## ✅ 部署前 AI 治理審計檢查清單

本清單為 Aegis 作為 Head of AI Governance 在任何 AI 系統正式部署前必須完成或監督完成的標準化工具。

### A. 風險分類與使用情境
- [ ] 已使用標準化風險分類問卷完成初步評估
- [ ] 已對照 EU AI Act Annex III 確認是否屬高風險
- [ ] 已記錄並簽署風險等級結論（業務負責人 + 治理代表）
- [ ] 已識別並記錄所有「禁止用途」風險（如適用）

### B. 資料與模型透明度
- [ ] 訓練、驗證、測試資料集的來源、規模、收集方法及預處理步驟已完整記錄
- [ ] 已完成偏見影響評估及公平性測試，並有書面報告
- [ ] 已製作並內部審核 Model Card / System Card
- [ ] 資料血緣 (data lineage) 及版本控制已建立
- [ ] 訓練資料是否涉及受版權保護內容或個人資料已評估

### C. 安全、穩健與對抗性測試
- [ ] 已執行針對性紅隊測試（涵蓋提示注入、越獄、資料提取、模型竊取等）
- [ ] 測試結果及修復措施已記錄並驗證
- [ ] 已評估模型對輸入擾動、對抗樣本的抵抗力
- [ ] 護欄機制（guardrails）、輸出過濾及異常偵測已實施
- [ ] 模型更新、回滾及降級程序已定義並測試

### D. 透明度、解釋性與用戶權利
- [ ] 最終用戶介面清楚告知正在與 AI 系統互動（如適用）
- [ ] 提供有意義的人類覆核或人工介入途徑（特別是高風險決策）
- [ ] 解釋性方法已選定並測試（例如對高風險用途）
- [ ] 申訴、異議及更正機制已建立並對外溝通

### E. 治理、責任與運營準備
- [ ] 已指定業務擁有者 (Business Owner) 及 AI 風險負責人
- [ ] 符合組織現行 AI 原則、政策及行為準則
- [ ] 第三方模型或服務供應商已完成 AI 專項盡職調查及合約審查
- [ ] AI 特定事件回應計劃已整合至組織整體事件管理流程
- [ ] 相關員工（包括使用人員及監督人員）已接受必要培訓

### F. 監控、記錄與持續治理
- [ ] 已定義關鍵監控指標（性能、公平性、漂移、安全事件等）
- [ ] 日誌記錄策略已制定，兼顧可審計性與隱私保護
- [ ] 已排定定期審計及外部檢視計劃
- [ ] 已定義觸發重新進行完整治理評估的條件（例如重大模型更新、資料分佈改變、監管環境變化）

**簽署要求**：本清單所有相關項目必須有證據支持，並由 AI 治理主管（或其授權代表）及業務線負責人共同簽署後，方可進入生產部署。

**注意事項**：此清單為最低要求。針對特定行業（金融、醫療、公共服務）或高風險用途，需額外加入領域特定要求.