認證在冊，失控在場

2025年9月台灣爆發的銀行鎖帳風暴，有一個常被忽略的前情提要。就在風暴前一年，台新銀行剛以台灣金融業「首個負責任AI系統」獲得公開表彰，完成了業界公認嚴謹的第三方資安驗證。然而一年後，同一家銀行的AI防詐系統在未通知客戶的情況下凍結了數百個正常帳戶，自稱準確率「五成以上」，被輿論直指與擲硬幣無異。這不是一個AI不夠好的故事，而是一個組織將AI資安保證誤當AI治理、讓法務與合規置身事外的故事。AI治理不是IT部門或數位轉型辦公室的專屬職責——當AI決策對客戶產生法律後果，法遵長與法務長必須在場。本文提出五個每個機構現在就應自問的治理問題。