資通安全法律案例宣導彙編 第4輯

　　維吉尼亞州最高法院以維吉尼亞州電腦犯罪法(Virginia Computer Crimes Act)中關於垃圾郵件之條文違反美國憲法第一修正案對言論自由之保護，於2008年9月12日判定該條文違憲。 　　2003年時，維吉尼亞州檢方為追查垃圾郵件發送人，而搜索居住於加州地區之Jeremy Jaynes，據信Jeremy Jaynes透過發送垃圾郵件每月可獲利達75萬美元。在該次搜索過程中，維吉尼亞州檢方發現Jeremy Jaynes持有大量電子郵件位址資訊以及上百萬美國線上公司(AOL)用戶之電子郵件帳號及其他個人資訊，檢方便以維吉尼亞州電腦犯罪法中關於垃圾郵件之規範起訴他。Jeremy Jaynes在一審及二審均被判有罪，然其抗辯維吉尼亞州電腦犯罪法中關於垃圾郵件規範之條文違反美國憲法第一修正案所保障之言論自由。 　　維吉尼亞州最高法院認為，電腦犯罪法中關於垃圾郵件之規範並不以商業性電子郵件為限，則包含政治性言論以及宗教性言論之非商業性電子郵件亦將受到此一條文之限制。有鑑於發表匿名言論乃是美國憲法第一修正案所保護之言論自由的一環，該法條即必須通過嚴格審查標準，亦即該管制規範必須係為達州之重大公共利益之侵害最輕微的手段，電腦犯罪法之該條文並無法通過此一審查標準之檢驗，故而判定違憲。

　　2016年11月澳洲國家交通委員會（簡稱NTC）公布「自駕車政策革新報告」（Regulatory reforms for automated road vehicles Policy Paper），當中釐清對自駕車各項可能遭遇的法規障礙並設定修正時程，2017年4月16號NTC並進一歩依前份文件規劃提出「控制自駕車相關規範建議」討論文件，釐清自駕車的控制定義與相對應規範，並提出法制規範修正內容。 　　2016年澳洲政府並通過了關於陸路交通科技的「政策原則」（Policy Principles），其中包括政府決策時應基於改善交通安全、效率、永續發展和成果的可能實現，並且應以消費為中心等原則，這些原則構成了澳洲政府的政策框架。 　　澳洲NTC此份討論文件中，提出應釐清能「控制（in control）」自駕車的對象，此將影響自駕車事故的負責人為誰。NTC提出目前仍應定義人類駕駛為控制自駕車的一方而非自駕系統，以避免人類駕駛做出不適當的操作行為。 　　NTC並釐清「恰當控制」的定義。「恰當控制」為澳洲道路法規第297條第1項：「駕駛者不得駕駛車輛除非其有做出恰當控制」中所規範。恰當控制被目前的執法機關詮釋為駕駛者應坐在駕駛座上並至少有一隻手置於方向盤上。但「恰當控制」將因自動駕駛系統的操作方式受到挑戰。因此NTC認為「恰當控制」不一定需要將手置於方向盤上，而是要有足夠的警覺性和能即時進行干涉，此定義並應隨著科技發展而修正。 　　本次政策文件意見徵詢至2017年6月2日，收到意見後NTC將會意見納入未來的全國性實施政策方針，提交給澳洲交通與基礎建設諮議會（Transport and Infrastructure Council）通過，預計於2017年年底前完成此自駕車方針。

　　美國聯邦貿易委員會（Federal Trade Commission, 以下稱FTC）在2017年2月6號於其網站中公布， VIZIO, Inc.（以下稱VIZIO），世界最大的智慧電視製造商之一，在未取得購買該公司產品之千萬餘名消費者同意下，即於所生產之智慧型電視中，安裝蒐集消費者收視行為數據之軟體，然此舉業涉及違反美國聯邦貿易委員會法第45條（15 U.S.C. § 45 (n)）以及紐澤西州消費者欺詐法（New Jersey Consumer Fraud Act）。為此VIZIO將支付和解金與美國聯邦貿易委員會及紐澤西州檢察總長辦公室。 　　本案起訴狀內容指出，VIZIO及其相關企業於2014年2月起便開始於其製造之智慧電視中獲取消費者在收視有線電視、寬頻、機上盒、DVD播放機、無線廣播以及串流裝置等相關影像資料時之資訊。這些資訊包含了性別、年齡、收入、婚姻狀況、教育程度、住屋資訊等交付與VIZIO、第三方及其相關企業做為行銷、發送特定廣告使用。 　　