AI 合規不是配件，設計時就要埋好追溯鈎子

《人工智慧基本法》三讀通過，讓我們不得不把 AI 追溯設計搬到開發前端，從 Watermark 到 Audit Trail，這真的不是選項而是必備。

立法院剛通過《人工智慧基本法》，開發者的第一感受是什麼？

有看到新聞裡那句「國科會掛牌主管機關」嗎？我第一反應是：這玩意兒直接把我們的技術債翻出來了。以前只要客戶說『串個 ChatGPT 好不好』，我們忙著算 Token、看回應速度；現在必須先問自己『這個功能算不算高風險』，如果是，UI/UX 甚至後端流程都要大改。

這種感覺跟我去年跟同事聊英國 AI 保證指引時的驚訝差不多——那份指引直接把『問責』寫進了設計流程。英國的 AI 保證指引說得很清楚：從需求、開發到部署，都得留痕。

我一直在想，為什麼我們過去把「責任」當成後補？其實這跟我們的開發文化有關，大家習慣先跑出 MVP，再去想合規。結果一旦法規敲門，補救成本就像在已經跑滿的火車上裝新車廂——不僅費時還會影響整體彈性。

根據 EU AI Act 的要求，EU AI Act 也把 Audit Trail、風險管理寫進了全生命週期。如果我們一開始就把「誰在什麼條件下用了哪個 Prompt」寫進資料模型，之後再面對任何審查，都只是一個查表的動作，而不是全盤重構。

我的觀點是：真正的分水嶺不在模型多強，而在於系統是否在設計階段就承認 AI 只能是輔助，不能把責任全推給機器。

以下是我最近在幾個專案裡試過的幾個小技巧，感覺還算實用：

Watermarking：不只是把文字寫在圖檔的 metadata，還要在 UI 上加個不可移除的浮水印。這樣即使用戶把檔案剪貼，來源仍可追溯。
Human‑in‑the‑loop：在金融或個資相關的決策點，加入一個「審核」按鈕，讓人工介入。這不算阻礙自動化，反而是合規的保險。
Audit Trail：記錄每一次 AI 輸出時的 Prompt 版本、Context 參數與信心分數。我的團隊現在把這些 log 存到 Immutable Log Service，遇到爭議時直接抽出時間線。

如果系統當初沒留這些 Hook，現在補上去的成本往往是原本開發時間的兩倍以上。這不是說我們要變成合規顧問，而是把合規當成產品功能的一部份。