英國資訊委員辦公室提出人工智慧(AI)稽核框架
人工智慧(Artificial Intelligence, AI)的應用,已逐漸滲透到日常生活各領域中。為提升AI運用之效益,減少AI對個人與社會帶來之負面衝擊,英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2019年3月提出「AI稽核框架」(Auditing Framework for Artificial Intelligence),作為確保AI應用合乎規範要求的方法論,並藉機引導公務機關和企業組織,評估與管理AI應用對資料保護之風險,進而建構一個可信賴的AI應用環境。
AI稽核框架主要由二大面向所構成—「治理與可歸責性」(governance and accountability)以及「AI特定風險領域」(AI-specific risk areas)。「治理與可歸責性」面向,係就公務機關和企業組織,應採取措施以遵循資料保護規範要求的角度切入,提出八項稽核重點,包括:風險偏好(risk appetite)、設計階段納入資料保護及透過預設保護資料(data protection by design and by default)、領導管理與監督(leadership management and oversight)、政策與程序(policies and procedures)、管理與通報架構(management and reporting structures)、文書作業與稽核紀錄(documentation and audit trails)、遵循與確保能力(compliance and assurance capabilities)、教育訓練與意識(training and awareness)。
「AI特定風險領域」面向,則是ICO特別針對AI,盤點下列八項潛在的資料保護風險,作為風險管理之關注重點:
一、 資料側寫之公平性與透明性(fairness and transparency in profiling);
二、 準確性(accuracy):包含AI開發過程中資料使用之準確性,以及應用AI所衍生資料之準確性;
三、 完全自動化決策模型(fully automated decision making models):涉及人類介入AI決策之程度,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)原則上禁止無人為介入的單純自動化決策;
四、 安全性與網路(security and cyber):包括AI測試、委外處理資料、資料重新識別等風險;
五、 權衡(trade-offs):不同規範原則之間的取捨,如隱私保護與資料準確性;
六、 資料最少化與目的限制(data minimization and purpose limitation);
七、 資料當事人之權利行使(exercise of rights);
八、 對廣泛公共利益和權利之衝擊(impact on broader public interests and rights)。
ICO將持續就前述AI特定風險領域,進行更深入的分析,並開放公眾討論,未來亦將提供相關技術和組織上之控制措施,供公務機關及企業組織進行稽核實務時之參考。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張腕純
組長 編譯整理
An Overview of the Auditing Framework for Artificial Intelligence and Its Core Components, AI Auditing Framework Blog, (Mar. 26, 2019), https://ai-auditingframework.blogspot.com/2019/03/an-overview-of-auditing-framework-for_26.html (last visited May 3, 2019).
A Call for Participation: Building the ICO’s Auditing Framework for Artificial Intelligence, AI Auditing Framework Blog, (Mar. 18, 2019), https://ai-auditingframework.blogspot.com/2019/03/simon-mcdougall-director-for-technology.html (last visited May 3, 2019).
歐洲五大電信公司──德國電信(Deutsche Telekom)、法國Orange電信、義大利電信(Telecom Italia)、西班牙電信(Telefonica)與英國沃達豐電信(Vodafone)於2021年11月18日聯合發表聲明,呼籲歐盟執委會與成員國加速開放「開放式無線存取網路」(Open Radio Access Network, Open RAN)的技術應用,並提出「為歐洲建立Open RAN生態系統」(Building an Open RAN Ecosystem for Europe)研究報告。 本報告對Open RAN價值鏈和當前供應商進行分析,發現許多歐洲供應商正處於發展初期,未獲得Open RAN商業契約,且在Open RAN關鍵服務的部分類別(如雲端軟體)中,尚未有歐洲供應商。甚至綜觀Open RAN的各項關鍵服務分布,歐洲供應商僅有少數等。因此,本報告強調歐洲需迫切將Open RAN作為戰略重點,並提出以下五點建議: (一)歐盟的政策制定者應積極推動發展創新、開放及可互通之電信生態系統,並期望歐盟執委會、成員國與產業利害關係人,透過對話與討論,促使全歐洲對Open RAN生態系統之建立產生共識。 (二)執委會應成立下世代通訊基礎設施聯盟,如同過去其為雲端與半導體設立聯盟,作為推動該產業的關鍵力量。此外,為迎接Open RAN新興技術,應提倡如歐盟共同利益重要計畫(Important Projects of Common European Interest, IPCEI)的微電子和通訊技術、5G產業協會與共同承諾推動智慧網路服務多國計畫。 (三)政策制定者應降低歐盟供應商和新創企業之投資風險,並對歐洲未來具有戰略意義的技術領域,以資金與租稅等激勵措施,支持歐洲供應商合作。如由歐盟執委會和各國政府為財團提供資金,使歐洲公司建立穩固的合作關係,並成為Open RAN價值鏈中茁壯成長的供應商。 (四)O-RAN聯盟(O-RAN ALLIANCE)與第三代合作夥伴計劃(3rd Generation Partnership Project, 3GPP)及歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)正式合作,支持採用O-RAN規範作為ETSI的自願性標準,可透過快速程序對現有3GPP規範進行補充。透過促進全球統一的Open RAN標準,確保開放性網路設備的互通性,如:全歐認證的品質與互通性,建立生態系統部署者的信心。 (五)歐盟應與國際合作,促進安全、多樣化及可持續的資訊與通訊技術供應鏈,如:利用七大工業國組織(Group of Seven, G7)、美歐貿易和技術委員會(EU-US Trade and Technology Council)與日歐資通訊技術對話(Japan-EU ICT Dialogue)促進發展和部署開放且可互通的網路架構。
歐盟發布新人工智慧規範,以風險程度判斷防止科技濫用歐盟執委會於2021年4月21日提出「人工智慧規則」(AI regulation)草案,成為第一個結合人工智慧法律架構及「歐盟人工智慧協調計畫」(Coordinated Plan on AI)的法律規範。規範主要係延續其2020年提出的「人工智慧白皮書」(White Paper on Artificial Intelligence)及「歐盟資料策略」(European Data Strategy),達到為避免人工智慧科技對人民基本權產生侵害,而提出此保護規範。 「人工智慧規則」也依原白皮書中所設的風險程度判斷法(risk-based approach)為標準,將科技運用依風險程度區分為:不可被接受風險(Unacceptable risk)、高風險(High-risk)、有限風險(Limited risk)及最小風險(Minimal risk)。 「不可被接受的風險」中全面禁止科技運用在任何違反歐盟價值及基本人權,或對歐盟人民有造成明顯隱私風險侵害上。如政府對人民進行「社會評分」制度或鼓勵兒童為危險行為的語音系統玩具等都屬於其範疇。 在「高風險」運用上,除了作為安全設備的系統及附件中所提出型態外,另將所有的「遠端生物辨識系統」(remote biometric identification systems)列入其中。規定原則上禁止執法機構於公眾場合使用相關的生物辨識系統,例外僅在有目的必要性時,才得使用,像尋找失蹤兒童、防止恐怖攻擊等。 而在為資料蒐集行為時,除對蒐集、分析行為有告知義務外,也應告知系統資料的準確性、安全性等,要求高度透明化(Transparency obligations)。不只是前述的不可被接受風險及高風險適用外,有限風險運用中的人工智慧聊天系統也需要在實際和系統互動前有充足的告知行為,以確保資料主體對資料蒐集及利用之情事有充足的認知。 在此新人工智慧規範中仍有許多部份需要加強與討論,但仍期望在2022年能發展到生效階段,以對人工智慧科技的應用多一層保障。
非評論、批判之著作若具新目的之轉化亦屬合理使用範疇之新見解 - Patrick Cariou v. Richard Prince美國聯邦第二巡迴上訴法院針對Patrick Cariou v. Richard Prince一案做出侵害著作權之合理使用判斷新見解,合理使用之目的主要為平衡著作權與美國憲法第一修正案之間的衝突,故1976年著作權法第107條中編寫有關合理使用之條文─在第106和第106A之規定外,對一受著作權保護作品的合理使用,無論是透過複製、錄音或其他任何上述規定中所提到的手段,以用作批評、評論、新聞報導、教學、學術交流或研究之目的,不屬於侵權。上訴法院認為被告Prince使用雖不符合批評、評論、新聞報導、教學、學術及研究等,卻是另有目的,可構成合理使用,更進一步指出被告的創意方法、表現形式等都與原告作品本質上不同,甚至還比原作新穎,因此,在轉化測試法則上建立了若以不同美學表達且加入挪用藝術手法的話,即使不具批判卻另有目的並加入新元素於創作,使原作改變之轉化,則構成合理使用。至於轉化測試法則確立於1994年的Campbell案,最高法院指出戲謔仿作可藉由諷刺原著作而轉化成與原著作不同的另一著作。 此案可謂針對合理使用於判定著作權侵害案件時,合理使用原則第一項因素成立轉化測試法則與否之新指標。著作權合理使用原則發展亦可觀察出美國有逐漸將判斷標準擴大之趨勢,而轉化測試法則之發展亦將持續追蹤之。
New Balance在中國大陸一審獲判商標侵權賠償美國紐百倫公司(以下稱New Balance)去年控告中國大陸當地三家製鞋商侵害其中N字logo商標。其中一位被告為已在美國科羅拉多州成立公司的新百倫體育用品有限公司(USA New Bai Lun Sporting Goods Group Inc)。近日,中國大陸蘇州中級人民法院判決在一審判決中判處這三名被告侵害New Balance商標權,應支付New Balance人民幣一千萬元(即美金一百五十萬元)之損害賠償。 一名美國律師指出,此賠償數額以國際標準而言不算高,但這是中國大陸外企至今在商標侵權爭議案件中獲得的最大一筆賠償金,對在中國大陸的外企而言是一大鼓舞。New Balance品牌保護經理Angela Shi表示,此案的勝訴讓New Balance更有信心繼續在中國大陸開展品牌保護的工作。 根據中國大陸當地律師指出,過去中國大陸各地方人民法院由於必須考量當地就業及社會穩定等因素,較不傾向做出有利於外企的判決。在本判決之前,美國總統川普曾簽屬一份備忘錄,要求調查中國大陸竊取美國企業智慧財產權之問題,而中國大陸國家主席習近平近期亦曾公開表示要嚴懲侵害智慧財產權者。本次New Balance的勝訴,除了對外企而言有標竿性的作用外,也展現了中國大陸政府解決仿冒問題的決心。