智慧聯網時代巨量資料法制議題研析－以美國隱私權保護為核心

　　對於目前科技技術日新月異的ICT資訊通信產業而言，標準是搶奪全球市場的利器。當私有專利技術成為國際標準時，國際市場的競爭企業不得不向技術成為國際標準的標準必要專利權人取得授權。為避免前述情形形成技術壟斷，標準必要專利權人藉此哄抬權利金價格，目前國際標準制定組織多訂有組織的智財政策，要求標準提案者必須揭露專利持有情形，並且若提案成為標準必要專利權者須以其規定的合理條件提供授權。電子工程師標準協會 (Institute of Electrical and Electronics Engineers Standard Association， IEEE SA)為著名的標準制定組織之一。 　　電子工程師標準協會在去年3月開始，便實施了新的專利政策，強調其會員們必須在標準提案通過之後，授權該標準必要專利(Standard Essential Patent, SEP)時，須遵守公平、合理，且非歧視的授權規則(Fair, Reasonable and Non-discriminatory, FRAND)。此項政策受到Cisco以及Intel等公司支持聯名支持， Cisco表示FRAND的條件要求將使SEP擁有者難以收取不合理的權利金。 　　而在IEEE如此強調FRAND授權方式時，我國相關企業及公司應注意FRAND條件的國際發展趨勢，不僅要了解自身義務，也該知曉自身權益，在有爭議時抑或仿效國際企業做法，向法院提起訴訟，或向我國公平會提出檢舉。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　法國眾議院與參議院於 2006 年 06 月 30 日 通過倍受爭議的 iTune 法，其主要理念在闡述著作權法的設計應該要防止將音樂著作消費者侷限在僅能利用特定設備聽取音樂的藩籬中，而目前 iTunes 提供的音樂格式僅可利用 iPod 設備播放，明顯違反此一理念。 　　眾議院原先通過之條文要求歌曲必須可以在任何設備上播放，但此一規範受到蘋果公司反對，認為如此規定將降低音樂檔案的安全性，而造成「鼓勵盜版」的結果。參議院為此修改規範內容，於規定中設計小部分空間賦予廠商可以運用 DRM 技術限制音樂於特定設備播放之音調；且若廠商獲得著作權人 ( 唱片公司及著作人 ) 之同意，仍得限制特定音樂格式僅得於特定設備中播放 ( 如： iTunes 的情況 ) 。 　　社會主義與綠黨之國會議員目前正針對此一規範提出違憲主張，若該主張無法成立，法國將成為歐洲訂定此一規範之先驅，預料其他歐洲國家將可能跟隨法國之腳步進行規範，如此情勢可以從挪威消費者保護官晚近作出之決議，認為 DRM 技術已破壞競爭法則，必須加以修正，以及其他國家包括丹麥、瑞典之類似決議窺知一二。

　　2021年3月2日美國維吉尼亞州州長簽署了維吉尼亞州消費者資料保護法（Virginia Consumer Data Protection Act），是繼加州之後，第二個自行制定相關規範並且採用的州，預計在2023年1月正式生效。 　　該法在主軸上與加州消費者隱私保護法相去不遠，其為消費者提供六項主要權利，包括近用權、刪除權、資料可攜權、選擇退出權、更正權，以及申訴在合理期間內未獲妥適處理之再申訴權；又或者在義務上要求企業進行資料的蒐集、處理或利用時，需經當事人同意並且符合合理利用與必要範圍之限制，亦要求企業建立技術保障管理機制，以及向消費者提供隱私權政策。 　　該法與加州消費者隱私保護法也有些許不同之處，例如，該法並無賦予人民為一切訴訟行為之權，訴訟權掌握在檢察總長手中、該法案適用主體必須是控制或處理十萬筆以上消費者個人資料之企業，或是總收入50%來自於利用消費者個人資料，且該資料量總數達二萬五千筆以上之企業，相比加州消費者隱私保護法適用主體之資格更為寬鬆。無論就形式上或實質上而言，維吉尼亞州消費者資料保護法普遍被認為比加州消費者隱私保護法更加友善企業，並且廣泛得到亞馬遜等相關科技行業的支持。 　　在數位科技發展下，美國的紐澤西州、猶他州，以及許多其他州政府，紛紛考慮進行相類似之資訊隱私保護立法，此一趨勢發展已然勢不可擋。

2024年5月17日，科羅拉多州州長簽署了《人工智慧消費者保護法》（Consumer Protections for Artificial Intelligence Act，Colorado AI Act，下簡稱本法），其內容將增訂於《科羅拉多州修訂法規》（Colorado Revised Statutes，簡稱CRS）第6篇第17部分，是美國第一部廣泛對AI規範的法律，將於2026年2月1日生效。 本法旨在解決「高風險人工智慧系統」的演算法歧視（Algorithmic Discrimination）的問題 ，避免消費者權益因為演算法之偏見而受到歧視。是以，本法將高風險AI系統（High-risk Artificial Intelligence System）定義為「部署後作出關鍵決策（Consequential Decision）或在關鍵決策中起到重要作用的任何AI系統」。 而後，本法藉由要求AI系統開發者（Developers）與部署者（Deployers）遵守「透明度原則」與「禁止歧視原則」，來保護消費者免受演算法歧視。規定如下： (一)系統透明度： 1.開發者應向部署者或其他開發者提供該系統訓練所使用的資料、系統限制、預期用途、測試演算法歧視之文件以及其他風險評估文件。 2.部署者應向消費者揭露高風險人工智慧系統的預期用途，也應在高風險人工智慧系統做出決策之前向消費者提供聲明，聲明內容應該包含部署者之聯絡方式、該系統的基本介紹、部署者如何管理該系統可預見之風險等資訊。 (二)禁止歧視： 1.開發者應實施降低演算法歧視之措施，並應協助部署者理解高風險人工智慧系統。此外，開發者也應該持續測試與分析高風險人工智慧系統可能產生之演算法歧視風險。若開發者有意修改該系統，應將更新後的系統資訊更新於開發者網站，並須同步提供給部署者。 2.部署者應該實施風險管理計畫，該風險管理計畫應包含部署者用於識別、紀錄降低演算法歧視風險之措施與負責人員，且風險管理計畫應定期更新。在制定風險管理計畫時，必須參考美國商務部國家標準暨技術研究院（National Institute of Standards and Technology, NIST）的《人工智慧風險管理框架》（AI Risk Management Framework, AI RMF 2.0）與ISO/IEC 42001等風險管理文件。 美國普遍認為科羅拉多州的《人工智慧消費者保護法》為目前針對人工智慧系統最全面之監管法規，可作為其他州有關人工智慧法規的立法參考，美國各州立法情況與作法值得持續關注。