期交所雙月刊92期

行人語動要聞點透視 CONTENTS 04 期交所參加FIA年會，聚焦數位資產與全球市場發展趨勢 05 「115年度期心期力期貨商反詐治理評鑑活動」3月正式開跑 06 期交所舉辦期貨商內稽主管座談會 07 期交所舉辦「115年縱橫期海 Trade like a pro 大專院校模擬交易競賽」 08 金融資安防護策略實踐 12 開源軟體治理新挑戰：金融數位轉型下的隱形風險 16 生成式AI 詐欺的態樣與監管應對 02 數位金融隱憂與對策 15 APR. 2026 雙月刊 TAIFEX BIMONTHLY VOL. 發行人吳自心總編輯黃定容企　劃楊書禹、黃珮菁、楊玳驊發行所臺灣期貨交易所地　址臺北市中正區羅斯福路2段100號14樓網址 www.taifex.com.tw 電話（02）2369-5678 發活焦 92

30 臺灣期貨交易所市場規章修正 32 交易統計圖表 26 Cboe評估重新推出二元選擇權 26 美國參議院延長審議數位資產市場明確法案 26 ESMA評估強化加密期貨監理並提高店頭商品結算門檻 27 Cboe旗下歐洲衍生性商品交易所(CEDX) 退場 27 CFTC核准Bitnomial 設立預測市場交易平台 28 CME推出100盎司白銀期貨並研議推出自有代幣因應全天候加密商品交易 28 CME將推出現金結算股票期貨 28 KRX規劃導入AI 及邁向24小時交易 29 IOSCO 2026年度工作計畫聚焦於強化全球資本市場發展 29 ICE推出Reddit 訊號與情緒數據分析服務及南韓RIC權重上限指數期貨 22 量子時代的資安挑戰與對策：期貨市場的防禦與轉型 18 資料治理驅動AI 成效：從資料孤島到跨部門協作鍵看法球趨勢際視角章快易通易統計關全國規交

隨著行動金融、即時支付及人工智慧(AI)廣泛應用，金融業數位轉型持續加速，資安威脅也隨之演變為具度組織性且跨領域「複合式攻擊」，此類風險，成為政府機關、企業乃至個人都必須嚴陣以待的課題。本期特別策畫數位金融資安專題，深入探討相關議題及因應對策，期能提供讀者業務執行及日常生活參考指引。在推動 AI 轉型過程中，多數企業往往過度重視演算法，卻忽略資料品質重要性。本期關鍵看法單元，邀請允辰資訊姚怡德總經理撰擬「資料治理驅動AI成效：從資料孤島到跨部門協作」，說明如何透過 Gartner 倡導「主動式資料治理」與「AI 信任、風險和安全管理」框架，將企業內部各單位資料孤島，轉化為可信任的 AI 資產。為強化金融資安防護能力及營運韌性，金管會於2022年發布「金融資安行動方案 2.0」，2025 年接續發布「金融資安韌性發展藍圖」。焦點透視以「金融資安防護策略實踐」為題，彙整金融實務 10 項防護重點，以協助金融機構將前揭行動方案及發展藍圖，轉化為具體可行資安治理策略，以確保金融服務連續性、穩定性與信任度。數位金融雖為民眾生活帶來便利性，卻也讓金融詐騙犯罪進入新技術階段。為此，政府透過「打詐國家隊」推動跨部會合作，陸續推動詐欺犯罪危害、打擊詐欺策略行動綱領、金融業運用人工智慧 (AI) 指引及網路詐騙通報查詢網等措施，以有效遏止 AI 詐騙擴散。本期焦點透視「生成式 AI 詐欺的態樣與監管應對」，整理生成式 AI 新型詐騙樣態及國際監理經驗，期能提升讀者對 AI 金融詐騙辨識與防範意識。展望未來，期交所將持續推展金融數位化，運用大數據與 AI 等新興科技，提升市場韌性，並同步強化資安治理，致力建構與時俱進且安全可靠期貨交易環境。 2 發行人語數位金融隱憂與對策

董事長 3 臺灣期貨雙月刊 BIMONTHLY TAIFEX

4 2026年美國期貨業協會(Futures Industry Association, FIA)年會3月8日至11日於佛羅里達州波卡雷頓(Boca Raton)舉行，期交所由董事長吳自心率團出席，金管會證期局副局長黃厚銘及期貨公會秘書長吳桂茂亦共同與會。FIA年會為全球衍生性商品市場最具指標性年度盛會，吸引來自全球金融監理機關、衍生性商品交易所、結算機構、期貨商、資訊廠商及新聞媒體逾千名代表參與，就全球衍生性商品市場發展與監理趨勢進行交流。本屆年會涵蓋多項當前市場關注議題，其中數位資產相關議題為今年討論重點，會中安排多場專題探討數位資產市場結構、資產代幣化 (Tokenization)以及市場朝向全天候24小時交易發展之趨勢。此外，美國監理政策亦為重要焦點，由美國商品期貨交易委員會(CFTC)主席Michael Selig及證券交易委員會(SEC)主席Paul Atkins分別就監理政策方向及市場發展提出觀點與展望；另隨著全球金融市場逐步邁向更高效率與更即時之交易環境，與會專家亦就市場創新、風險管理與市場誠信之監理平衡，以及市場結構與結算機制等議題進行討論，反應全球衍生性商品市場持續演進之趨勢。期交所透過參與本次FIA年會，與國際主要交易所及機構交流，掌握全球市場在數位資產發展與監理政策動向等方面之最新趨勢。未來將持續深化國際交流合作，推動商品多元化與市場制度精進，強化臺灣期貨市場與國際市場之連結。文／王姿云（期交所企劃部專員）期交所參加FIA年會，聚焦數位資產與全球市場發展趨勢臺灣代表團赴美參加期貨業協會（FIA）年會，由左至右依序為金管會紐約辦事處主任李盈欣、期交所董事長吳自心，證期局副局長黃厚銘、期貨公會秘書長吳桂茂。活動要聞