起訴狀中並稱該公司所謂之智能互動機制，雖可做為協助節目製作和建議，卻也同時於未對消費者詳細說明之下，逕行蒐集相關收視資訊，而此類追蹤消費者資訊屬不公平且欺騙的行為，已違反了FTC與紐澤西州對於消費者保護之法律。 　　為達成本案之和解，該公司願支付兩百二十萬美元作為和解金，包含向FTC繳納的一百五十萬美元及一百萬美元罰款與紐澤西州消費者事務所。聯邦法院命令並要求VIZIO必須清楚揭露其蒐集資料及分享給他方單位之行為，並取得消費者明示同意；另一方面，該命令亦禁止VIZIO對他們所蒐集消費者之隱私、安全及機密性資訊做誤導性的不實陳述以及刪除於2016年3月1日前所有以不當方式取得之消費者個人資料。該公司尚須接受兩年一次的隱私權安全保障計畫(名詞)，包括全面性隱私風險評估、識別消費者個資之潛在不當使用情形，並制訂相關措施來修復這些風險。另新增一項銷售管理計畫，以確保該公司產品經銷商及售後服務均能就消費者個人資料得到保障。 　　此次事件而言，和解金雖非屬可觀之金額，然重點在於作為世界最大的智慧電視製造商之一的VIZIO，經揭露此一訊息後對其商譽之影響，或許才是最大的打擊。為了在大數據時代中能有效的管控法律風險，任何蒐集消費者行為等個人資料時，均應符合相關法令的規範，如建立個人資料保護機制並事前告知取得消費者蒐集之同意為宜。

歐洲議會通過《人工智慧法案》 朝向全球首部人工智慧監管標準邁進下一步 資訊工業策進會科技法律研究所 2023年06月26日 觀察今年的科技盛事屬ChatGPT討論度最高，將人們從區塊鏈、元宇宙中，帶入人工智慧（AI）領域的新發展。ChatGPT於2022年11月由OpenAI開發的生成式人工智慧，透過深度學習模型，理解和生成自然語言，其功能包含回答各類型問題（如科學、歷史）、生成邏輯結構之文章（如翻譯、新聞標題）、圖形、影像等內容。然而對於人工智慧的發展，究竟如何去處理人機間互動關係，對於風險之管理及相關應用之規範又該如何，或許可從歐盟的法制發展看出端倪。 壹、事件摘要 面對人工智慧的發展及應用，歐盟執委會（European Commission）早在2018年6月成立人工智慧高級專家組（AI HLEG），並於隔年（2019）4月提出「可信賴的人工智慧倫理準則」（Ethics Guidelines for Trustworthy AI），要求人工智慧需遵守人類自主、傷害預防、公平、透明公開等倫理原則。於2021年4月21日歐盟執委會提出「人工智慧法律調和規則草案」（Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts）（以下稱人工智慧法案），於2023年內部市場委員會（Internal Market Committee）與公民自由委員會（Civil Liberties Committee）通過並交由歐洲議會審議（European Parliament），最終《人工智慧法案》於2023年6月14日通過。後續將再歐盟理事會（Council of the European Union）與辯論協商，尋求具共識的最終文本[1]。 貳、重點說明 由於「歐盟議會通過」不等於「法案通過」，實際上歐盟立法機制不同於我國，以下透過法案內容說明的契機，概述一般情況下歐盟之立法流程： 一、歐盟立法過程 通常情況下，法案由歐盟執委會（下簡稱執委會）提出，送交歐盟理事會及歐洲議會，作為歐盟的「立法者」歐洲理事會（下簡稱理事會）與歐洲議會（下簡稱議會）將針對法案獨立討論並取得各自機關內之共識。大致上立法程序有可分為三階段，在一讀階段若理事會與議會對於執委會版本無修改且通過，則法案通過，若任一機關修改，則會進行到二讀階段。針對法案二讀若仍無法取得共識，則可召開調解委員會（Conciliation）協商，取得共識後進入三讀。簡單來說，法案是否能通過，取決於理事會與議會是否取得共識，並於各自機關內表決通過[2]。 目前《人工智慧法案》仍處於一讀階段，由於法案具備爭議性且人工智慧發展所因應而生之爭議迫在眉睫，議會通過後將與執委會、理事會進入「三方會談」（Trilogue）的非正式會議，期望針對法案內容取得共識。 二、人工智慧法案 （一）規範客體 《人工智慧法案》依風險及危害性程度分級，其中「不可接受風險」因抵觸歐盟基本價值原則禁止（符合公益目標，如重大或特定犯罪調查、防止人身安全遭受危害等例外許可）。