本指引草案嘗試銜接經濟合作暨發展組織(OECD)的AI監管與通報框架以及既有法規範之通報要求,並明確區隔通用型人工智慧(general- purpose AI, GPAI)與高風險AI系統重大事故通報義務;GPAI之重大事故通報義務適用於今年8月甫通過之《通用人工智慧行為準則》(General-Purpose AI Code of Practice)。
二、指引內容
本指引草案說明重大事故(serious incident)之定義與適用情形、事件發生之因果關係(causation)認定以及其導致的損害樣態,並分別提出相對應的情境例證。其次,逐項列舉包含AI系統供應商在內關於系統部署者、市場監理機關等利害關係人之法定義務。最後,列舉可與《人工智慧法》所涉之AI系統相關法律與指令規範相互勾稽,提供AI供應商參酌。
(一)解釋何謂「重大事故」與其適用情形
由AI系統引發的事故或故障(malfunctions),其「直接或間接」導致下列任一種情形,可被視為「重大事故」:包括造成人身安全、關鍵基礎設施嚴重不可逆之損害或干擾、侵犯歐盟法律保障之權利義務、對財產或環境之嚴重損害。具體而言,發生事故或系統故障之情況包括AI系統進行「錯誤分類」、「準確率顯著下降」、「暫時的系統停機」以及「無預期的系統行為」等。
考量AI系統之因果關係不顯著,恐導致「間接」損害之可能性,本指引草案提供較明確之使用情境說明,例如從業人員基於醫療影像診斷系統、信用評等系統、履歷判讀系統提供之錯誤評估與分析,進而做出不平等、歧視或錯誤決策產生重大損害,且已排除系統使用者自身之錯誤者,可歸類為重大事故通報範疇。
(二)列舉利害關係人之法定義務
原則上,高風險AI系統供應商於得知重大事故發生時最遲須於15天內依正式的通報模版完成通報,情節嚴重如損及關鍵基礎設施或廣泛侵權(widespread infringement)之行為者最遲不得超過2天;若有人員死亡須立即通報,最遲不得超過10天。通報程序上考量時效性,允許先行提交初步報告;通報者最遲須於24小時內與主管機關合作展開調查,調查期間禁止變更AI系統。若系統部署者發現重大事故,應於24小時內向供應商、進口商或分銷商以及市場監理機關通報;市場監理機關須於收到重大事件通報7天內採取適當處置。
(三)說明與既有法規範之相互關聯(interplay)
原則上,高風險AI系統若已屬於歐盟相關法規範通報義務之適用範圍,除涉及「侵犯基本權利(fundamental rights)」之條件需依《人工智慧法》通報之外,其餘事故類型將依既有法定程序通報。舉例而言,關鍵基礎設施之AI系統因故障導致服務中斷,須遵循《關鍵實體韌性指引指令》(Directive(EU) 2022/2557, Critical Entities Resilience , CER)與《網路與資訊安全指令》(Directive(EU) 2022/2555, Network and Information Security Directive, NIS2 Directive)規範進行通報;《數位營運韌性法案》(Digital Operation Resilience Act, DORA)規範金融機構之資安重大事故通報;作為醫療器材或醫療器材元件之AI系統則須遵循《醫療器材規則》(Regulation(EU) 2017/745 of the European Parliament and of the Council on Medical Device Regulation, MDR)與《體外診斷醫療器材規則》(Regulation(EU) 2017/746 of the European Parliament and of the Council on in vitro Diagnostic Medical Devices Regulation, IVDR)進行通報。關於個人資料重大事故通報規範涉及《一般資料保護規則》(General Data Personal Regulation, GDPR)在內與前述多項指令或規則,後續將由執委會後續說明《人工智慧法》、各部門立法與跨領域立法之事故通報義務規範之相互關聯性。
三、綜合分析
本指引草案反映針對高風險AI系統與GPAIS兩個不同的風險治理原則。高風險 AI 系統之通報機制是基於使用者權利保障,針對已投入應用市場之系統進行事後監管機制;GPAI 系統之重大事件通報則是進行GPAI模型生命週期中產生的系統性風險管理,是以,反映在兩部指引於重大事故發生時所需通報對象、與通報時限之差異。其中在通報時限上主要基於「事故類型」和「嚴重程度」而異,例如,在《通用人工智慧行為準則》特別規範「網路資安與模型權重洩露」之通報時限;《高風險AI重大事故通報指引草案》特別規範「廣泛侵權」之通報時限;涉及人身安全或關鍵基礎設施損害等共通性的危害情形,兩類系統均設定相同的最遲通報期限。
此外,本指引草案亦嘗試釐清 NIS2、DORA、GDPR、MDR/IVDR 等既有法規範事故通報制度之適用範圍,若該 AI 系統已受部門法規管理,《人工智慧法》僅補充涉及基本權利侵害之回覆,以避免重複申報,亦確保人工智慧治理框架與現行網路安全、產業法制不會產生扞格。本指引草案之公開意見徵詢至同年11月7日止,後續委員會將再行公布相關法規通報程序之協調與整合情形。
關鍵字:AI Act、EU、High-Risk AI systems, Incident Reporting
資料來源:
- EC, Draft Guidance Article 73 AI Act-Incident Reporting (High-Risk AI System), https://digital-strategy.ec.europa.eu/en/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks
- EC, AI Act: Commission issues draft guidance and reporting template on serious AI incidents, and seeks stakeholders' feedback, Sep.26, 2025, https://digital-strategy.ec.europa.eu/en/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks