# L21203 AI 風險管理 — 模擬試題 30 題 > 題型:四選一單選題(iPAS AI 規劃師中級 標準題型) > 教材來源:`chunks/L21203.txt`(每題解析末標 chunks 行號) > 視覺輔助:`output4/L21203_AI風險管理/images/` 投影片 > 命題原則:用易混淆概念設計干擾項(同類項換位、屬性錯配、定義 partial swap) --- ## 第一部分|前言與章節導覽(Q1) ### Q1 下列關於 AI 風險管理定位的敘述,何者**正確**? - (A) AI 風險管理是部署完成後才啟動的輔助性工作 - (B) 只需在模型開發階段執行一次性風險評估即可 - (C) 應作為 AI 導入流程中的前瞻性與持續性機制,貫穿規劃、開發、測試、部署及運維各階段 - (D) 風險治理僅針對技術層面,與法規倫理無關 **答案:(C)** 解析:教材明示「AI 風險管理不應只是部署後的輔助性工作,而應當成為 AI 導入流程中的一個前瞻性和持續性機制」,並貫穿全生命周期。(A)(B) 是常見錯誤觀念。(chunks line 11) --- ## 第二部分|風險類型與識別(Q2–Q9) ### Q2 下列何者**並非**教材所列「技術層風險」中的「資料品質風險」常見問題? - (A) 資料遺漏(Missing Data) - (B) 資料偏頗(Data Bias) - (C) 不正確標註(Incorrect Labeling) - (D) 跨部門溝通不良 **答案:(D)** 解析:資料品質風險包含 Missing Data / Data Bias / Incorrect Labeling / Data Drift;跨部門溝通屬於「組織人力層」的「跨部門溝通風險」。常見干擾把組織層風險塞入技術層。(chunks line 23–43) --- ### Q3 下列關於「資料漂移(Data Drift)」與「概念漂移(Concept Drift)」的差異,何者**正確**? - (A) 兩者指相同概念,可互換使用 - (B) 資料漂移指輸入資料分佈改變;概念漂移指資料背後的潛在關係或模式隨時間改變 - (C) 資料漂移屬於模型穩定性風險;概念漂移屬於組織人力風險 - (D) 概念漂移僅發生於監督式學習,資料漂移僅發生於非監督式學習 **答案:(B)** 解析:教材定義 Data Drift = 輸入資料分佈變化使預測偏離;Concept Drift = 資料背後潛在關係或模式隨時間改變,兩者常被混淆但層次不同。(chunks line 41–43、65–67) --- ### Q4 下列關於「過擬合(Overfitting)」的敘述,何者**正確**? - (A) 模型在訓練資料與測試資料上皆表現極佳 - (B) 模型在訓練資料表現好,但對未見過的測試資料無法正確預測,因過度學習訓練資料中的噪聲和細節 - (C) 是因模型參數不足造成的學習不夠 - (D) 過擬合屬於組織人力層風險 **答案:(B)** 解析:教材定義「過擬合是指模型在訓練資料上表現很好,但對於未見過的測試資料卻無法正確預測,因為它過度學習了訓練資料中的噪聲和細節,缺乏泛化能力」。(chunks line 57–59) --- ### Q5 下列關於「組織人力層風險」的分類,何者**錯誤**? - (A) 跨部門溝通風險(Cross-functional Communication Risk) - (B) 技能短缺風險(Skill Gap Risk) - (C) 變革抵制風險(Change Resistance Risk) - (D) 模型穩定性風險(Model Stability Risk) **答案:(D)** 解析:模型穩定性風險屬於「技術層」風險,不是組織人力層;組織人力層含跨部門溝通 / 技能短缺 / 變革抵制三項。常見干擾把技術風險塞入組織層。(chunks line 69–93、47–61) --- ### Q6 某醫療院所推動 AI 輔助診斷系統時,醫療人員因擔憂被取代,導致系統使用率低落。這屬於哪一類風險? - (A) 資料品質風險 - (B) 變革抵制風險(Change Resistance Risk) - (C) 個資與隱私保護風險 - (D) 侵權風險 **答案:(B)** 解析:員工視 AI 為職位威脅產生抵制行為 = 變革抵制風險。此為教材原型影響案例。(chunks line 87–93) --- ### Q7 下列關於「侵權風險(Infringement Risk)」的敘述,何者**正確**? - (A) 指 AI 系統因外部攻擊導致資料外洩 - (B) 指 AI 系統開發中可能涉及使用第三方資料、演算法、模型或軟體工具,若未經授權或超過授權範圍使用,產生智慧財產權、商業秘密侵害或著作權侵權等法律問題 - (C) 屬於組織人力層風險 - (D) 僅影響開源專案不影響商業專案 **答案:(B)** 解析:侵權風險屬「法規層」風險的一種,包含未授權使用第三方資料、演算法抄襲、未遵守開源授權條款等。(chunks line 113–119) --- ### Q8 科技公司因未充分揭露使用者資料用途,遭到 GDPR 處以高額罰款並受損聲譽。這屬於哪一類「法規層風險」? - (A) 個資與隱私保護風險 - (B) 產業特定監管法規風險 - (C) 侵權風險 - (D) 變革抵制風險 **答案:(A)** 解析:未充分揭露使用者資料用途 → 違反 GDPR 個資保護要求 = 個資與隱私保護風險。教材原型案例。(chunks line 97–103) --- ### Q9 銀行導入 AI 客戶辨識系統,但未完整符合法規要求導致營運暫停。此案例屬於哪一類風險? - (A) 個資與隱私保護風險 - (B) 產業特定監管法規風險 - (C) 模型穩定性風險 - (D) 技能短缺風險 **答案:(B)** 解析:銀行屬金融業,需遵循 PCI-DSS 等產業特定法規 = 產業特定監管法規風險。教材原型案例。(chunks line 105–111) --- ## 第三部分|法規與合規性評估(Q10–Q15) ### Q10 下列關於 GDPR 的適用範圍,何者**正確**? - (A) 僅適用於設立於歐盟境內的企業 - (B) 適用於處理歐盟地區居民個資的所有企業,無論該企業是否位於歐盟境內 - (C) 僅適用於金融與醫療產業 - (D) 為自願性指引,無強制力 **答案:(B)** 解析:GDPR 為「域外效力」法規 — 只要處理歐盟居民個資,無論企業設立地皆需遵循。常見干擾項把「域外效力」改為「境內企業限定」。(chunks line 129) --- ### Q11 根據 GDPR 第 22 條,「反對自動化決策權(Right to Object to Automated Decision Making)」的核心內容為何? - (A) 資料主體有權要求企業刪除其個人資料 - (B) 資料主體有權反對企業在沒有人工介入的情況下進行的重大自動化決策,並要求人工參與審核過程 - (C) 資料主體有權要求以可機器讀取格式提供其個人資料 - (D) 資料主體有權在 30 日內查閱資料處理目的 **答案:(B)** 解析:(A) 是刪除權第 17 條;(C) 是資料可攜權第 20 條;(D) 是查閱權第 15 條 — 易混淆對 GDPR 條文。第 22 條核心 = 反對純自動化決策、要求人工介入。(chunks line 137) --- ### Q12 下列關於 GDPR「資料最小化原則(Data Minimization)」的敘述,何者**正確**? - (A) 企業應收集越多資料越好,以提升模型效能 - (B) 企業應只收集為達成處理目的所必須的資料,並確保資料不超過最初聲明的用途 - (C) 資料保存期限不可超過 30 日 - (D) 此原則僅適用於敏感資料 **答案:(B)** 解析:第 5 條資料最小化原則 = 只收集達成目的「最必要」的資料,不超出聲明用途,與「越多越好」邏輯相反。(chunks line 145) --- ### Q13 下列關於台灣 PDPA(個人資料保護法)規範的敘述,何者**錯誤**? - (A) 個資收集與使用需具備特定目的並明確告知 - (B) 資料主體可請求查閱、複製、更正或刪除其個人資料 - (C) 資料主體可隨時要求停止收集、處理、使用其個人資料 - (D) 企業可在未取得同意的情況下將個資轉售給第三方 **答案:(D)** 解析:PDPA 要求對個資收集、處理及使用必須取得明確同意;轉售第三方違反同意原則。其他三項皆為 PDPA 明文規範。(chunks line 151–159) --- ### Q14 下列關於 HIPAA(美國健康保險可攜性與責任法案)三類保護措施的對應,何者**正確**? - (A) 強制資料加密 → 行政性保護措施(Administrative Safeguards) - (B) 安全政策與程序 → 技術性保護措施(Technical Safeguards) - (C) 設備安全管控、資料備份與災難復原 → 實體性保護措施(Physical Safeguards) - (D) 員工培訓與安全意識教育 → 技術性保護措施(Technical Safeguards) **答案:(C)** 解析:HIPAA 三類 = Technical(加密 / 身份驗證 / 安全傳輸)、Physical(設備安控 / 備份災難復原)、Administrative(安全政策 / 員工培訓 / 風險評估)。常見干擾把三類保護措施對調。(chunks line 179–199) --- ### Q15 PCI-DSS(支付卡產業資料安全標準)的制定單位為何? - (A) 美國衛生部 - (B) 國家通訊傳播委員會(NCC) - (C) 支付卡產業安全標準委員會(PCI Security Standards Council, PCI SSC) - (D) 歐盟高級人工智慧專家小組(AI HLEG) **答案:(C)** 解析:PCI-DSS 由 PCI SSC 制定,適用於國際所有處理支付卡資訊之機構。常見干擾把制定單位換成其他法規對應單位。(chunks line 203) --- ## 第四部分|偏見與倫理(Q16–Q22) ### Q16 下列關於「歷史偏見(Historical Bias)」的敘述,何者**正確**? - (A) 歷史數據可能反映既有社會或制度上的偏見,模型會繼承這些偏見進而擴大歧視行為 - (B) 因標註者個人觀點導致不公平標註 - (C) 演算法設計優化整體效能但犧牲特定群體公平性 - (D) 資料集中某些群體樣本不足 **答案:(A)** 解析:(B) 是標註偏見;(C) 是演算法偏見;(D) 是資料分布不均 — 四種偏見來源易混淆。歷史偏見 = 既有社會制度偏見被繼承。(chunks line 243–245) --- ### Q17 下列關於「演算法偏見(Algorithmic Bias)」的敘述,何者**最符合**教材定義? - (A) 訓練資料集中某些類別過多或過少造成的偏差 - (B) 某些演算法設計可能優化整體效能,但犧牲特定群體的公平性 - (C) 標註者個人文化背景造成的偏差 - (D) 模型在訓練資料上過度學習造成的偏差 **答案:(B)** 解析:演算法偏見 = 演算法本身為整體效能犧牲少數群體公平性(如推薦系統依總體偏好忽略少數群體需求)。(A) 是資料分布不均;(C) 是標註偏見;(D) 是過擬合。(chunks line 251–253) --- ### Q18 下列何者**並非**教材所列「國際 AI 倫理原則」的核心原則? - (A) 透明度(Transparency) - (B) 可解釋性(Explainability) - (C) 公平性(Fairness) - (D) 效能最大化(Performance Maximization) **答案:(D)** 解析:教材列出 4 大核心原則 = 透明度 / 可解釋性 / 公平性 / 問責性(Accountability)。「效能最大化」非倫理原則範疇。(chunks line 271–285) --- ### Q19 下列關於「透明度(Transparency)」與「可解釋性(Explainability)」的差異,何者**最正確**? - (A) 兩者完全相同,可互換 - (B) 透明度強調披露模型運作邏輯、決策依據與結果;可解釋性強調提供足夠資訊幫助使用者理解決策過程 - (C) 透明度只針對外部使用者,可解釋性只針對內部開發者 - (D) 可解釋性僅適用於深度學習模型 **答案:(B)** 解析:Transparency 側重「對外披露」運作邏輯;Explainability 側重「讓使用者理解」決策推理過程。兩者相關但層次不同,常考差異。(chunks line 271–275) --- ### Q20 下列關於「歐盟《人工智慧倫理指導原則》(Ethics Guidelines for Trustworthy AI)」的敘述,何者**正確**? - (A) 由經濟合作與發展組織(OECD)於 2019 年發佈 - (B) 由歐盟高級人工智慧專家小組(AI HLEG)制定,2019 年發佈,強調透明度、可解釋性、公平性與問責性 - (C) 由聯合國 UNESCO 於 2020 年制定 - (D) 由國際標準化組織 ISO/IEC 制定 **答案:(B)** 解析:(A) 是 OECD《人工智慧高級準則》—易混淆機構;(C)(D) 為其他國際機構。歐盟 AI HLEG = 歐盟版核心制定者。(chunks line 289) --- ### Q21 下列關於「企業內部倫理治理框架」的敘述,何者**錯誤**? - (A) 倫理委員會應包括來自技術、法律、人權、風險管理等不同領域的專業人士 - (B) AI 審查流程應該在模型部署後才進行,以驗證實際運行結果 - (C) 企業應定期進行 AI 倫理意識教育與技能培訓 - (D) 企業應主動公開 AI 技術的使用原則及可能產生的社會影響 **答案:(B)** 解析:教材明示「此審查應該在模型部署前進行」以確保道德問題能在實施前解決。部署後才審查無法預防風險。(chunks line 311) --- ### Q22 下列關於「問責性(Accountability)」的敘述,何者**最符合**教材定義? - (A) 企業應公開模型決策邏輯供大眾檢視 - (B) 企業應建立清晰的 AI 治理責任體系,為設計、開發、部署及運營過程確立明確責任人,並承擔對使用者、社會及環境的負面影響責任 - (C) 模型必須在所有群體上達到完全相同的預測準確度 - (D) 企業必須使用最先進的解釋工具揭露決策過程 **答案:(B)** 解析:(A) 偏 Transparency;(C) 偏 Fairness;(D) 偏 Explainability — 四原則易混淆。Accountability 核心 = 明確責任人 + 為負面影響負責。(chunks line 281–285) --- ## 第五部分|風險緩解策略與工具(Q23–Q30) ### Q23 下列關於風險控管「迴避(Avoidance)」策略的敘述,何者**正確**? - (A) 將潛在損失透過第三方承擔 - (B) 採取主動措施降低風險發生的可能性或影響 - (C) 若某一風險的潛在損害嚴重且難以控制,企業可選擇不執行相關活動,從根本避免風險 - (D) 接受風險並進行監控 **答案:(C)** 解析:四策略 = Avoidance(不做)/ Transfer(讓他人扛)/ Mitigation(主動降低)/ Acceptance(接受監控)。(A) Transfer;(B) Mitigation;(D) Acceptance。(chunks line 333–335) --- ### Q24 某製造企業購買 AI 系統故障保險,轉移因模型失效導致的停工風險。此屬於哪一種風險控管策略? - (A) 迴避(Avoidance) - (B) 轉移(Transfer) - (C) 緩解(Mitigation) - (D) 接受(Acceptance) **答案:(B)** 解析:透過保險或 SLA 委外合約將損失轉嫁第三方 = Transfer。教材原型案例。(chunks line 337–339) --- ### Q25 下列關於風險「緩解(Mitigation)」策略的敘述,何者**錯誤**? - (A) 為最常見的風險控管策略 - (B) 技術風險可透過模型驗證(如交叉驗證)與持續監控(如 TensorBoard)緩解 - (C) 法規風險需嚴格資料治理(如存取權限分級) - (D) 適用於潛在損害嚴重且難以控制的風險,企業選擇暫緩專案 **答案:(D)** 解析:(D) 描述的是 Avoidance;Mitigation = 主動降低風險發生機率或影響。常見干擾把 Avoidance 與 Mitigation 對調。(chunks line 341–343、333–335) --- ### Q26 某電商企業發現小規模資料漂移僅影響 1% 推薦準確率,修復成本高於收益,遂選擇此策略並透過日常監控因應。這是哪一種策略? - (A) 迴避(Avoidance) - (B) 轉移(Transfer) - (C) 緩解(Mitigation) - (D) 接受(Acceptance) **答案:(D)** 解析:低衝擊、控管成本不划算的風險 → 接受 + 監控。需設定監控指標(如準確率下降閾值)避免累積。教材原型案例。(chunks line 345–347) --- ### Q27 下列關於「風險管理計畫(Risk Management Plan)」內容的敘述,何者**錯誤**? - (A) 應列出風險識別與評估結果(風險清單與影響評分) - (B) 應規範具體行動與時程的風險對應措施 - (C) 應指定責任人與分工 - (D) 為降低成本,建議不設立監控與回報機制 **答案:(D)** 解析:教材明列風險管理計畫四要素 = 風險識別評估 / 對應措施 / 責任人分工 / **監控與回報機制**。沒有監控等於無法檢核執行成效。(chunks line 349–351) --- ### Q28 下列關於「MLOps(機器學習運維)」的核心理念,何者**最正確**? - (A) 僅負責模型訓練階段的自動化 - (B) 是 DevOps 在 AI 領域的延伸,將模型建置、部署、監控與修正流程自動化,並能即時監控效能、資料變化、異常警報並觸發更新 - (C) 主要目的是壓縮模型參數提升推論速度 - (D) 只適用於監督式學習模型 **答案:(B)** 解析:教材定義 MLOps = 機器學習開發與營運整合的最佳實踐,全生命周期管理。常見干擾窄化 MLOps 範疇。(chunks line 355) --- ### Q29 下列關於 MLOps「模型漂移監控(Model Drift Monitoring)」與「資料漂移監控(Data Drift Monitoring)」的差異,何者**正確**? - (A) 兩者完全相同 - (B) 模型漂移監控追蹤模型效能下降;資料漂移監控監測輸入資料分佈與訓練資料的顯著差異 - (C) 資料漂移監控只在訓練階段啟動,模型漂移監控只在推論階段啟動 - (D) 模型漂移屬資料品質風險;資料漂移屬組織人力風險 **答案:(B)** 解析:Model Drift 監控「模型輸出 / 效能」;Data Drift 監控「輸入資料分佈」。