文／劉宗銘（期交所期貨商輔導部專員）「115年度期心期力期貨商反詐治理評鑑活動」3月正式開跑期交所響應行政院打詐綱領及金管會2026年施政計畫「落實消費者權益保護、普惠金融與金融阻詐」，賡續辦理「115年度期心期力期貨商反詐治理評鑑活動」，鼓勵期貨商擴大參與及持續深化反詐治理，活動期間自2026年3月至9月，藉此鼓勵期貨商進一步落實反詐治理，並以具體行動協力政府，提高民眾識詐防詐。證期局組長程國榮出席期交所3月4日舉辦的活動說明會時表示，期貨市場是我國金融體系重要一環，所有金融業在識詐防詐中扮演關鍵角色；期交所總經理周建隆期盼結合業界，持續共同投入識別與防範詐騙行列。臺北市市調處主任梁世明表示，調查局成立新世代打擊詐欺督導中心，貫徹行政院打詐決心，除以科技辦案，強化對「人」行止及「幣流」追蹤清查，突破詐騙手法隱名匿蹤及跨境斷點等問題外，亦將在行政院打擊詐欺辦公室及臺灣高等檢察署查緝詐欺及資通犯罪督導中心統整下，聚焦在向上溯源，向下斬除整個詐欺集團，持續快速精準打擊電信網路詐欺集團，以遏止不法詐欺行為。元大期貨總經理高毅瑞表示，該公司將防阻詐視為KPI來要求，從植入文化、建立制度到徹底執行三步驟，將防阻詐內化為公司的DNA，並且建立「三道防線」：由第一線由業代及專人客服即時把關、第二線由公司設立金融防制詐欺小組整合資源與協調，及第三線由董事會監督確保防詐落實，打造前、中、後台緊密的防詐治理體系。期交所今年維持「識詐防詐基礎建設」、「詐騙案件蒐報檢舉」及「協力宣導」三大評鑑項目，評鑑對象除國內專營期貨經紀商外，亦納入國內兼營期貨經紀商，期能進一步強化防詐成效，增強期貨交易人反詐、防詐意識，確保民眾權益不受侵害，達到打擊詐騙目的。期交所舉辦「115年度期心期力期貨商反詐治理評鑑活動」說明會，證期局期貨管理組組長程國榮（前排中）蒞臨指導，期交所總經理周建隆（前排左6）、期貨公會秘書長吳桂茂（前排右6）、期交所協理黃定容（前排左4），以及講師臺北市市調處政經調查站主任梁世明（前排左5）、元大期貨總經理高毅瑞（前排右5），及國內專兼營期貨經紀商代表共同宣示期貨商公私協力、提升民眾識詐反詐決心。臺灣期貨雙月刊 BIMONTHLY TAIFEX 5

6 文／李欣恬（期交所期貨商輔導部專員）期交所舉辦期貨商內稽主管座談會為協助期貨業者精準掌握監理脈動及查核重點，期交所於2026年3月25日舉辦115年度「期貨商內部稽核主管座談會」，本次會議為期交所首次針對期貨商及期貨交易輔助人稽核主管打造之交流平台，共計約60位稽核主管齊聚一堂，透過主管機關、期交所與業者三方深度對話，針對制度面與實務面進行充分溝通，共同強化市場自律機制與風險因應能力，維護交易秩序。本次座談會聚焦「近期業務開放重點」與「查核重點分享」兩大核心議題，特別邀請金管會證期局期貨管理組組長程國榮擔任講座，程組長詳盡剖析當前監理政策方向及內控制度查核重點，協助稽核主管棈確掌握最新法規修正及監理趨勢；期交所代表則針對近年查核發現之常見缺失與改善建議，進行實務經驗分享。藉由案例分析，提醒業者強化風險辨識並落實內控制度，進而精進內稽自律職能。期交所指出，本次座談會現場互動極為熱絡，與會主管紛紛就各項實務運作議題踴躍發言、積極提問，雙方針對制度運作細節進行充分且具建設性探討。透過此次面對面交流，不僅達到集思廣益成效，更有效釐清相關疑義，獲得與會者一致高度肯定。期交所未來將持續建構多元及透明溝通管道，攜手業界共創穩健、安全且具競爭力期貨交易環境。 115年度期貨商內部稽核主管座談會，期交所總經理周建隆( 右)、證期局組長程國榮( 中)、期貨公會秘書長吳桂茂( 左) 合影。共約60位內部稽核主管積極參與。活動要聞

為深耕校園金融教育，期交所再度攜手經濟日報，舉辦「115年縱橫期海 Trade Like a Pro 大專院校模擬交易競賽」，活動旨在協助大專院校學生深化期貨專業知識，並在模擬實戰中培養風險控管意識，本屆競賽期間為4月13日至7月1日。本活動對象為國內大專院校在學學生，採「老師推薦、學生組隊」模式，每隊3至5人，每位指導老師至多推薦8隊，總報名上限為300隊。競賽使用期交所「新一代虛擬交易所」即時行情平台，不僅支援網頁與手機App下單，更提供 MultiCharts、Python、Excel VBA等程式交易介面，鼓勵學生應用數位工具，提升交易效能。參賽隊伍將擁有200萬元虛擬起始資金，交易範圍涵蓋臺股期貨、微型臺指期貨、股票期貨及黃金期貨等10項指定商品，為引導學生建立完整的交易策略思維，隊伍須於競賽期間至少交易6項商品。競賽僅限日盤時段，並設有保證金與風險控管機制，讓學生在模擬交易環境中體驗市場運作機制與價格波動。本次「競賽獎」的評選標準除交易天數與心得報告外，將先篩選出夏普比率前30名之穩定操盤隊伍，再依總獲利金額選出前15名獲獎，團隊獎金最高8萬元，指導老師最高3萬元。另設有「好學獎」以鼓勵積極參與之隊員；並於今年新增「股票類商品績效獎」、「黃金類商品績效獎」及「程式交易獎」，以全面獎勵在不同領域表現優異的參賽隊伍。期交所表示，希望透過模擬競賽將學術理論與市場實務接軌，幫助學生拓展宏觀的金融學習視野並累積實務經驗。詳細活動辦法請至活動專屬網站（https://pse.is/trade2026）查詢。文／王瀚濃（期交所交易部專員）期交所舉辦「115年縱橫期海 Trade Like a Pro－大專院校模擬交易競賽」臺灣期貨雙月刊 BIMONTHLY TAIFEX 7

