歐盟執委會提出確保其境內數位內容跨境攜帶性之法律案

落實完善數位資料管理機制， 有助於降低AI歧視及資料外洩風險 資訊工業策進會科技法律研究所 2023年07月07日 近年來，科技快速發展，AI(人工智慧)等技術日新月異，在公私部門的應用日益廣泛，而且根據美國資訊科技研究與顧問公司Gartner在2023年5月發布的調查指出，隨著由OpenAI開發的ChatGPT取得成功，更促使各領域對於AI應用的高度重視與投入[1]，與此同時，AI歧視及資料外洩等問題，亦成為社會各界的重大關切議題。 壹、事件摘要 目前AI科技發展已牽動全球經濟發展，根據麥肯錫公司近期發布的《生成式人工智慧的經濟潛力：下一個生產力前沿(The next productivity frontier)》研究報告指出，預測生成式AI(Generative AI)有望每年為全球經濟增加2.6兆至4.4兆的經濟價值[2]。同時在美國資訊科技研究與顧問公司Gartner對於超過2500名高階主管的調查中，45%受訪者認為ChatGPT問世，增加其對於AI的投資。而且68%受訪者認為AI的好處大於風險，僅有5%受訪者認為風險大於好處[3]。然而有社會輿論認為AI的判斷依賴訓練資料，將可能複製人類偏見，造成AI歧視問題，而且若程式碼有漏洞或帳戶被盜用時，亦會造成資料外洩問題。 貳、重點說明 首先，關於AI歧視問題，以金融領域為例，近期歐盟委員會副主席Margrethe Vestager強調若AI用於可能影響他人生計的關鍵決策時，如決定是否能取得貸款，應確保申請人不受性別或膚色等歧視[4]，同時亦有論者認為若用於訓練AI的歷史資料，本身存有偏見問題，則可能導致系統自動拒絕向邊緣化族群貸款，在無形之中加劇，甚至永久化對於特定種族或性別的歧視[5]。 其次，關於資料外洩問題，資安公司Group-IB指出因目前在預設情況下，ChatGPT將保存使用者查詢及AI回應的訊息紀錄，若帳戶被盜，則可能洩露機敏資訊。據統計在2022年6月至2023年5月間，在亞太地區有近41000個帳戶被盜，而在中東和非洲地區有近25000個帳戶被盜，甚至在歐洲地區也有近17000個帳戶被盜[6]。另外在2023年3月時，ChatGPT除了發生部分用戶能夠檢視他人聊天紀錄標題的問題外，甚至發生個人資料外洩問題，即用戶可能知悉他人的姓名、電子郵件，付款地址，信用卡到期日及號碼末四碼等資料[7]。 參、事件評析 對於AI歧視及資料外洩等問題，應透過落實完善數位資料治理與管理機制，以降低問題發生的風險。首先，在收集訓練資料時，為篩選適合作為模型或演算法基礎的資料，應建立資料評估或審查機制，減少或避免使用有潛在歧視問題的資料，以確保分析結果之精確性。 其次，不論對於訓練資料、分析所得資料或用戶個人資料等，均應落實嚴謹的資料保密措施，避免資料外洩，如必須對於資料進行標示或分類，並依照不同標示或分類，評估及採取適當程度的保密措施。同時應對於資料進行格式轉換，以無法直接開啟的檔案格式進行留存，縱使未來可能不慎發生資料外洩，任意第三人仍難以直接開啟或解析資料內容。甚至在傳送帳戶登入訊息時，亦應採取適當加密傳送機制，避免遭他人竊取，盜取帳戶或個人資料。 財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境完善，於2021年7月發布「重要數位資料治理暨管理制度規範（Essential Data Governance and Management System，簡稱EDGS）」，完整涵蓋數位資料的生成、保護與維護，以及存證資訊的取得、維護與驗證的流程化管理機制，故對於不同公私部門的AI相關資料，均可參考EDGS，建立系統性數位資料管理機制或強化既有機制。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Gartner, Gartner Poll Finds 45% of Executives Say ChatGPT Has Prompted an Increase in AI Investment (May 3, 2023), https://www.gartner.com/en/newsroom/press-releases/2023-05-03-gartner-poll-finds-45-percent-of-executives-say-chatgpt-has-prompted-an-increase-in-ai-investment (last visited June 30, 2023). [2]McKinsey, The economic potential of generative AI: The next productivity frontier (June 14, 2023), https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-economic-potential-of-generative-AI-the-next-productivity-frontier#introduction (last visited June 30, 2023). [3]Gartner, supra note 1. [4]Zoe Kleinman, Philippa Wain & Ashleigh Swan, Using AI for loans and mortgages is big risk, warns EU boss (June 14, 2023), https://www.bbc.com/news/technology-65881389 (last visited June 30, 2023). [5]Ryan Browne & MacKenzie Sigalos, A.I. has a discrimination problem. In banking, the consequences can be severe (June 23, 2023), https://www.cnbc.com/2023/06/23/ai-has-a-discrimination-problem-in-banking-that-can-be-devastating.html (last visited June 30, 2023). [6]Group-IB, Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list (June 20, 2023), https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ (last visited June 30, 2023). [7]OpenAI, March 20 ChatGPT outage: Here’s what happened (Mar. 24, 2023),https://openai.com/blog/march-20-chatgpt-outage (last visited June 30, 2023).

