事前的事故應變計畫得降低資料外洩成本

落實完善數位資料管理機制， 有助於降低AI歧視及資料外洩風險 資訊工業策進會科技法律研究所 2023年07月07日 近年來，科技快速發展，AI(人工智慧)等技術日新月異，在公私部門的應用日益廣泛，而且根據美國資訊科技研究與顧問公司Gartner在2023年5月發布的調查指出，隨著由OpenAI開發的ChatGPT取得成功，更促使各領域對於AI應用的高度重視與投入[1]，與此同時，AI歧視及資料外洩等問題，亦成為社會各界的重大關切議題。 壹、事件摘要 目前AI科技發展已牽動全球經濟發展，根據麥肯錫公司近期發布的《生成式人工智慧的經濟潛力：下一個生產力前沿(The next productivity frontier)》研究報告指出，預測生成式AI(Generative AI)有望每年為全球經濟增加2.6兆至4.4兆的經濟價值[2]。同時在美國資訊科技研究與顧問公司Gartner對於超過2500名高階主管的調查中，45%受訪者認為ChatGPT問世，增加其對於AI的投資。而且68%受訪者認為AI的好處大於風險，僅有5%受訪者認為風險大於好處[3]。然而有社會輿論認為AI的判斷依賴訓練資料，將可能複製人類偏見，造成AI歧視問題，而且若程式碼有漏洞或帳戶被盜用時，亦會造成資料外洩問題。 貳、重點說明 首先，關於AI歧視問題，以金融領域為例，近期歐盟委員會副主席Margrethe Vestager強調若AI用於可能影響他人生計的關鍵決策時，如決定是否能取得貸款，應確保申請人不受性別或膚色等歧視[4]，同時亦有論者認為若用於訓練AI的歷史資料，本身存有偏見問題，則可能導致系統自動拒絕向邊緣化族群貸款，在無形之中加劇，甚至永久化對於特定種族或性別的歧視[5]。 其次，關於資料外洩問題，資安公司Group-IB指出因目前在預設情況下，ChatGPT將保存使用者查詢及AI回應的訊息紀錄，若帳戶被盜，則可能洩露機敏資訊。據統計在2022年6月至2023年5月間，在亞太地區有近41000個帳戶被盜，而在中東和非洲地區有近25000個帳戶被盜，甚至在歐洲地區也有近17000個帳戶被盜[6]。另外在2023年3月時，ChatGPT除了發生部分用戶能夠檢視他人聊天紀錄標題的問題外，甚至發生個人資料外洩問題，即用戶可能知悉他人的姓名、電子郵件，付款地址，信用卡到期日及號碼末四碼等資料[7]。 參、事件評析 對於AI歧視及資料外洩等問題，應透過落實完善數位資料治理與管理機制，以降低問題發生的風險。首先，在收集訓練資料時，為篩選適合作為模型或演算法基礎的資料，應建立資料評估或審查機制，減少或避免使用有潛在歧視問題的資料，以確保分析結果之精確性。 其次，不論對於訓練資料、分析所得資料或用戶個人資料等，均應落實嚴謹的資料保密措施，避免資料外洩，如必須對於資料進行標示或分類，並依照不同標示或分類，評估及採取適當程度的保密措施。同時應對於資料進行格式轉換，以無法直接開啟的檔案格式進行留存，縱使未來可能不慎發生資料外洩，任意第三人仍難以直接開啟或解析資料內容。甚至在傳送帳戶登入訊息時，亦應採取適當加密傳送機制，避免遭他人竊取，盜取帳戶或個人資料。 財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境完善，於2021年7月發布「重要數位資料治理暨管理制度規範（Essential Data Governance and Management System，簡稱EDGS）」，完整涵蓋數位資料的生成、保護與維護，以及存證資訊的取得、維護與驗證的流程化管理機制，故對於不同公私部門的AI相關資料，均可參考EDGS，建立系統性數位資料管理機制或強化既有機制。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Gartner, Gartner Poll Finds 45% of Executives Say ChatGPT Has Prompted an Increase in AI Investment (May 3, 2023), https://www.gartner.com/en/newsroom/press-releases/2023-05-03-gartner-poll-finds-45-percent-of-executives-say-chatgpt-has-prompted-an-increase-in-ai-investment (last visited June 30, 2023). [2]McKinsey, The economic potential of generative AI: The next productivity frontier (June 14, 2023), https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-economic-potential-of-generative-AI-the-next-productivity-frontier#introduction (last visited June 30, 2023). [3]Gartner, supra note 1. [4]Zoe Kleinman, Philippa Wain & Ashleigh Swan, Using AI for loans and mortgages is big risk, warns EU boss (June 14, 2023), https://www.bbc.com/news/technology-65881389 (last visited June 30, 2023). [5]Ryan Browne & MacKenzie Sigalos, A.I. has a discrimination problem. In banking, the consequences can be severe (June 23, 2023), https://www.cnbc.com/2023/06/23/ai-has-a-discrimination-problem-in-banking-that-can-be-devastating.html (last visited June 30, 2023). [6]Group-IB, Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list (June 20, 2023), https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ (last visited June 30, 2023). [7]OpenAI, March 20 ChatGPT outage: Here’s what happened (Mar. 24, 2023),https://openai.com/blog/march-20-chatgpt-outage (last visited June 30, 2023).