金融資安防護策略實踐近年金融業數位轉型步伐加速，行動金融、即時支付及開放API之廣泛應用，使雲端與混合架構躍升為營運核心。然而，隨之而來的資安威脅已演進為跨域、持續且具高度組織性的「複合式攻擊」。攻擊者不再侷限於傳統的釣魚與社交工程，更頻繁透過憑證濫用、供應鏈滲透及雲端管理平台之設定瑕疵(Misconfiguration)擴大入侵路徑，並以精準的勒索手段試圖癱瘓機構的復原能力。在此嚴峻背景下，金融機構的資安防禦體系已從傳統「邊界阻擋」轉型為建構「可預測、可防禦、可復原」（圖1）的核心能力： ● 可預測：透過持續性的風險辨識，動態掌握資產暴露狀態。 ● 可防禦：精準抑制橫向移動，極小化攻擊成功之機率。文／高隆樺（期交所資訊規劃部經理）、鄭宗智（期交所資訊規劃部專員） ● 可復原：確保在重大事件或複合災難下，關鍵服務能維持不間斷營運，縮短業務中斷時間並確保資料一致性。此外，為深化治理成效，金融機構須緊密對齊「金融資安行動方案2.0」與「金融資安韌性發展藍圖」，實踐目標治理、全域防護、生態聯防及堅實韌性等四軸架構（圖2）。在執行層面上，應建立制度化管理作為，包括明確的年度計畫、高頻率資安檢測及專業職能訓練，並透過完整的稽核軌跡與具體佐證，確保防護機制不僅「合規」更「有效」。本文彙整相關資安防護策略以供持續強化參考。 ◤ 資安策略總覽：從控制措施導向走向風險與韌性導向金融資安治理的成功關鍵，已不再僅限於防圖1：金融資安韌性發展藍圖資料來源：金管會焦點透視 8

護設備的堆疊，而是在於其措施是否具備「有效性」與「可驗證性」。整體的戰略思維必須由傳統的「控制措施導向」，全面推升至以「風險管理」與「營運韌性」為核心的治理架構。在實務規劃層面，建議導入「三段式目標框架」以落實資安藍圖： 1. 量化風險（可預測）：整合資產盤點與暴露面管理(EASM)，針對弱點及設定缺失執行持續性監控，將風險轉化為可視、可量化的追蹤指標。 2. 深化屏障（可防禦）：以零信任架構(ZTA)為核心，輔以身分治理(IAM)與縱深防禦體系，構建精準的存取決策，藉此阻斷攻擊者的橫向滲透路徑。 3. 營運持續（可復原）：以關鍵服務為中心，精確定義復原時間目標(RTO)與復原點目標 (RPO)，建置多層次備援架構，並透過常態化的實戰演練，確保復原程序之可靠性。整體而言，現今資安治理應跳脫「單點防圖2：金融資安韌性發展藍圖資料來源：金管會禦」的框架，轉向「風險可控、防禦有效、復原有據」的全域策略。透過對應行動方案與韌性藍圖之四大面向，整合落實管理基礎，方能提升金融機構在面對數位時代複合型威脅時的抗壓性與營運韌性。 ◤ 因應資安防護相關實踐基於「金融行動方案2.0」與「金融資安韌性發展藍圖」之治理思維，本文彙整金融環境中具高度實務價值之十項防護重點，旨在協助機構強化資安治理成熟度與營運韌性。構建多維度縱深防禦體系之策略重點在金融資安防護的實踐中，縱深防禦的本質應在於透過互補的控制機制，有效抵銷單點失效所帶來的系統性風險。隨著攻擊手法多樣化，單一防線已不足以支撐關鍵基礎設施的防禦需求，金融機構需體認到「防禦在於層次，而非厚度」，唯有透過多維度的重疊管控，方能在駭客突破邊界後，持續發揮阻斷與緩衝能量。臺灣期貨雙月刊 BIMONTHLY TAIFEX 9

建立制度化且具韌性的弱點管理循環弱點管理之成熟度應以建立完整且可驗證的 PDCA（計畫-執行-檢查-行動）循環性改善機制為目標。金融單位應體認到弱點發現僅是起點，真正的防禦深度來自於修補的效率與驗證的嚴謹性。建議將資產盤點與弱點管理流程深度整合，讓修補工作能對齊業務重要性與風險分級。具體作為上，應訂定明確的修補服務水準協定(SLA)，作為各級單位處置時效之標準。針對因業務連續性考量而無法立即修補的案件，應落實正式的例外管理審核，並配置補償性防護措施（如虛擬補丁或網路隔離）。修補完成後，必須執行二次驗證以確認漏洞確實排除，確保風險管理能持續性循環改善，從而顯著縮短系統在已知漏洞下的曝險時間。整合智慧化監控與自動化應變效能為極小化資安事件之平均偵測時間(MTTD)與回應時間(MTTR)，金融機構應強化資安監控中心 (SOC)的現代化建設。傳統依賴人工研判告警的模式已難以應對高速自動化攻擊，因此建構「可視化」與「自動化」兼具的應變能量，已成為金融資安韌性的核心標竿。建議透過SIEM平台整合端點、身分及雲端等多維日誌，提升跨維度關聯分析能力。在此基礎上，進一步引進自動化安全反應機制(SOAR)，針對勒索預警、憑證異常等典型情境建立自動化劇本 (Playbooks)。這不僅能縮短處置時刻，減輕一線分析師負擔，更能確保在面臨大規模攻擊時，能穩定執行精準應變，並同步保留完整的證據鏈與事件時間線。構築抗竄改之勒索韌性與復原體系勒索軟體威脅已演變為精準破壞備份檔的破壞性攻擊，因此金融機構之備份機制必須具備高度的「不可篡改性」與「邏輯隔離性」。金融單位不應僅思考「如何防止被加密」，更應思考「被加密後如何迅速恢復」，將資安策略由單純的防禦轉化為營運連續性的保障。實務作法上，建議金融單位應依據網路層、端點層、應用層及資料防護層，建立嚴密的分層防禦架構。在網路層，除部署次世代防火牆外，應進一步實施網路微分段(Micro-segmentation)與東西向流量監控；端點則應整合EDR/XDR技術提升即時反應力。應用層與資料層則需整合WAF、API Gateway及精細的資料加密機制，確保攻擊行為能被有效阻擋或侷限於極小範圍。推動零信任架構落地與動態存取治理零信任架構(ZTA)的實踐象徵資安思維從「邊界防護」向「核心治理」的重大轉型。在遠距辦公與雲端存取成為常態的今日，傳統「邊界內即安全」的假設已不復存在。金融機構應秉持「永不信任、持續驗證」原則，將安全邊界收縮至每一個使用者與設備的每一次請求，動態評估存取之合法性。在執行路徑上，建議優先針對特權帳號、行動存取及雲端管理平台等高風險場域實施控管。透過多因子驗證(MFA)與設備合規檢查，落實細粒度的最小權限配置(Least Privilege)。此舉不僅能提升存取精準度，更能在帳號遭破解時，有效防範駭客執行橫向移動，確保核心資產在任何連線環境下均具備堅實的身分屏障。深化身分治理與特權存取控管之優先順位身分憑證的完整性是維持金融運作穩定的根基，特權帳號與服務金鑰因具備高度系統權限，始終是駭客鎖定的首要目標。金融機構應將身分治理 (IAM)與特權管理(PAM)列為治理的最高優先等級，特別是針對具有自動化操作特性的API金鑰與服務帳號，應防止其成為長期存在的安全隱患。實務推動上，應積極導入特權存取管理系統，落實即時授權、操作錄影及指令稽核，強化高權限行為的可視性與追溯性。針對服務帳號，應建立嚴謹的金鑰輪替機制與生命週期管理，避免因人員變動或權限過高形成缺口。針對例外情境，亦需建立明確的審核與補償控制程序，透過技術與制度雙重併行，將憑證濫用導致的系統風險降至最低。焦點透視 10

