今天是 2025 年 12 月 29 日,Blue Monday。歡迎來到楊老師的 AI365!一開始我先跟大家講一個插曲喔!楊老師的太太是一個行動力很強的女人捏,因為看到家裡有幾個地方的牆壁油漆有剝落,就自己去蝦皮買一些刮除油漆的東西,還買了一公升的立邦油漆,今天晚上拿到貨了,我本能的說,天氣晚了,等到假日再來施工。沒想到這個女子直接挽起袖子,敲開油漆罐就拿起刷子開始動工,看得我很不好意思,只好一起夫妻同心其力斷金起來,前前後後花了大概快一個小時,我才脫身來寫稿子錄音。你看看,我家的老婆是不是很強啊?
好啦,言歸正傳啦,最近大家有沒有一直聽到什麼「AI資料治理」(AI Data Governance) 啊?嘿係蝦米東西啊?楊老師今天要來跟大家把他講清楚喔,這對於一家公司的經營非常關鍵,請各位老闆仔細聽喔!
話說,在 2025 年上半年,大家在談 AI,多半是在講「好不好用」、「能省多少時間」、「能不能取代人力」這些效率問題。但是時間來到 2025 年下半年,風向開始明顯轉變了喔,越來越多 AI 相關的新聞,重點不再是模型本身,而是資料到底怎麼被用、誰允許的、出了事誰要負責。這個轉變,讓「AI 資料治理」從一個看似抽象的名詞,變成一條實際存在、不能踩過去的紅線了喔。所謂的 AI 資料治理(AI Data Governance)指的不是演算法優化,也不是模型參數,而是一整套關於資料的秩序:資料是否被合法蒐集、是否只用在原本同意的用途、是否被妥善保存、是否可能跨境流動,以及當外界質疑或事故發生時,組織能不能清楚交代資料的流向與責任歸屬。現在到了 2025 年底了,AI 資料治理的話題之所以變得越來越重要,是因為這些問題開始直接影響 AI 服務會不會被禁用、平台會不會被下架、企業會不會被裁罰。
有在關心全球 AI 法令的朋友一定知道,2025 年 7 月至 9 月之間,歐盟正式啟動 AI 違規舉報與調查機制,也就是說, AI 資料治理已經開始進入「可以被執法」階段了。隨著歐盟人工智慧法案進入實際落地準備期,歐盟不再只停留在原則宣示,而是開始建立具體的舉報、調查與責任追究管道。監管單位關注的焦點,並不是模型有多先進,而是訓練資料來源是否合法、資料品質是否足以支撐決策、是否具備資料血緣與可追溯性。這就表示説,只要 AI 系統被質疑造成偏誤、歧視或風險,你企業第一個要交代的,就不再是技術細節了喔,而是三件事「這些資料是誰給你的、誰批准你使用的、有沒有留有完整紀錄」。在這個時間點,AI 資料治理正式從「建議你要注意」升級為「你不注意,我要告你」的層級了喔。
2025 年 10 月,英國大型外包服務公司 Capita 因為 2023 年被駭客偷走六百六十萬人的個人資訊,包括退休金紀錄、員工紀錄,所以被資料保護機構裁罰 1400 萬英鎊,也就是台幣 5 億 6,000 萬的天文數字,成為資料治理失效的經典案例。監管單位在裁決中明確指出,問題不只是單一資安事故,而是企業長期在資料存取控管、風險評估與內部治理流程上系統性失效。如果一間企業連基本的資料治理都做不好,一旦再把這些資料接上 AI 系統,用來分析、預測或決策,風險只會被放大。這也讓許多企業開始意識到,AI 的導入不只是一個技術專案,而是考驗著公司對資料治理的能力。
2025 年 2 月,大家還記得嗎?那時候大家很瘋狂的討論 DeepSeek,台灣官方公開警告大家「最好不要使用 DeepSeek」,公部門則是直接禁止使用 DeepSeek,我想,這就是一個非常典型的 AI 資料治理風險案例。因為相關單位指出,中國杭州深度求索公司的 DeepSeek 在資料蒐集範圍、使用者輸入內容是否被再利用、資料是否跨境傳輸、以及在台灣法律框架下是否具備可稽核性等問題上,缺乏足夠的透明度。對政府而言,只要無法確認資料「從哪來、往哪去、怎麼用」,就無法承擔風險,尤其 DeepSeek 在中國,當中國政府提出要求,深度求索公司便有法律義務要將用戶資料提供給政府」。這這樣不就表示在該公司資料治理的部分,給我們很大的風險跟疑慮,所以,能不用就不要用。
時間來到前幾週,也就是 2025 年 12 月,台灣再對小紅書祭出一個懲罰動作,停止做DNS解析,也限制用戶對他連線,這也同樣可以從資料治理角度來理解。在表面上,大家可能會聽媒體說,這是因詐騙與資安疑慮而採取的行政處分,但你進一步看,關鍵是在於這個小紅書平台是否具備足夠的資料管理與司法配合能力。正如台灣的主管機關所說,小紅書涉及了大量的詐騙案件,而且在資料保存、調閱與配合偵查上存在重大缺口,沒有辦法有效地支援台灣司法的需求。當一個平台無法清楚交代用戶資料如何被管理、如何被保護、以及在必要時如何配合法律程序時,就會被認定為整體資料治理能力不足。這個案例提醒大家,資料治理不只存在於 AI 訓練資料,也存在於平台如何管理數百萬使用者的資料與行為,只要治理失靈,平台本身就可能被視為系統性風險。
把 2025 年這些事件依時間順序放在一起看,會發現這些並不是一些零星的個案喔,而是一條非常清楚的趨勢線。從歐盟啟動 AI 執法準備、英國的 Capita 因資料治理失效遭重罰,到台灣示警高風險 AI 工具、下架治理能力不足的平台,背後指向的都是同一件事:資料在被 AI 或數位系統使用之前,就必須被妥善治理,否則後果將不再只是技術風險,而是法律、信任與責任問題。
所以,我們企業到底該怎麼去做到 AI資料治理呢?楊老師建議可以朝以下幾個方向:
- 企業應制定明確的 AI 策略,以確保 AI 應用符合法規並有效管理風險。
- 企業需要了解 AI 的機會與限制,確保安全和隱私,並避免潛在風險。
- 針對 AI 應用,企業需要有策略並進行風險評估。
- 資料治理與風險管理是 AI 治理的關鍵。企業應建立數據管理策略,定義數據標準,確保數據品質。
- 企業應建立數據治理委員會,制定政策並監督執行。
- 企業應確保 AI 模型的安全性和合規性。
這樣子有了解了嗎?希望今天的主題對於公司在 AI 的推動有具體的幫助,楊老師AI365會持續帶著大家按部就班的前進,一點一滴每天進步一點,迎向更美麗的明天。我們明天再見了!
