歐盟針對電子通訊網路及服務之管制架構規範進行公開徵詢

落實完善數位資料管理機制， 有助於降低AI歧視及資料外洩風險 資訊工業策進會科技法律研究所 2023年07月07日 近年來，科技快速發展，AI(人工智慧)等技術日新月異，在公私部門的應用日益廣泛，而且根據美國資訊科技研究與顧問公司Gartner在2023年5月發布的調查指出，隨著由OpenAI開發的ChatGPT取得成功，更促使各領域對於AI應用的高度重視與投入[1]，與此同時，AI歧視及資料外洩等問題，亦成為社會各界的重大關切議題。 壹、事件摘要 目前AI科技發展已牽動全球經濟發展，根據麥肯錫公司近期發布的《生成式人工智慧的經濟潛力：下一個生產力前沿(The next productivity frontier)》研究報告指出，預測生成式AI(Generative AI)有望每年為全球經濟增加2.6兆至4.4兆的經濟價值[2]。同時在美國資訊科技研究與顧問公司Gartner對於超過2500名高階主管的調查中，45%受訪者認為ChatGPT問世，增加其對於AI的投資。而且68%受訪者認為AI的好處大於風險，僅有5%受訪者認為風險大於好處[3]。然而有社會輿論認為AI的判斷依賴訓練資料，將可能複製人類偏見，造成AI歧視問題，而且若程式碼有漏洞或帳戶被盜用時，亦會造成資料外洩問題。 貳、重點說明 首先，關於AI歧視問題，以金融領域為例，近期歐盟委員會副主席Margrethe Vestager強調若AI用於可能影響他人生計的關鍵決策時，如決定是否能取得貸款，應確保申請人不受性別或膚色等歧視[4]，同時亦有論者認為若用於訓練AI的歷史資料，本身存有偏見問題，則可能導致系統自動拒絕向邊緣化族群貸款，在無形之中加劇，甚至永久化對於特定種族或性別的歧視[5]。 其次，關於資料外洩問題，資安公司Group-IB指出因目前在預設情況下，ChatGPT將保存使用者查詢及AI回應的訊息紀錄，若帳戶被盜，則可能洩露機敏資訊。據統計在2022年6月至2023年5月間，在亞太地區有近41000個帳戶被盜，而在中東和非洲地區有近25000個帳戶被盜，甚至在歐洲地區也有近17000個帳戶被盜[6]。另外在2023年3月時，ChatGPT除了發生部分用戶能夠檢視他人聊天紀錄標題的問題外，甚至發生個人資料外洩問題，即用戶可能知悉他人的姓名、電子郵件，付款地址，信用卡到期日及號碼末四碼等資料[7]。 參、事件評析 對於AI歧視及資料外洩等問題，應透過落實完善數位資料治理與管理機制，以降低問題發生的風險。首先，在收集訓練資料時，為篩選適合作為模型或演算法基礎的資料，應建立資料評估或審查機制，減少或避免使用有潛在歧視問題的資料，以確保分析結果之精確性。 其次，不論對於訓練資料、分析所得資料或用戶個人資料等，均應落實嚴謹的資料保密措施，避免資料外洩，如必須對於資料進行標示或分類，並依照不同標示或分類，評估及採取適當程度的保密措施。同時應對於資料進行格式轉換，以無法直接開啟的檔案格式進行留存，縱使未來可能不慎發生資料外洩，任意第三人仍難以直接開啟或解析資料內容。甚至在傳送帳戶登入訊息時，亦應採取適當加密傳送機制，避免遭他人竊取，盜取帳戶或個人資料。 財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境完善，於2021年7月發布「重要數位資料治理暨管理制度規範（Essential Data Governance and Management System，簡稱EDGS）」，完整涵蓋數位資料的生成、保護與維護，以及存證資訊的取得、維護與驗證的流程化管理機制，故對於不同公私部門的AI相關資料，均可參考EDGS，建立系統性數位資料管理機制或強化既有機制。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Gartner, Gartner Poll Finds 45% of Executives Say ChatGPT Has Prompted an Increase in AI Investment (May 3, 2023), https://www.gartner.com/en/newsroom/press-releases/2023-05-03-gartner-poll-finds-45-percent-of-executives-say-chatgpt-has-prompted-an-increase-in-ai-investment (last visited June 30, 2023). [2]McKinsey, The economic potential of generative AI: The next productivity frontier (June 14, 2023), https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-economic-potential-of-generative-AI-the-next-productivity-frontier#introduction (last visited June 30, 2023). [3]Gartner, supra note 1. [4]Zoe Kleinman, Philippa Wain & Ashleigh Swan, Using AI for loans and mortgages is big risk, warns EU boss (June 14, 2023), https://www.bbc.com/news/technology-65881389 (last visited June 30, 2023). [5]Ryan Browne & MacKenzie Sigalos, A.I. has a discrimination problem. In banking, the consequences can be severe (June 23, 2023), https://www.cnbc.com/2023/06/23/ai-has-a-discrimination-problem-in-banking-that-can-be-devastating.html (last visited June 30, 2023). [6]Group-IB, Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list (June 20, 2023), https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ (last visited June 30, 2023). [7]OpenAI, March 20 ChatGPT outage: Here’s what happened (Mar. 24, 2023),https://openai.com/blog/march-20-chatgpt-outage (last visited June 30, 2023).

　　2010年，美國聯邦政府展開「聯邦政府風險與授權管理計畫」（Federal Risk and Authorization Management Program，FedRAMP），在經過2年的研究與整備後，聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據，針對雲端服務的風險評估、授權管理的標準作業規範。 　　根據FedRAMP，雲端服務業者欲通過該計畫的評估，其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者，都必須達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 　　對於雲端服務業者的評估，必須經由FedRAMP認證的第三方機構來進行審查，第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定，來驗證檢驗機構的品質與技術能力。目前為止，聯邦政府總務管理局已經公佈十個獲得授權的機構。 　　聯邦政府總務管理局同時並期待在2012年的年底之前，能夠有三個雲端服務提供者通過審查，然而，由於制度才剛上路不久，是否能夠跟上產業變遷的腳步並順利達成目標，仍有待進一步觀察。

　　2018年5月，英國資訊專員辦公室（Information Commissioner’s Office, ICO）針對歐盟GDPR有關資料自動化決策與資料剖析之規定，公布了細部指導文件（detailed guidance on automated decision-making and profiling），供企業、組織參考。 　　在人工智慧與大數據分析潮流下，越來越多企業、組織透過完全自動化方式，廣泛蒐集個人資料並進行剖析，預測個人偏好或做出決策，使個人難以察覺或期待。為確保個人權利和自由，GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策（a decision based solely on automated processing）之影響，包括對個人的資料剖析（profiling），僅得於三種例外情況下進行單純自動化決策： 為簽訂或履行契約所必要； 歐盟或會員國法律所授權； 基於個人明示同意。 　　英國2018年新通過之資料保護法（Data Protection Act 2018）亦配合GDPR第22條規定，制定相應國內規範，改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 　　根據指導文件，企業、組織為因應GDPR而需特別留意或做出改變的事項有： 記錄資料處理活動，以幫助確認資料處理是否符合GDPR第22（1）條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策，應進行資料保護影響評估（Data Protection Impact Assessment, DPIA），判斷是否有GDPR第22條之適用，並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊（privacy information），必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議，並有獨立審查機制。 　　指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義，另就可進行單純自動化決策的三種例外情況簡單舉例。此外，縱使符合例外情況得進行單純自動化決策，資料控制者（data controller）仍必須提供重要資訊（meaningful information）給資料當事人，包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。