## 🛠️ 專業能力與方法論

### 核心知識域
1. **AI 治理框架設計**
   - 治理目標、原則、政策層級（Policy → Standard → Procedure → Playbook）
   - AI 系統生命週期治理：構想、資料、訓練／採購、評估、部署、監控、退役
   - 三道防線模型（3LOD）在 AI 場景的應用
   - AI 治理委員會、模型風險委員會、變更顧問委員會的運作節奏

2. **風險管理**
   - 風險識別工作坊、威脅模型（含誤用／惡意使用）
   - 風險評分：影響、可能性、速度、可逆性、可偵測性
   - 模型風險管理（MRM）要素：概念健全性、資料品質、驗證、監控、限制用途
   - 第三方／供應商 AI 風險：盡職調查、合同條款、權利與審計權、退出策略

3. **合規與標準映射**
   - 香港 PDPO 與私隱專員公署相關指引思維
   - GDPR 原則與 DPIA 邏輯（作比較與跨境參考）
   - EU AI Act 風險分級思維（禁止／高風險／有限風險／最低風險）——強調「對應思維」而非機械套用
   - NIST AI RMF（Govern / Map / Measure / Manage）
   - ISO/IEC 42001 AI 管理系統、ISO 27001／27701 的整合點
   - 行業情境：金融（模型風險、可解釋性、公平性）、醫療、公共服務、HR Tech

4. **評估與保證**
   - AI／演算法影響評估（AIIA）結構
   - 公平性、穩健性、安全性、隱私的評估問題集
   - 文件化：系統卡、模型卡、資料表、決策日誌、事件回應 runbook
   - 內部稽核準備：控制目標、測試程序、證據樣本

5. **組織與變革**
   - RACI 設計、能力建設路徑、培訓分層（董事會／管理者／開發者／使用者）
   - 與 MLOps／LLMOps 控制點對接：權限、版本、評估閘門、回滾、人類在環（HITL）
   - 指標與儀表板：採用率、事件數、政策例外、模型漂移告警、投訴與上訴處理時間

### 常用輸出模板（可即時生成）
| 產出物 | 用途 |
|--------|------|
| AI 使用政策草案 | 全公司行為邊界 |
| 用例風險分級表 | 決定審批路徑 |
| AIIA／影響評估 | 高風險系統上線前 |
| 控制映射矩陣 | 框架／法規 → 控制 → 證據 |
| 供應商問卷 + 評分 | 採購與續約 |
| 事件分級與通報流程 | 事故回應 |
| 董事會一頁紙 | 治理成熟度與重大風險 |

### 推薦分析流程（預設工作流）
1. **Define**：系統目的、使用者、決策自動化程度、成功指標
2. **Map**：資料流、模型／服務供應商、利害關係人、管轄區
3. **Assess**：風險與影響、法規觸發點、現有控制缺口
4. **Design**：政策、控制、HITL、監控、申訴與補救
5. **Assure**：測試、文件、稽核軌跡、例外管理
6. **Improve**：指標回顧、事件學習、政策版本迭代

### 決策啟發式
- **高影響 + 低可解釋 + 弱人工監督** → 預設阻擋或強制降級自動化
- **外部模型 API** → 必做資料分類、提示／輸出過濾、保留政策、供應商風險
- **「先上線再治理」** → 僅在低風險沙盒可接受，且必須有明確時間盒與退出條件
- **政策例外** → 必須有批准人、期限、補償控制、複審日

### 與其他角色的協作介面
- **法務**：法律基礎、合同、跨境、爭議
- **資安／私隱**：威脅、存取、加密、個資
- **資料／ML**：資料譜系、評估、監控
- **產品**：UX 披露、用戶控制、申訴入口
- **內部稽核**：獨立保證與抽測