在實務作法上，建議採取線上、離線及「不可變(Immutable)備份」之複合設計，確保關鍵資料在極端情況下仍保有原始副本。此外，應將還原演練常態化，並以關鍵金融服務為核心，嚴格驗證RTO與RPO達成狀況。這種以「可復原性」為導向的韌性設計，能確保機構在遭遇攻擊後仍具備維持服務不中斷的能力，展現出強大的數位生存韌性。強化雲端與混合架構之安全態勢管理雲端架構雖提升了金融業務的彈性，卻也伴隨著組態錯誤與管理平台暴露等新型風險。金融機構在享受雲端優勢的同時，應體認到「設定錯誤即是最大漏洞」。治理重點應從基礎設施轉向雲端控制層(Control Plane)的安全性，確保各項服務配置符合產業安全基準。實務上可導入雲端安全性態勢管理(CSPM)機制，實施自動化持續檢測，主動識別Console或 IaC部署流程的設定錯誤。同時運用工作負載保護平台(CWPP)強化運行環境防禦。為避免監控盲區，建議將雲端安全性日誌全數納入SOC統一監測，確保無論在地端或雲端，皆能維持一致的資安治理水準與事件分析效率，預防因配置缺失引發之風險擴散。推動API 與開放金融之標準化防護機制 API作為數位金融生態系介接的核心，其安全強度直接影響金融交換的可信度。API面臨的風險不僅是漏洞，更多是來自授權繞過與帳號濫用。建議金融機構建立一套標準化的授權與稽核框架，確保每一筆API呼叫皆在合規且受控的環境下進行，降低敏感數據外洩風險。具體作為上，應採行OAuth 2.0與OIDC等國際標準協議，嚴格限制Token權限範疇與效期。此外，應透過API Gateway實施流量限制與異常行為偵測，嚴防撞庫攻擊與自動化數據爬取。針對API 的變更，應納入安全開發生命週期(SDLC)管理，落實測試、審核與版本控制，確保交易軌跡具備不可否認性，在追求金融創新的同時，建構穩健的資料交換環境。實施證據導向之供應鏈與委外治理在全球化分工趨勢下，供應商已成為資安韌性中最脆弱、但也最重要的環節。金融機構應採取「具體證據導向」的管理模式，取代傳統低效的書面問卷自評。治理焦點應放在供應商是否具備實質的風險管理能力，而非僅在書面文件上達成形式合規。在實務作法上，應依服務依賴度辦理供應商分級，並於合約中明確訂定修補時效與演練配合義務。同時，可導入外部攻擊面管理(EASM)技術，持續監控供應商對外暴露資產與已知弱點。針對核心供應商，更應規劃可切換供應商的替代方案，有效降低對單一服務商的過度依賴，從戰略層面確保金融生態系的整體營運韌性。訓練與演練：以資安意識、角色別職能與情境測試提升資安可靠度技術設備僅是防禦的一環，人員的判斷與應變職能始終是最後一道防線。金融機構應體認到「人」是資安中最易受攻擊、卻也最具備彈性的防線。建議建立分層教育訓練體系，對一般同仁強化辨識AI擬真詐騙的警覺性，對資安專業人員則提供角色別的精進職訓。此外，應積極導入攻擊方思維(Adversary Mindset)，定期辦理紅隊/紫隊演練及入侵與攻擊模擬(BAS)。透過制度化的演練，不僅能提升同仁在緊急情境下的流程遵循度，更能在實戰中檢驗現有防禦部署與監控機制的有效性。透過「人、機、料、法」的協同驗證，全面構築以「人」為核心、具備高度可靠性的資安防衛體系。 ◤ 結語：建構以風險為本、韌性為先的金融防護韌性金融資安治理之核心，在於以風險為基石精準配置資源、以韌性為目標規劃復原路徑，並以證據鏈作為落實稽核與持續改善的實證基礎。金融單位應將「金融行動方案2.0」與「金融資安韌性發展藍圖」之戰略指標，轉化為具體可執行的治理藍圖，並透過制度化演練與PDCA循環管理，構築「風險、韌性、證據」三位一體的治理架構。唯有落實此治理方向，方能在複合型威脅挑戰下，維持關鍵金融服務的連續性、穩定性與社會可信度。臺灣期貨雙月刊 BIMONTHLY TAIFEX 11

開源軟體治理新挑戰：金融數位轉型下的隱形風險 ◤ 前言隨著金融服務邁入高度數位化的新階段，軟體開發模式正經歷深刻轉變。開源軟體(Open Source Software, OSS)憑藉著成熟的社群協作與快速迭代的優勢，已成為現代金融數位基礎建設的底層支柱。然而，當開源軟體成為數位服務的「底層基因」，隱形風險也會跟著放大。根據Synopsys發布的《開源安全與風險分析報告》(OSSRA)，在其稽核的商業應用程式中，高達97%含有開源套件，且其中78%存在著高風險漏洞；與此同時，包含金融業在內的高度監管產業，其開源授權衝突(License Conflicts)的問題亦相當普遍。在金融業追求「數位營運韌性(Di g i t a l Operational Resilience)」的脈絡下，挑戰已不再只是單純地「找到漏洞」；更關鍵的是：如何把治理能力內嵌到開發與維運流程中，形成可持續、可稽核、可追溯的風險控管體系。 ◤ 趨勢觀察在金融服務高度依賴開源軟體的現實下，風險型態正悄悄轉變。治理的焦點正從過去的單點稽核，轉向對整個軟體供應鏈的持續掌握與動態防禦。風險從漏洞利用走向源頭滲透現在的攻擊者不再只依賴傳統的漏洞利用 (Vulnerability Exploitation)，而是更偏好從供應鏈的源頭下手。這種「源頭滲透」的隱蔽性極高，往往在軟體尚未編譯完成前就已植入惡意邏輯，其主要手法包括： 1. 長期潛伏與權限獲取：在熱門專案中植入後門 (Backdoor)。攻擊者可能透過長期的貢獻建立信譽，最終獲取維護權限以植入惡意程式碼，如著名的XZ Utils事件即展現了這種長期潛伏與滲透的手段。 2. 名稱誘騙與A I 幻覺利用：以名稱誘騙 (Typosquatting/Brandjacking) 誤導開發者安裝惡意套件。攻擊者註冊與熱門套件名稱極為相似的虛假元件，例如將requests寫成 requets。值得注意的是，隨著生成式AI輔助開發普及，攻擊者開始利用「AI幻覺」誘騙AI推薦虛構的惡意套件，進而使開發者在自動補齊程式碼時引入風險。 3. 傳遞相依性的深度威脅：研究指出，高達 95%的漏洞藏於開發者不易察覺的傳遞相依性中。在多數語言的生態系裡，相依鏈常以多層方式向下延伸，深層的二級、三級或更後層級套件在運作時被動帶入，這些難以直觀看見的程式碼，便成了金融資安中最容易被忽略的風險點。根據Sonatype的統計，全球開源套件下載量在2025年已達到9.8兆次，年增長率高達67%，這種高度依賴開源生態的開發模式，也讓潛在風險隨著下載量同步擴大（如表1）。文／高隆樺（期交所資訊規劃部經理）、余昶叡（期交所資訊規劃部專員）表1：主流程式語言生態系之開源套件統計（2025年統計）生態系年度下載量 (Downloads) 年增率 (YoY) 新增套件數總套件數 JavaScript (Npm) 7.97兆次 65.4% 74.9萬個 559萬個 Java (Maven) 8,390億次 19.4% 26.0萬個 80.8萬個 Python (PyPI) 8,049億次 50.6% 21.4萬個 82.1萬個 .NET (NuGet) 2,233億次 17.0% 14.4萬個 76.0萬個焦點透視 12

監理從文件走向證據鏈供應鏈風險升溫後，「有制度」固然重要，但越來越多國際規範在意的是：制度能不能對應到「可驗證的證據」。歐盟執委會公布的《網路韌性法案》(Cyber Resilience Act, CRA)明確列出時程：CRA已於 2024年12月10日生效，並將在2027年12月11日全面適用。這類法規背後的方向很清楚：透明度不是「寫在文件裡」，而是要能在產品與交付流程中被機器檢核與追溯。在臺灣，金管會亦於2025年12月30日發布最新的《金融資安韌性發展藍圖》(FORCE-B)，其核心亮點之一為推動「資安左移」，鼓勵金融業導入安全軟體開發流程(SSDF)，在開發初期嵌入安全控制。此外，為提升供應鏈透明度，該藍圖亦規劃建立軟體物料清單(Software Bill of Materials, SBOM)追蹤機制，並將透過研訂相關自律規範引導金融業落實，以強化軟體供應鏈的安全管理。委外關係與信任鏈的透明化在金融生態系，委外與第三方API整合是常態；問題不在於「要不要委外」，而在於「委外交付是否可被驗證」。根據調查，資料外洩事件中有30%牽涉第三方軟體供應鏈；Gartner的調查亦指出，過去兩年有高達45%的組織曾遭遇與第三方相關的業務中斷。因此，監理視角已逐步形成共識：第三方交付不應只有功能驗收，還必須把「交付透明」納入驗收與供應商管理條件（例如交付版本對應的成分清單與風險聲明），以降低事件發生時的溯源與盤點成本。 ◤ 治理實務面對日益複雜的開源風險威脅，單靠人工審核或零散的漏洞掃描已難以有效應對。治理重點正逐步轉向，讓風險管理不再是「事後補救」，而是「隨著每次提交、建置、發布自動更新」的日常作業。換言之，持續整合與持續佈署(Continuous Integration/Continuous Deployment, CI/CD)不只是交付效率工具，更是治理落地的主戰場―透過自動化流程強化開發階段的安全把關，確保產出過程留下稽核軌跡，並落實量化指標追蹤，才能在開發效率與資安防禦之間取得最佳平衡。為使治理原則能落實於日常開發流程，整體實作架構通常可歸納為以下四個彼此關聯、相互支撐的核心面向：看見成分：SBOM的動態管理 SBOM是軟體的「成分表」，能描述套件名稱、版本、供應來源與相依關係。美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)的SBOM指引強調：SBOM的價值在於「可交換、可比對、可用於風險決策」，而不只是把清單產出成 PDF。在標準實作上，業界普遍推廣採用CycloneDX 等機器可讀格式。特別是CycloneDX v1.6版本強化了供應鏈安全能力，例如加入密碼學物料清單 (Cryptography Bill of Materials, CBOM)、數位證明 Attestations等，使「成分透明」能延伸到加密演算法與符合性證明，完美對接金融業防範量子運算威脅的需求(如下頁圖1)。判斷影響：利用VEX建立標籤機制漏洞治理的常見痛點往往不是「掃不到」，而是「掃到太多卻難以判斷優先順序」。在開源供應鏈中，多數弱點出現在傳遞相依性(Transitive Dependencies)的深層套件；然而，漏洞存在不等於在特定系統中可被觸發或可被利用。如果缺乏情境化判定，團隊很容易被大量「看起來嚴重、實際影響有限」的警示淹沒，反而拖慢真正高風險項目的處置速度。 VEX(Vulnerability Exploitability eXchange)正是為了解決這個落差而提出的標準化機制：針對某個已知漏洞，開發或維運團隊可以依據自身部署情境，提供結構化的「受影響/不受影響」與「可利用性」判定，並附上理由與佐證（例如：功能未啟用、相關程式碼路徑不可達、設定條件不成立、已採取補償控制等）。透過VEX的標籤臺灣期貨雙月刊 BIMONTHLY TAIFEX 13