「高風險」則為法案規範之重點，除針對系統技術穩健、資料處理及保存訂有規範外，針對人為介入、安全性等也訂定標準。 而針對高風險之範疇，此次議會決議即擴大其適用範圍，將涉及兒童認知、情緒等教育及深度偽造技術（Deepfake）納入高風險系統，並強調應遵循歐盟個人資料保護規範。此外對於社會具有高影響力之系統或社群平臺（法案以4500萬用戶做為判斷基準），由執委會評估是否列為高風險系統。針對目前討論度高的生成式人工智慧（ChatGPT），議會針對法案增訂其系統於訓練及應用目的上，應揭露其為生成式人工智慧所產出之內容或結果，並摘要說明所涉及之智慧財產權[3]。 （二）禁止項目 關於《人工智慧法案》對於高風險系統之要求，從執委會及理事會的觀點來看，原則上重點在於對弱勢的保護及生物資料辨識之權限。歐盟禁止人工智慧系統影響身理及心理，包含對於特定族群如孩童、身心障礙者等弱勢族群之不平等待遇。同時原則禁止即時遠端的生物辨識利用，包含對於人性分析、動作預測等對於人類評價、分類之應用，例外情況如犯罪調查、協尋失蹤兒童、預防恐怖攻擊、關鍵基礎設施破壞等情況時方被允許。此次議會決議提高禁止即時遠端生物辨識的標準，包含納入敏感資訊的蒐集如性別、種族、政治傾向等，及其他臉部辨識、執法、邊境管制、情緒辨識等項目[4]。 參、事件評析 有關《人工智慧法案》雖歐洲議會已一讀通過，然而後續仍要面對與歐盟理事會的協商討論，並取得共識才能規範整個歐盟市場。因此上述規範仍有變數，但仍可推敲出歐盟對於人工智慧（含生成式）的應用規範態度。在面對日新月異的新興科技發展，其立法管制措施也將隨著橫向發展，納入更多種面向並預測其走向趨勢。因人工智慧有應用多元無法一概而論及管制阻礙創新等疑慮，觀察目前國際上仍以政策或指引等文件，宣示人工智慧應用倫理原則或其風險之管理，偏重產業推動與自律。 觀察歐盟《人工智慧法案》之監管目的，似期望透過其市場規模影響國際間對於人工智慧的監管標準。倘若法案後續順利完成協商並取得共識通過，對於如OpenAI等大型人工系統開發商或社群平臺等，若經執委會評估認定為高風險系統，勢必對於未來開發、應用帶來一定衝擊。因此，歐盟對於人工智慧監管的態度及措施實則牽一髮而動全身，仍有持續觀察之必要。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]The AI Act, Future of Life Institute, https://artificialintelligenceact.eu/developments/ (last visited Jun. 20, 2023) [2]The ordinary legislative procedure, Council of European Union, https://www.consilium.europa.eu/en/council-eu/decision-making/ordinary-legislative-procedure/ (last visited Jun. 19, 2023) [3]EU AI Act: first regulation on artificial intelligence, European Parliament, Jun. 14, 2023, https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence (last visited Jun. 21, 2023) [4]MEPs ready to negotiate first-ever rules for safe and transparent AI, European Parliament, Jun. 14, 2023, https://www.europarl.europa.eu/news/en/press-room/20230609IPR96212/meps-ready-to-negotiate-first-ever-rules-for-safe-and-transparent-ai(last visited Jun. 21, 2023)