何謂「CRADAs」?
CRADAs係研發合作契約(Cooperative Research and Development Agreements)之縮寫,為美國國家衛生研究院(National Institute of Health,NIH)與業界和學術界進行科學技術研究發展產學研合作時所簽訂之契約。基於美國國家衛生研究院投入相關領域技術發展之機關設置目的,其所屬之科學家們可以利用本身的科研資源,與業界或學術界共同合作促進保健藥品和原型(prototype)開發與產品進一步的商業化量產。此外,業界也可利用本身私部門的研發力量,介接在國家層級最先進的技術研究合作。
研發合作契約的目的是專為使政府設施、政府補助研發成果之智慧財產權,透過與私部門之產學研合作提供合作互動,以促進科學技術知識之發展轉化為具有市場價值之商業化用途。配合契約之簽署,針對研發合作之權利義務,美國國家衛生研究院另設置有科技發展合作中心(Technology Development Coordinator,TDC),作為研發合作早期階段進行磋商與諮詢之專業機構,以幫助瞭解和研擬適當內容的研發合作契約,並順利依法獲得相關主管機關之核准。
本文為「經濟部產業技術司科技專案成果」
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)為管理人工智慧對於個人、組織以及社會所帶來之風險,於2021年7月29日提出將建立「人工智慧風險管理框架」(Artificial Intelligence Risk Management Framework, AI RMF)之規畫並徵詢公眾意見,截止日為9月15日,並預計於10月發布正式報告。 依照NIST說明,公眾所建議之人工智慧風險管理框架,可促進人工智慧之可信賴性,其中包含如何應對並解決人工智慧於設計、發展及使用過程中所遭遇之「精確度」(accuracy)、「可解釋性」(explainability)、「偏見」(bias)等議題。此外,上開管理框架預計為非強制性、供企業自願性使用於人工智慧設計、發展、使用、衡量及評估之人工智慧標準。 依現有公眾意見徵詢結果,其中DeepMind公司建議於人工智慧設計初期,必須預先構思整體系統之假設是否符合真正社會因果關係。舉例言之,當設計一套可預測民眾健保需求程度之系統時,如輸入參數僅考量民眾於醫療上的花費,將使僅有可負擔較高醫療費用之民眾被歸類為健保需求程度較高者,從而導致健保制度排擠經濟負擔程度較差之公民,故在設計系統時,應從預先設定之假設事實反面(counter-factual)思考並驗證是否會產生誤差或公平性之問題(例如預先思考並驗證「醫療費用支出較低之民眾是否即可被正確歸類為健保需求度低之民眾」)。惟進行上述驗證需要大量社會資料,因此DeepMind也建議NIST應建立相關機制,使這些社會資料可以被蒐集、使用。 此外,亦有民眾建議管理框架應有明確之衡量方法以及數值指標,以供工程界遵循。同時鑒於人工智慧發展極為快速,未來可能有不同於以往之人工智慧類型出現,故亦建議NIST應思考如何在「建構一套完整且詳細之人工智慧治理框架」與「保持人工智慧治理框架之彈性與靈活性」之間取得平衡。 最後,目前也有許多徵詢意見指出,許多人工智慧治理之目標會相互衝突。舉例言之,當NIST要求人工智慧系統應符合可解釋性,則人工智慧公司勢必需要經常抽取人工智慧系統中之「數據軌跡」(audit logs),惟數據軌跡可能被認為是使用者之個人資料,因此如何平衡或完善不同治理框架下之目標,為未來應持續關注之議題。
美國加密法案隨潮流再起緣起於2016年的加密法案(ENCRYPT Act),由於今年發生了臉書劍橋分析事件,以及歐盟GDPR的影響,本此法案再提的聲勢如浪潮襲來,不僅眾多議員附和,連企業(如:電子前線基金會Electronic Frontier Foundation,EFF)都予以支持。 加密法案的主要內容係以兩方面進行加密應用之保護, 各州州政府不得授權或要求產品或服務的製造商、開發商、銷售商或供應商,(A)設計或更改產品或服務中的安全功能,以供其進行監視或允許其進行實體搜索;(B)使其有能力解密或便於理解加密應用後的內容。 各州州政府不得禁止加密或類似安全功能的產品或服務,進行製造、銷售或租賃、提供銷售或租賃, 或向公眾提供覆蓋的產品或服務。此外,法案亦針對相關服務或產品的定義作了明確的說明。 本法案的主要提案者美國眾議員Ted Lieu指出,與加密或資料存取相關的問題,皆應在聯邦政府的層級進行討論,而就其本身電腦科學的專業,指出在各州間保有不同的加密應用執法標準,對資安、消費者、創新,以及執法本身都是不利的,引此本法案的推動旨在強化州際商業和經濟安全,以及網路安全問題,希望能對加密應用議題作全國性的討論,而不會損害使用者在過程中的安全性。
英國通訊傳播管理局發表「開放通訊:使人們能夠透過創新服務共享資料」,提供通訊業者建立開放通訊(Open Communications)之原則建議英國通訊傳播管理局(The Office of Communications, Ofcom)於2020年8月發布「開放通訊:使人們能夠透過創新服務共享資料」(Open Communications: Enabling people to share data with innovative services),針對開放通訊的設計原理提出七點建議: 應盡可能讓符合條件的第三方能夠近用(access)資料,同時確保用戶受到保護。 應提供客戶一些目前無法取得的資料,例如有關網路服務品質的體驗報告,以提供使用者做為未來交易時之參考。 資料的提供商和第三方必須確保資料儲存和傳輸的安全性。 第三方將如何使用有關客戶的資料及是否含有潛在風險等,皆應清楚透明地告知使用者,並且讓共享資料之使用者仍保有控制權限。 開放通訊服務之設計應符合包容性設計(inclusive design),提高使用者使用意願。 開放通訊仍應維持市場競爭。 提供資料所需的成本應與資料開放的潛在收益成比例。原則上,參與開放通訊的通訊提供者越多,對個人和小型企業的整體價值就越高。惟,若是強制要求用戶數少或是無法承擔該技術的小型提供商加入,可能導致成本與收益不成比例。 除此之外,對於應開放何種資料則須循序漸進。除了增加對第三方客戶資料近用權限之外,首先,應針對開放對資料提供者風險低,但對潛在用戶有較高利益的資料,例如:不包含個人訊息的資料,從而降低匿名化過程中所產生之風險;第二,開放低風險的地理空間資料(geospatial data),目的在於改善該地區的整體地理空間資料基礎架構。最後才是開放有關各種通訊產品中的其他資料,以促進消費者的選擇和保護。 綜上所述,考慮到開放通訊之可行性,需進一步與其他資料可攜性計劃的主要代表進行會談(如銀行業者),尋求各行業主要服務提供商的支持。再者,考慮是否訂定相關法律以及如何進行監管。第三,應標準化客戶資料,以及確保資料移動之安全性及用戶控制權限,最後則是降低資料開放之成本,以達成開放通訊所帶來之效益。
個人資料保護脈絡下的「綑綁式同意」