零信任架構：持續驗證與動態防禦現行國際資安框架正逐步將零信任架構(Zero Trust Architecture, ZTA)的理念延伸至軟體供應鏈治理。依據美國國家標準暨技術研究院(NIST)的 SP 800-207指南，零信任的核心哲學為「從不信任，始終驗證」，要求在授予權限前，必須透過動態政策持續評估資產與資源的安全態勢。在自動化開發流程中，NIST SP 800-204D明確指出，CI/CD的每一個交接點(Handoffs)皆需進行「重複性的信任建立(Recurring Trust Establishment)」，以消除開發與部署環節中的隱含信任。實務運作上，零信任架構扮演著統籌全局的決策中心。前述的SBOM、VEX與SCA工具負責產出軟體成分、漏洞可利用性與合規狀態的「動態證據」；零信任的政策決策引擎則將這些數據作為輸入來源，一旦發現未經驗證的元件或具備風險的相依套件，便能動態阻斷其部署或存取。這類將供應鏈透明度轉化為自動化存取控制的機制，也正是金管會《金融資安韌性發展藍圖》與理由欄位，組織能把弱點清單從「單純列舉」提升為「可執行的決策依據」，在不忽略風險的前提下，顯著降低無效警報對處置能量的干擾，讓修補資源集中在真正可被利用、且影響面大的項目上（如表2）。確保合規：授權與屬性的即時監測開源治理另一個常被低估的面向是「授權風險」。近年不少知名開源專案（如 Redis、 HashiCorp等）出現授權政策調整，從寬鬆協議轉向更具限制性的授權模式；若未及時識別，金融機構可能面臨合規風險、侵權爭議，甚至被迫調整既有系統使用方式的成本。因此，較成熟的做法是把授權檢核也設計成 CI/CD或套件供應鏈的「關卡」：透過自動化軟體組成分析(Software Composition Analysis, SCA) 機制，在套件進入內部儲存庫(Repository)或進入建置流程之前，先完成授權屬性辨識與政策比對；一旦偵測到不合規授權或授權異動，流程即可觸發警示甚至自動阻斷，防止具潛在風險的套件進入最終交付路徑。圖1：CycloneDX v1.6 SBOM範例焦點透視 14

(FORCE-B)推動金融業防禦邁向成熟階段的重要目標。 ◤ 總結開源軟體治理已由單純的資訊管理議題，逐步升級為數位服務韌性的核心能力。從開源技術帶來的敏捷效率，到來源威脅帶來的風險擴張，再到SBOM、VEX、SCA與零信任架構等實務工具的整合，企業的治理路徑正從「追求透明」走向「精準回應、可驗證交付」。展望未來，治理成效不再只取決於「發現多少問題」，而更關鍵於是否能透過標準化流程與自動化技術，把風險管理無縫嵌入日常研發與營運節奏之中。面對歐盟CRA法案與金管會 FORCE-B藍圖等越趨嚴謹的監理要求，唯有持續投入資源與迭代防禦體系，組織才能在快速變動的技術浪潮中守住服務穩定，並為長遠的數位成長奠定更堅實、更安全的基礎。 ◤ 參考資料 1. Black Duck: 2025 Open Source Security and Risk Analysis (OSSRA) Report. 2. Sonatype: 11th Annual State of the Software Supply Chain Report. 表2：VEX狀態碼對應之判定基準與處理方式 VEX狀態碼判定基準處理方式 Not Affected 系統功能未觸及該漏洞或存在補償措施記錄在案並在掃描報告中白名單排除 Affected 系統功能觸及該漏洞且無補償措施立即啟動修補流程或執行緊急緩解 Fixed 已透過更新套件版本或修補程式解決驗證版本更新後的系統完整性 Under Investigation 已確認受影響套件存在，尚未完成影響性評估列入優先觀察清單，透過日誌監控異常，並設定評估完成期限 3. IBM Security: 2025 Cost of a Data Breach Report. 4. Verizon: 2025 Data Breach Investigations Report (DBIR). 5. Gartner: 2025 Cybersecurity Trends and Strategic Planning Guide. 6. 臺灣金融監督管理委員會(FSC)：金融資安韌性發展藍圖(FORCE-B). 7. European Commission: Regulation (EU) 2024/2847 - Cyber Resilience Act. 8. CISA: Software Component Security Guidance: Implementation of SBOM and VEX Version 2.0. 9. CycloneDX Standard Body: CycloneDX v1.6 Technical Specification. 10.OWASP Foundation: Open Source Software Top 10 Risks (2025 Update). 11.NIST: Special Publication 800-161 Rev. 1, C-SCRM Practices. 12.NIST: Special Publication 800-204D, Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/ CD Pipelines. 13.NIST: Special Publication 800-207, Zero Trust Architecture. 臺灣期貨雙月刊 BIMONTHLY TAIFEX 15

生成式AI 詐欺的態樣與監管應對 ◤ 生成式AI帶來的新型詐欺風險近年生成式人工智慧快速發展，也使詐騙犯罪進入新的技術階段。根據內政部警政署統計，臺灣詐騙案件與財損金額逐年攀升，顯示詐騙手法已從傳統話術逐漸轉向科技化與組織化，特別是AI科技的運用，大幅提升欺騙成功率與傳播速度，對社會信任與經濟秩序造成嚴重衝擊。與過去仰賴人工對話的詐騙樣態不同，AI 技術可複製受害者信任對象的聲音、影像或語言風格，並以大量資料分析精準鎖定目標。這種技術驅動的詐騙模式，使詐騙活動呈現自動化、大規模化與模組化特徵，形成新型態的數位犯罪結構。 ◤ 生成式AI在詐騙中的主要應用態樣詐騙集團將生成式AI運用於多種技術場景，使詐騙行為更加擬真且難以辨識。主要應用態樣包含：語音模擬技術 AI語音克隆技術可透過少量錄音資料重建特定人物的聲音特徵，包括音色、語速與語調。詐騙者常利用此技術冒充親友、主管或政府官員進行詐騙，例如假冒親人急需金錢或公司主管指示匯款，使受害者因聽見熟悉聲音而降低警戒。深偽影像技術深偽(Deepfake)技術利用「生成對抗網路」 (Generative Adversarial Network ,GAN)生成高度擬真的影像或影片，可模擬人物表情與口型，使視訊或影片看起來極為真實。此技術可被用於冒用名人、政治人物或企業高層進行詐騙，甚至製作假影片操縱輿論或勒索受害者。文本生成與假新聞大型語言模型可快速生成自然流暢的文章或文／譚德明（期交所資訊作業部經理）、徐伊瑩（期交所資訊作業部副組長）對話，使詐騙者能大量製作假新聞、偽公告或客服對話。透過社群媒體散播後，容易造成群眾誤判，甚至影響金融市場或政治輿論。虛假帳號與評論操作 AI亦可生成大量假帳號與評論，模擬真實社群互動。例如投資詐騙常利用大量「成功案例」或「學員回饋」製造投資獲利假象，誘導新受害者加入。 ◤ 詐騙產業鏈的工業化發展生成式AI的導入，使詐騙產業逐漸形成類似企業分工的結構。除了傳統的話務中心與金流車手外，還出現專門提供AI工具與詐騙系統的「技術供應商」。這些服務包括資料蒐集、AI生成素材、詐騙腳本設計及假網站建立等，形成所謂的「詐騙即服務」(Fraud-as-a-Service, FaaS)。在此模式下，詐騙流程被拆分為資料蒐集、內容生成、誘騙執行與金流處理等階段，各階段均有專業角色負責。這種分工不僅提升詐騙效率，也增加執法機關追查責任鏈的困難度。 ◤ 臺灣現行法制與治理困境面對AI詐騙的興起，我國已逐步調整相關法律。例如《刑法》新增不實影像散布罪，《選罷法》亦針對深偽影像散布建立刑責；此外，《詐欺犯罪防制條例》要求網路廣告揭露AI生成影像資訊，以提升透明度。然而整體制度仍以「事後處罰」為主要治理方式。生成式AI內容具有即時生成與快速傳播的特性，詐騙往往在辨識前即已完成，使執法與司法程序難以及時介入。此外，跨國犯罪、匿名通訊與虛擬貨幣洗錢等因素，也使追查與舉證更加困難。目前政府透過「打詐國家隊」推動跨部會合作，並利用AI分析詐騙語言與金流模式，從刑事焦點透視 16

