編按:AI深偽來襲,企業治理成關鍵防線。當視訊與聲音皆可被偽造,企業面臨的不只是詐騙,而是內控與責任風險。如何建立有效制度、避免決策失誤,成為企業當前最迫切的課題。
深夜11點,一通視訊電話,足以讓一家公司在一夜之間失血數千萬。螢幕上,是董事長熟悉的臉與聲音;背景是國外機場的嘈雜,他壓低語氣:「併購案臨時出狀況,先匯款,動作要快。」財務主管沒有多想,依指示完成匯款。隔天,董事長走進辦公室,一切如常。昨夜那通電話,從未存在。
這不是電影橋段,而是AI深偽(Deepfake)正在企業現場真實發生的風險。
身為長年處理刑事與商業糾紛的法律人,我必須直言:AI深偽,不只是科技問題,而是企業治理的分水嶺。
當「人格」成為可複製資產:法律的結構性壓力
在傳統法律架構中,「人」是權利與義務的起點。然而,當聲音、影像與表情可以被高度擬真地重建,法律面對的,已不只是新型犯罪,而是「可識別性」本身正在被技術重寫。
(一)人格權與個資法:從保護「人」到保護「可識別性」
依我國法制,得以直接或間接識別特定個人的資訊,即可能構成個人資料。聲音樣本、臉部特徵、影像素材,若足以識別個人,原則上,均受《個人資料保護法》規範。換句話說,若未具合法依據(如同意或其他法定事由),即蒐集、處理或利用這些資料進行AI生成,可能構成違法。在民事責任上,若因深偽內容侵害個人名譽、信用或社會評價,亦可能構成對人格權(包括肖像權)的侵害,產生非財產上損害賠償(精神慰撫金)之責任。
當然必須一再強調,法律並未禁止AI,但正在重新劃定「可以做到」與「可以使用」之間的界線。
(二)刑事責任:法條存在,但追訴困難
現行AI詐騙,核心仍落在《刑法》第339條詐欺罪;若涉及組織化、分工明確或利用科技手段提高犯罪效果,實務上多依第339條之4(加重詐欺)處理。然而,企業真正要面對的問題不是「有沒有罪」,而是「抓不抓得到人、錢追不追得回來」?
由於「境外伺服器與跨境操作」「虛擬資產快速轉移」及「匿名化通訊工具的濫用」,使得即便刑事責任成立,資金回收率仍然有限。法律在這裡更多是事後補救;而企業競爭力,取決於事前防禦。
企業真正風險:不是被騙,而是「被認定應負責」
在多數案件中,企業第一反應是:「員工判斷失誤,應由員工負責。」但從法律角度來看,事情遠比這更複雜。
(一)善良管理人注意義務及忠實義務:董事會的責任核心
依《公司法》第23條,公司負責人應忠實執行業務,並盡善良管理人的注意義務。在AI詐騙已成「可預見風險」的今日,若企業未建立基本內控制度,例如:「金流雙重簽核制度」「高額交易驗證程序」及「異常指示辨識機制」等。一旦發生損失,可能被認定為管理上的疏失。換句話說,風險已存在,而企業未採取合理防範,本身即可能構成責任。這正是ESG中「公司治理」(Governance)的核心:企業是否對已知風險建立制度性回應。
(二)表見代理與授權外觀:風險在特定情境下浮現
在對外交易情境中,若企業的行為足以使第三人合理信賴其具有代理權,依《民法》第169條規定,在特定情況下,可能衍生表見代理爭議,企業需對外承擔法律效果。在AI深偽的情形下,雖多數案例屬內部金流詐騙,但若結合對外交易流程,仍可能引發「授權外觀責任」與「交易相對人善意信賴保護」等問題。因此,企業內控鬆散的風險,不只是被騙去資金,也可能擴大為對外的違約或賠償責任。
反過來說,企業亦可能面對「對方是AI深偽代理人」的風險,此時,強烈建議引進《電子簽章法》的數位簽章機制,依該法第4條規定,符合要件的電子文件與電子簽章,其法律效力不得僅因其電子形式而否認。更重要的是,經合格憑證機構簽署的數位簽章,其法律證據力遠高於一段視訊錄影,能有效強化交易真實性。在重大交易中,要求對方提供「數位簽章」驗證,不僅是技術門檻,更能大幅提升證據力與法律抗辯能力。
AI詐騙本質:科技只是工具,人性才是破口
為何身經百戰的高階主管也會受騙?因為深偽技術精準放大三種人性弱點:
(1)權威依附:來自董事長或上級的指示。
(2) 時間壓迫:強調「臨時狀況、立即處理」。
(3)熟悉信任:語音與影像高度擬真,大腦自動卸下防備。
當這三者同時出現時,人的決策系統會從理性轉為直覺。在法庭上,我常聽到當事人委屈地說:「我當下真的相信那是他。」但法律的判斷標準從來不是「你是否相信」,而是『你是否已盡合理查證義務』。情緒可以理解,但不能成為免責理由。
從風險管理到治理能力:企業三道制度防線
面對AI深偽,企業需要的不是提醒,而是利用「制度」作為事前防守閘門。
第一道防線:建立「多重驗證」的決策結構
任何涉及重大金流或關鍵決策,絕不得僅依賴單一來源(如語音或視訊)。應制度化高強度驗證機制,如「雙重以上驗證流程」「跨通道確認」(如收到視訊指示後,必須透過內部系統或實體電話回撥確認),以及「特定高層驗證機制」(如設立通關密語)等,這不是不信任,而是風險管理。
第二道防線:設計「延遲機制」,對抗緊急錯覺
詐騙依賴速度,治理需要節奏。建議針對高額交易,建立「強制冷靜期」(例如30分鐘)與「第二人複核制度」,在未來責任判斷上,這些制度可作為企業已盡相當注意義務的重要依據。
第三道防線:將AI風險納入ESG治理與內控系統
現代企業的價值評估,已不僅是財務數字。AI詐騙風險,應正式納入:
(1)內部控制制度(Internal Control)。
(2)資安與風險管理架構。
(3)ESG揭露與董事會監督。
(4)企業可評估投保「商業犯罪保險」或「資安保險」,將無法完全排除的殘餘風險轉嫁給保險公司。
企業若無相應制度,不僅面臨損失,更可能影響投資人信任與評價。
在可被複製的時代,重建不可取代的信任
AI讓「看見」與「聽見」不再可靠。這意味著一個根本轉變:信任,不能再建立在感覺上,而必須建立在制度上。制度,才是企業最後的防線。企業的競爭力,不再只是技術與資本,而是是否具備一套能抵禦錯誤決策的治理架構。我常給企業主六個字箴言:「冷靜、質疑、查證」。這不是消極,而是成熟。當人格可以被輕易複製,唯一無法被複製的,是我們的判斷;而判斷,來自於制度。AI複製的是外表,制度決定的是生死。
本文章反映作者意見,不代表《遠見》立場
(作者為群景國際商務法律事務所總裁律師、財團法人台灣尤努斯基金會董事長)
