愛沙尼亞「監管 AI」並不僅是從這 AI 時代開此。從 2021 年要求行政部門公開國有軟體,到 Bürokratt 把公共服務做成 AI 虛擬助理網路,再到 2026 年提出 AI 代理專屬數位身分,它的主軸其實很一致:政府數位服務要能互通、可授權、可追蹤,也要知道責任在哪裡。這套思路對台灣有參考價值,但不能只看成果,必須先看它背後二十多年累積的數位身分、X-Road 資料交換與公共服務的基礎建設。

趨勢與重點

開放原始碼先被放進國家治理,而不是只停在倡議口號

愛沙尼亞在 2021 年 5 月 12 日由國會通過修正《愛沙尼亞國有財產法》,新規於 2021 年 6 月 1 日生效,要求行政部門公開由政府全部或部分擁有的軟體;若政府只擁有部分所有權,則公開國家持有的部分(來源:OSOR)。

這不是「所有東西無條件公開」。原文也說,若公開可能損害國家、公共秩序、國家安全,或涉及網路安全風險,負責機構可以決定不公開。換句話說,愛沙尼亞把開放原始碼做成一套程序:預設公開、說明用途與條款,也保留安全例外。

這個脈絡很重要。愛沙尼亞過去已公開 X-Road 等數位政府基礎設施,並設有 koodivaramu.eesti.ee 作為政府軟體發布平台(來源:OSOR)。它的價值不只是儲存庫數量,而是把開放原始碼放在跨機關資料流通與互通性的底層。

Bürokratt 把 AI 服務設計成公共網路,而不是單一聊天機器人

Bürokratt 是由愛沙尼亞政府開發、基於 AI 的公共部門虛擬助理,部署在各公部門機構網站上,讓民眾透過自然語言取得機構資訊、使用公共服務與資訊服務(來源:Kratid:Bürokratt)。

它現在的做法包括使用大型語言模型與 RAG,讓助理根據機構指定來源回答問題;2025 年底前,規劃建立通用知識模組、核心元件與全域分類器,讓不同 Bürokratt 之間能安全通訊;自 2026 年起,則走向各機構或領域擁有個人化 AI 代理,並形成統一協作的代理網路(來源:Kratid:Bürokratt)。

這讓問題從「哪個模型比較好」轉成「公共服務中的 AI 要怎麼接資料、怎麼清理資料、怎麼跨機關協作、怎麼限制權限」。Bürokratt 軟體本身免費,但通常託管在 State Cloud,每月約 150 歐元,另有 LLM 使用成本;導入機構也需要投入資料蒐集與清理,RIA 可提供展示到上線支援(來源:Bürokratt LLM 指南 PDF)。

數位主權不只在系統,也在語言模型能不能被判斷

Eesti.ai 的材料把 AI 治理拉到語言與文化層次。愛沙尼亞語言研究所(EKI)建立語言模型評測基準,用來評估大型語言模型的愛沙尼亞語品質、對愛沙尼亞文化脈絡的理解,以及抵抗宣傳資訊的能力(來源:Eesti.ai)。

原文指出,愛沙尼亞語 AI 不會自行成熟;不同模型表現差異很大,較輕量、低成本的模型在愛沙尼亞語上往往較弱,若使用不適合的模型,可能增加誤導資訊傳播風險(來源:Eesti.ai)。

這裡的「數位主權」不是抽象主張,而是公部門、教育機構、企業與民眾能不能知道自己正在用什麼模型、它是否適合本國語言與文化情境、它在公共任務中可能造成什麼偏誤。

AI 代理身分把問題推到最小授權與責任歸屬

愛沙尼亞總理 Kristen Michal 2026 年 6 月底表示,已支持 Eesti.ai 顧問委員會提出的方向:為 AI 代理建立獨立於個人、企業或機構的數位身分,也就是 AI 個人識別碼(來源:Eesti.aiDecryptThe Next Web)。

這項提案的核心,不是把 AI 當成人,而是避免 AI 代理借用人的完整帳號。代理應只能取得有限、可控管、可稽核的權限,例如查看資料、準備文件、建立付款指示,或只在特定金額上限內行動(來源:Eesti.aiDecrypt)。

但目前尚未說明制度何時上路,也未交代當 AI 代理造成金錢損失或錯誤決策時,責任與賠償如何分配(來源:DecryptThe Next Web)。

我們的觀察

1. 愛沙尼亞核心一直不是「 AI 化」,而是把數位國家做成經得起檢視的基礎設施。

從 X-Road、數位身分、數位簽章、資料存取軌跡,到政府軟體預設公開,愛沙尼亞的 AI 代理身分提案是在既有治理邏輯上延伸。它不是單點產品創新,而是把代理行為放進可授權、可追蹤、可問責的公共基礎設施。

2. 最小授權是 AI 代理治理的起點,不是口號。

現在許多 AI 代理討論都在談能力:能不能訂票、報稅、寫文件、跑流程。但愛沙尼亞把焦點放在限制:代理能代表誰、做什麼、拿到哪些資料、能不能付款、上限是多少。這比一般 AI 倫理宣言更具體,也更接近真正會發生事故的地方。

3. 開放原始碼與資料治理是同一套治理思路,不是兩條線。

愛沙尼亞要求國有軟體公開,同時保留安全例外;Bürokratt 要跨機構通訊,也必須處理資料清理、共用元件與機構責任。這提醒我們,政府開源不只是把程式碼丟出來,而是讓公共系統的設計、維護、授權與例外條件可以被討論。

4. 台灣的切角不該只問「能不能複製愛沙尼亞」。

台灣有自然人憑證、健保卡、政府資料開放、MyData、T-Road 相關討論與各種部會數位服務,但跨機關資料治理、授權紀錄、公共系統開源、AI 服務責任歸屬,仍常分散在不同政策語境裡。愛沙尼亞案例真正可參考的,不是某一個系統,而是把身分、資料交換、開源、AI 服務與責任設計放在同一張圖上,有一致的思路。

5. 語言模型選擇能力,也是台灣需要面對的數位主權問題。

愛沙尼亞擔心小語言在低成本模型上表現較弱,台灣也有類似問題,只是形式不同:繁體中文、台灣語境、法律制度、在地行政用語、原住民族語言與台語、客語等,都可能被大型模型混同或低估。若公部門只是採用外部模型,卻沒有評測基準與資料治理能力,就很難知道錯誤會在哪裡發生。