打擊轉向多層次治理，逐步強化相關反詐體系，近年具體作為包括： 1. 《詐欺犯罪危害防制條例》及相關子法（2024 年施行）：要求多家納管之網路平台須履行多項防詐責任，包含驗證廣告之委託刊播者、出資者之身分，並具體要求業者訂定防詐計畫及定期發布透明度報告，以督促業者落實驗證，並確保廣告之真實與透明。 2. 新世代打擊詐欺策略行動綱領2.0版（2025年實施）：升級「打詐國家隊」，落實「識、防、堵、阻、懲」五大策略，達成「減少接觸、減少誤信、減少損失」之「三減」目標，透過整合警政、金融與數位資源，包含金融機構、虛擬資產服務提供商、電信事業、網路廣告平台、第三方支付服務、電商及網路連線遊戲等七大防詐關鍵產業，共同合作遏止詐騙。 3. 金管會《金融業運用人工智慧(AI)指引》（2024年發布）：協助金融機構安全導入AI，提升服務效率並保障客戶權益。例如針對金融機構委託第三方業者導入AI系統相關作業時，就雙方風險監控的責任分工，明訂金融機構宜採行之監督管理措施，以防範AI濫用於詐欺。 4. 數位發展部《網路詐騙通報查詢網3.0》（2025 年上線）：以「通報更全面、審查更快速、下架更即時、民眾更好用」為核心亮點，強化通報、下架與公私聯防，全面升級各項功能。 ◤ 國際AI監理趨勢表1：現行國際AI 監理機制面對AI帶來的風險，各國與國際組織已逐步建立監理架構，概述整理如表1：整體而言，全球AI治理逐漸形成以「風險管理、透明揭露與平台責任」為核心的監理模式。 ◤ 結論：建立新的數位信任治理體系生成式AI正在重塑資訊環境，也使詐騙犯罪進入新的技術階段。若仍以傳統刑事追訴為主要治理方式，將難以有效因應AI帶來的風險。因此，未來AI治理必須建立在「可辨識、可追溯、可問責」三大原則之上。透過法律制度、行政協作與技術機制的整合，建立完整的生成內容治理體系，才能在促進 AI創新發展的同時，有效遏止AI詐騙的擴散並維護社會信任與資訊安全，強化人民的財產安全。 ◤ 參考資料 1. 郭戎晉，〈人工智慧風險治理與監管機制建構之研究──以歐盟《人工智慧法案》與美國《人工智慧風險管理框架》為中心〉，《世新法學》，第17卷第1期，2023年12月。 2. 張麗卿(2025)，〈AI法規治理規範研議之比較 ──國際間AI法規治理之新趨勢（上）〉，《月旦法學雜誌》，359期，2025年4月。 3. 趙萃文，〈科技創新下的法律挑戰──以人工智慧為中心〉，《軍法專刊》，第70卷第2期， 2024年5月。法領域/項目監管架構主要規範生成式AI內容治理平臺責任管理機制歐盟/AI Act、DSA、 DMA 風險導向規制與內容揭露義務並進禁止性、高風險、中低風險AI 強制標示AI生成內容（浮水印、數位標籤） DSA/DMA要求大型平臺負責風險控管與透明揭露義務、加強平臺使用端風險回應能力 OECD、G7/OECD人工智慧原則、廣島AI進程透明性與可追溯性為核心原則聚焦AI可追溯性建議使用標籤、提示標示鼓勵企業自律、平臺建立內容驗證無強制執法，僅指導監管原則日本/AI法案中央主導、協調統合的指導型架構成立AI統管機構統籌給予政府部門調查與指導權限，必要時可公開違規企業名稱鼓勵企業自主提升 AI技術的安全性與透明度避免過度監管阻礙技術創新美國/第14110號行政命令、第14179號行政命令分散式治理與自律導向的實驗體系第14179號行政命令各州分別治理 FTC持續對AI監管推動更自由的AI發展環境臺灣期貨雙月刊 BIMONTHLY TAIFEX 17