英國資訊專員辦公室（Information Commissioner's Office，下稱ICO）於2025年8月18日讉責南約克郡警方（South Yorkshire Police，下稱SYP）刪除超過9萬6千筆穿戴式攝影機影片（body-worn video，下稱BWV）證據，強調SYP未落實資料識別、第三方監督及備份機制等資料管理措施。 警方使用BWV作為記錄警方執法過程之取證方式，目的為提高透明度、公眾信賴及取得最佳證據等。由於BWV證據具備公正性及準確性，亦可減低對於受害者證據之依賴。當警員換班時，需要將BWV證據下載至指定地點，先傳送至「數位證據管理系統（Digital Evidence Management，下稱DEM系統，該系統由第三方業者管理）」後，再傳輸至「儲存網格（Storage Grid）資料庫」。倘若發生爭議，SYP將檢視「儲存網格資料庫」中的BWV證據。 2023年SYP發生遺失大量BWV證據之爭議事件，事實整理如下： 2023年5月升級DEM系統後，SYP改將資料儲存於本地硬碟。同年8月7日時，SYP發現在儲存網格資料庫中，具錯誤刪除96,174筆原始BWV證據之紀錄，經調查發現，在同年7月26日，第三方將本地資料傳輸到儲存網格時，曾發生大規模的資料刪除事件。 由於在進行備份時，未使用特定的檔案名稱或其他可識別的資料標記等方式標記資料，即使SYP內部已針對95,033筆BWV證據進行備份，仍無法比對確認「已被永久刪除的BWV證據」數量，且遺失之資料共涉及126起刑案，其中更有3案受影響，甚至有1起案件指出，若BWV證據存在，則相關案件的檢調程序應能夠有所進展。 ICO亦指出SYP雖與第三方簽署契約，卻未明定處理程序，且未監督第三方的遠端存取行為。SYP早在2019年，已發現備份機制存在問題，但當時未向高階管理人員報告相關問題的完整狀況，導致未採取補救措施。 綜上述，ICO提出SYP應確保所有紀錄應以清晰、可識別的方式進行標記；在允許第三方存取系統前，應完成風險評估及確認管控要求，並持續監督第三方等改善建議；以及應建立能夠有效還原任何遺失BWV證據的備份方案。 另外依英國皇家檢察署（Crown Prosecution Service）的統計顯示，因缺乏定罪的必要證據，包含缺乏數位證據，如受害者詢問或隨身攝影機影片遺失等各類原因，導致無法進行審判的皇家檢察署案件，整體呈現上升趨勢，從2020年的7484起案件，上升到2024年的8180起案件。 為系統性建立及強化數位證據管理機制，我國司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同推動之「司法聯盟鏈共同驗證平台」，其以「b-JADE證明標章」檢視既有的數位證據監管制度，其他司法機關亦可參照「b-JADE證明標章」以確保採取有效之資料識別、第三方監督及備份控管作法，除了控管數位證據的相關業務流程、內外部人員等，亦應促使內部滾動式檢視問題及須定期向主管回報，以利調整規劃。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　日本經濟產業省2018年9月公布《零售電力業指引》 （電力の小売営業に関する指針，以下稱「本指引」）修正案。 　　本次主要修正方向為零售電力業者購買電力時若有以下情形，應如何於電源結構表上說明供用電戶參考：（1）跨區調度電力：同年10月開始，零售電力業者若需跨區調度電力，改由日本電力交易所使用「間接競拍」（間接オークション）分配電力容量。故本指引配合規定，原則上以跨區調度取得之電力歸類於電源結構表的「電力交易所」中；（2）使用非化石價值證書：本指引規定，若零售電力業者自日本電力交易所購得非化石價值證書，可於電源結構表中標示使用非化石價值證書之電力配比，並註明如：「本公司販售之受再生能源躉購費率制度（FIT）補助之電力，係使用再生能源限定之非化石價值證書，具有以再生能源發電之實質價值。」；（3）販售特定電源方案：若零售電力業者提供用電戶特定的電源方案，本指引建議業者在製作電源結構表時，應先扣除總電量中特定電源方案之電量後，再計算餘下電量及配比，並註明如：「本公司向部分用戶販售內含水力發電20%以上之特定電源方案，其他非以特定電源方案進行銷售的電源結構請參考圖表。」若未先扣除再計算，也應在表中註明總電量中內含特定電源方案銷售之電量數據。（4）標示電力產地：若零售電力業者以電力產地做為賣點，可依電力來源於電源結構表中標示「自產自消」或「○○地域產電力」。

　 加州州長阿諾‧史瓦辛格於 2005 年 10 月 7 日簽署禁止販售暴力影音遊戲 (Violate Video Game) 與未成年人之影音遊戲法案，影音遊戲業者對於此法案之通過表示強烈抗議，主張該法案違反美國憲法修正條文第一條言論自由之保護。 　　該法案禁止販賣或出租具強烈暴力色彩之影音遊戲與未滿 18 歲之未成年人，同時要求此類遊戲必須於包裝正面依據規定標誌標示明顯之「 18 」字樣，違者將處以 1000 美元以下之罰金。州長史瓦辛格先生指出，這些遊戲多半是為成人所設計，是否讓青少年接觸此類遊戲，應由其家長決定之，故此法案並未限制該未成年人之家長購買或租用該類遊戲提供未成年人使用。 　　美國「影音軟體業者協會」 (Video Software Dealer Association) 以及「娛樂軟體協會」 (Entertainment Software Association) 等業者代表計畫以訴訟方式爭議此法之合憲性並予以推翻，而美國聯邦法院曾對於華盛頓州之類似法案作出不利之判決，使得此法案之未來仍為一個未知數。值得一提的是，美國其他州亦有類似法案通過，其中包括伊利諾州以及密西根州，目前「娛樂軟體協會」針對此兩州之法案已於聯邦法院提起訴訟。