兩者目的不同但都屬 MLOps 監控範疇,易混淆。(chunks line 357–367) --- ### Q30 某電商平台使用 MLOps 監控推薦模型準確率,當準確率下降時系統會自動觸發重新訓練恢復效能。這對應到 MLOps 哪一項機制? - (A) 模型版本控管(Model Versioning) - (B) 自動重新訓練(Auto-retraining) - (C) 跨部門溝通 - (D) 滲透測試 **答案:(B)** 解析:監控發現效能下降 → 自動觸發再訓練 = Auto-retraining。教材原型案例。需搭配效能異常警示(Performance Anomaly Alerting)與門檻設定。(chunks line 375–379) --- ## 答案速查表 | Q | 答 | Q | 答 | Q | 答 | |---|---|---|---|---|---| | 1 | C | 11 | B | 21 | B | | 2 | D | 12 | B | 22 | B | | 3 | B | 13 | D | 23 | C | | 4 | B | 14 | C | 24 | B | | 5 | D | 15 | C | 25 | D | | 6 | B | 16 | A | 26 | D | | 7 | B | 17 | B | 27 | D | | 8 | A | 18 | D | 28 | B | | 9 | B | 19 | B | 29 | B | | 10 | B | 20 | B | 30 | B | ## 命題分布統計 | 章節 | 題號 | 題數 | 重點 | |---|---|---:|---| | 前言與章節導覽 | Q1 | 1 | 風險管理定位(前瞻性+持續性) | | 風險類型與識別 | Q2–Q9 | 8 | 技術/組織/法規三層風險、資料漂移 vs 概念漂移、過擬合、影響案例 | | 法規與合規性評估 | Q10–Q15 | 6 | GDPR 八大權利原則、PDPA、HIPAA 三類保護措施、PCI-DSS | | 偏見與倫理 | Q16–Q22 | 7 | 四種偏見來源、四大倫理原則、歐盟 vs OECD 機構、內部治理 | | 風險緩解策略與工具 | Q23–Q30 | 8 | 四大控管策略、風險管理計畫、MLOps 監控機制 | | **合計** | — | **30** | — | ## 易混淆考點清單(找混淆提示詞輸出) | # | 易混淆對 | 差異 | |---|---|---| | 1 | 資料漂移 vs 概念漂移 | Data Drift = 輸入資料分佈改變;Concept Drift = 資料背後潛在關係/模式改變(Q3) | | 2 | 技術層 vs 組織人力層 vs 法規層風險 | 三層風險分類不可混;如模型穩定性屬技術層,不是組織層(Q2/Q5) | | 3 | GDPR 八大權利條文號 | 第 15/16/17/18/20/22/5/6 條,常考刪除權/查閱權/可攜權/反對自動化決策權對應條文(Q11) | | 4 | HIPAA 三類保護措施 | Technical(加密/驗證)/ Physical(設備/備份)/ Administrative(政策/培訓/稽核)(Q14) | | 5 | 四大倫理原則 | Transparency(披露)/ Explainability(理解)/ Fairness(公平)/ Accountability(責任)(Q18/Q19/Q22) | | 6 | 歐盟 AI HLEG vs OECD vs UNESCO vs GPAI vs ISO/IEC | 制定機構與發佈年份易混(Q20) | | 7 | 四種偏見來源 | 資料分布不均 / 歷史偏見 / 標註偏見 / 演算法偏見(Q16/Q17) | | 8 | 四大風險控管策略 | Avoidance(不做)/ Transfer(轉嫁)/ Mitigation(降低)/ Acceptance(接受)(Q23/Q24/Q25/Q26) | | 9 | Model Drift vs Data Drift 監控對象 | Model Drift = 輸出/效能;Data Drift = 輸入資料分佈(Q29) | | 10 | 倫理審查時機 | 必須在模型「部署前」進行,不是部署後(Q21) | --- — 命題:Heiter(2026-05-12) — 對應教材版本:iPAS AI 規劃師中級 科目一 L21203 4.3 AI風險管理