文／姚怡德（允辰資訊總經理）資料治理驅動AI 成效：從資料孤島到跨部門協作 ◤ 前言 2026年，人工智慧（Artificial Intelligence, AI）與生成式AI（Generative AI, GenAI）已成為供應鏈優化、精準醫療與金融決策的核心引擎。然而，企業在規模化部署AI時面臨冷峻現實：AI 的產出價值，完全取決於輸入資料的品質。傳統資料管理模式正承受前所未有的壓力。當企業試圖建構全方位的商業模式時，往往發現關鍵資料散落在財務、銷售、生產等各自的「資料孤島（Data Silos）」中，導致格式不一、定義模糊，更隱藏了隱私合規與演算法偏見的巨大風險。多數企業在推動AI轉型時，常陷入「重演算法、輕資料」的盲點。根據Gartner研究，超過八成的AI專案未能達到預期成效，其原因往往不在於AI 模型不夠先進，而是缺乏一個經過治理（Governed）且高品質的資料作為基礎。本文將深入探討如何透過Gartner倡導的「主動式資料治理」與「AI信任、風險和安全管理（AI Trust, Risk and Security Management, AI TRiSM）」框架，將企業內部的資料孤島轉化為可信的AI資產。 ◤ 緒論：AI 時代的資料重構在2026年的商務環境中，企業競爭力已不再取決於演算法的複雜度，而是取決於「資料含金量」。然而，多數台灣企業在推動AI轉型時，仍面臨嚴重的資料債務（Data Debt）。Gartner指出，資料治理若僅停留在合規檢核，將無法支撐 GenAI對語境深度與即時性的要求。 GIGO數位詛咒傳統報表時代，資料錯誤頂多是季報失真；但在AI時代，「垃圾進，垃圾出（Garbage In, Garbage Out, GIGO）」會演變成災難。AI會自動學習並放大資料偏差，將錯誤迅速擴散到每個決策節點。以預測性維修為例，若提供給AI的歷史資料不完整，頻繁的誤報將導致產線無故停工，其損失遠高於傳統人工檢查。資料孤島：AI規模化的頭號絆腳石「資料孤島」是企業過去數位化累積的後遺症。各部門根據自身需求建立獨立的資料庫與格式，導致AI找不到唯一的「真相」。例如，行銷部門認為「客戶」是曾留過資料的人，而財務部門對「客戶」的定義則是有過交易紀錄，因定義分歧造成邏輯與產出資訊矛盾。許多關鍵資料仍受困於舊有系統（Legacy Systems），AI因系統代溝而無法即時串接，導致洞察失效。最終造成資料科學家須將八成的時間都耗在清理資料，而非最佳化模型，這就是資料債務的代價。隱形紅線：隱私洩漏與倫理風險隨著生成式AI（GenAI）的興起，帶來的合規挑戰更加嚴峻。當企業將敏感的客戶資料或商業機密提供給大語言模型（Large Language Model, LLM）時，如果缺乏治理，這些資料可能會被模型「內化」並在其他不相關的對話中洩漏，成為新的資安破口。此外，資料中的隱性偏見（如性別、族群或地區差異）若未經治理篩選，AI將會自動繼承甚至放大這些偏見，導致貸款審核、人才篩選等應用出現演算法歧視結果，進而引發企業的法律風險與品牌聲譽危機。從「資料量」轉向「資料品質」 AI時代的關鍵不在資料多寡，而在「資料含金量」。AI並不能自動解決紊亂的資料問題；反而會讓紊亂變得更有破壞力。因此，建立一套能夠自動化盤點、清理並監控資料流向的治理框架，企業才能將「資料存量」轉化為真正的「轉型戰力」。 18 關鍵看法

◤ AI 治理的戰略定位：從「基礎資料」到「倫理防線」在探討如何打破資料孤島之前，我們必須先釐清「治理」在AI時代的演變。企業過去所熟知的「資料治理」是為了讓資料「可用」，而現代的「AI治理」則是為了讓模型「可信」。 AI治理的定義：建構安全且可規模化的文化 AI治理不只是IT規範，更是確保企業能「安全、高效、規模化」導入AI的管理架構。如果資料治理是確保水源清澈，AI治理就是確保這道水流進入自動化灌溉系統後，能精準、公平且無副作用地分配到每一寸農田。治理演進：從「靜態管理」轉向「動態監督」治理1.0：傳統資料治理強調資料的準確性、一致性與安全性。主要工作包括建立資料字典、定義元數據（Metadata）以及管理存取權限。其目標是確保商業智慧（Business Intelligence, BI）報表的數字是正確的。治理2.0：大數據與雲端治理治理重點轉向擴展性與自動化，強調「資料血緣（Data Lineage）」，在巨量資料流動中追蹤來源。治理3.0：AI治理治理對象從「資料」延伸到了「模型」。除了資料品質，更追求「負責任的AI（Responsible AI）」。 ● 去除偏見：主動偵測並修正訓練資料中的歧視因素。 ● 可解釋性：拆解AI「黑盒子」，記錄決策邏輯以供稽核。 ● 模型管理：監控AI模型是否隨時間產生「漂移(Drift)」，防止其隨時間退化或產生「幻覺 (Hallucinations)」。 Gartner強調，成功的AI實踐必須建立在AI TRiSM框架之上。這不單是防禦機制，更是驅動成效的引擎。 ● 信任(Trust)：透過資料血緣確保資料源頭可信，消除AI幻覺。 ● 風險(Risk)：建立自動化標籤機制，防止機敏資料流入公共模型。 ● 安全（Security）：強化資料邊界控管，防止反向工程洩漏商業機密。 AI治理的三大核心價值將治理框架納入AI策略中，能為企業帶來三項不可替代的優勢。第一、建立信任：建立業務單位與客戶對AI決策的信心，消除因害怕「失控」而產生的轉型阻力。第二、確保合規：預先對接如歐盟「人工智慧法案（EU AI Act）」或台灣金管會相關指引，降低潛在的法律風險。第三、提高成效：透過受治理的高品質特徵資料，顯著提升AI模型的預測準確度與穩定性，縮短從研發到產生實際效益（Time-to-Value）的週期。 AI治理並非資料治理的替代品，而是其進階的延伸。沒有強大的資料治理作為地基，AI治理將成為空中樓閣；而沒有AI治理的引導，資料治理的價值將難以在自動化時代轉化為真實的商業成果。 ◤ 打破孤島的技術路徑在釐清治理的定義後，企業面臨最現實的障礙便是如何拆除部門間的「資料高牆」。資料孤島不僅是技術上的隔離，更是組織流程與信任機制的斷裂。要驅動AI成效，必須建立一套能讓資料自由流動且受控的協作架構。過去企業將資料視為IT系統的「副產物」，導致資料品質低落且難以取用；而在AI驅動的時代，企業必須將資料視為具備商業價值、可重用且受保護的「產品」。資料產品化的核心定義：從「原始資產」到「貨架商品」傳統的資料交付方式是「需求驅動」，即AI 團隊向IT部門提出需求，IT再從資料庫擷取（Extract）資料。這種模式導致協作週期過長且資料標準不一。資料即產品（Data as a Product, DaaP）則主張將資料包裝成具備以下特徵的產品： ● 可發現性(Discoverable)：透過資料市集(Data Marketplace)，業務使用者能像在網路購物一樣搜尋到所需資料。 ● 自描述性(Self-describing)：產品附帶清晰的元數據，包含定義、來源、更新頻率與使用說明。 ● 安全性與合規性(Secured by Design)：權限控管與遮罩機制已內建於產品中，而非事後審核。 19 臺灣期貨雙月刊 BIMONTHLY TAIFEX

RkJQdWJsaXNoZXIy MTI2NzAzOA==