美國聯邦貿易委員會（Federal Trade Commission）主席Andrew N. Ferguson於2025年8月21日發信給13家科技公司，其中包含Alphabet、Amazon、Apple、Microsoft、Meta、X等國際知名科技公司，警告他們有義務保護美國消費者隱私與資料安全，若在外國政府施壓下審查美國公民的資料，將有違反《聯邦貿易委員會法》（Federal Trade Commission Act, FTC Act）之虞。 信中指出，科技公司可能為遵循外國法規或迫於外國政府壓力，削弱對美國公民的隱私及資料安全保護。如歐盟《數位服務法》（Digital Services Act）、英國《網路安全法》（Online Safety Act）期望科技公司審查用戶言論內容；而英國《調查權力法》（Investigatory Powers Act）則為滿足英國政府取得用戶儲存資料之目的，要求科技公司削弱原本對用戶採行之點對點加密措施。Ferguson主席更表示：「外國勢力審查及削弱加密措施等行動，將侵害美國公民的自由或使美國公民遭受各種危害，例如受外國政府監視、增加身分盜用與詐騙風險」。 信中亦提及，科技公司在遵守外國法律及相關要求的同時，仍須遵守FTC Act第5條規定，亦即禁止企業在市場中進行不公平或欺騙性行為的規定。同時也表示，過去20年來，FTC已對未能履行消費者資料安全或隱私承諾之公司提起數十起訴訟，並將持續要求蒐集、使用、分享或傳輸消費者個人資料的公司，應採取合理的安全措施，藉此確保消費者權益。

　　美國環保署(Environmental Protection Agency of the United States，以下簡稱EPA)於2011年3月16日首度對於國內發電廠有毒氣體的排放提出國家管制標準草案，並預定於2011年11月完成立法，此項立法措施被譽為近20年來美國空氣污染防治史上的重要里程碑。 　　美國對於發電廠所排放的有害氣體管制，最早源於美國清淨空氣法案(The Clean Air Act)在1990年要求EPA加強對於發電廠排放之汞（mercury）等有毒氣體之管制，而國會亦要求其須於2004年底以前提出國家管制標準。然而EPA於2005年正式公告「清靜空氣除汞管制規則（the Clean Air Mercury Rule，以下簡稱CAMR規則）」時，卻將燃煤電廠排放汞排除於管制名單外，引發紐澤西等14個州政府與相關環保團體的抗議，並對EPA提起聯邦訴訟。2008年2月8日聯邦上訴法院作出判決，除指出EPA對於發電廠空污之認定前後矛盾外，更認定其在未發現有新事證下擅自將發電廠所排放之空氣污染自CAMR管制名單中移除(delist)，已違背反清靜空氣法案之程序要求，故推翻CAMR規則之有效性。 　　此後，經過密集的聽證會與討論，EPA最終於2011年3月16日正式提出「限制發電廠有毒氣體排放」的國家管制標準，對於發電廠所排放的汞、砷（arsenic）、鉻（chromium）、鎳（nickel）及其他酸性或有毒氣體加以管制，並要求電廠必須採用污染控制技術以減少製造量。 　　後京都議定書時代中，各國無不致力於新興能源替代方案之提出，惟於新興能源研發應用前的過渡期間仍需仰賴傳統發電技術，美國為解決傳統火力發電對於環境及人體健康所造成的傷害，提出首部國家管制標準草案，其後續對於該國能源結構可能產生何種影響，值得注意。

　　根據Ponemon Institute的調查，2011年至2012年中，英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出，若企業備有正式的事故應變計畫，每件資料侵害事故的平均成本會降低至13英磅左右。除此之外，雇用外部顧問來協助應變，每件資料侵害事故的平均成本也會節省4英磅。 　　依據新的資料保護法律架構，歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時，根據不同委員會的需求，未來將針對特定產業，制定新的網路與資訊安全管理規範。。 　　專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險，同時也進行風險轉移的處置措施。各項事故應變計劃之中，保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外，企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家，信用監測提供者或是資料侵害事故的事務處理公司，例如：協助發送事故通知的公司。保險業建置的專家網絡，未來將可以幫助要保人，以最快最省成本的方式處理相關事故。