英國資訊委員辦公室提出人工智慧(AI)稽核框架
人工智慧(Artificial Intelligence, AI)的應用,已逐漸滲透到日常生活各領域中。為提升AI運用之效益,減少AI對個人與社會帶來之負面衝擊,英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2019年3月提出「AI稽核框架」(Auditing Framework for Artificial Intelligence),作為確保AI應用合乎規範要求的方法論,並藉機引導公務機關和企業組織,評估與管理AI應用對資料保護之風險,進而建構一個可信賴的AI應用環境。
AI稽核框架主要由二大面向所構成—「治理與可歸責性」(governance and accountability)以及「AI特定風險領域」(AI-specific risk areas)。「治理與可歸責性」面向,係就公務機關和企業組織,應採取措施以遵循資料保護規範要求的角度切入,提出八項稽核重點,包括:風險偏好(risk appetite)、設計階段納入資料保護及透過預設保護資料(data protection by design and by default)、領導管理與監督(leadership management and oversight)、政策與程序(policies and procedures)、管理與通報架構(management and reporting structures)、文書作業與稽核紀錄(documentation and audit trails)、遵循與確保能力(compliance and assurance capabilities)、教育訓練與意識(training and awareness)。
「AI特定風險領域」面向,則是ICO特別針對AI,盤點下列八項潛在的資料保護風險,作為風險管理之關注重點:
一、 資料側寫之公平性與透明性(fairness and transparency in profiling);
二、 準確性(accuracy):包含AI開發過程中資料使用之準確性,以及應用AI所衍生資料之準確性;
三、 完全自動化決策模型(fully automated decision making models):涉及人類介入AI決策之程度,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)原則上禁止無人為介入的單純自動化決策;
四、 安全性與網路(security and cyber):包括AI測試、委外處理資料、資料重新識別等風險;
五、 權衡(trade-offs):不同規範原則之間的取捨,如隱私保護與資料準確性;
六、 資料最少化與目的限制(data minimization and purpose limitation);
七、 資料當事人之權利行使(exercise of rights);
八、 對廣泛公共利益和權利之衝擊(impact on broader public interests and rights)。
ICO將持續就前述AI特定風險領域,進行更深入的分析,並開放公眾討論,未來亦將提供相關技術和組織上之控制措施,供公務機關及企業組織進行稽核實務時之參考。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
張腕純
組長 編譯整理
An Overview of the Auditing Framework for Artificial Intelligence and Its Core Components, AI Auditing Framework Blog, (Mar. 26, 2019), https://ai-auditingframework.blogspot.com/2019/03/an-overview-of-auditing-framework-for_26.html (last visited May 3, 2019).
A Call for Participation: Building the ICO’s Auditing Framework for Artificial Intelligence, AI Auditing Framework Blog, (Mar. 18, 2019), https://ai-auditingframework.blogspot.com/2019/03/simon-mcdougall-director-for-technology.html (last visited May 3, 2019).
日本獨立行政法人情報處理推進機構(Information-technology Promotion Agency,下稱IPA)於2026年1月29日發布「2026年10大資訊安全威脅」,呼籲企業應留意自身資訊安全防護對策。 IPA將2026年10大資訊安全威脅區分為「組織」與「個人」兩大面向。在組織面向的威脅中,前三位依序為勒索病毒攻擊、針對供應鏈或委託方的攻擊,以及AI應用所帶來的網路風險。其中,「AI應用所帶來的網路風險」是自2016年IPA開始進行資訊安全威脅調查以來,首度入選前10大威脅,其風險內容主要為使用者對AI技術缺乏充分了解而導致的資訊外洩,或是由於AI遭惡意濫用,進而降低網路攻擊的門檻等風險。 此外,2026年10大資訊安全威脅第四至第十名依序分別為,針對系統漏洞的攻擊、竊取機密資訊的攻擊、由地緣政治風險引起的網路攻擊(包含資訊戰)、內部違規行為導致的資訊外洩、針對遠距工作環境的攻擊、分散式阻斷服務攻擊,以及商務電子郵件詐欺。從10大資訊安全威脅之內涵可知,多數資安威脅均與資訊外洩或惡意攻擊相關,顯見資訊的價值與重要度在現代數位化社會中日益提升。 臺灣企業如欲強化資訊安全防護對策,並針對資料本身進行妥善管理,建議參考資訊工業策進會科技法律研究所創意智財中心(資策會科法所創智中心)發布之《重要數位資料治理暨管理制度規範》,建立涵蓋數位資料生命週期之資料治理機制,同時參考該中心發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》,建立營業秘密管理措施或相關機制,避免具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟發佈關於監督金融業之數據保護準則歐洲數據保護監督組織(European Data Protection Supervipsor,EDPS)發表「關於在歐盟監督金融業之數據保護準則」(Guidelines on Data Protection for Financial Services Regulation),以作為確保歐盟的數據保護規範,將被整合進正在發展中的金融政策與相關規定之實用工具。該準則為金融市場監督機制的一部分,在金融業對個人資料的處理上,特別是透過監控、記錄保留、回報、以及資訊交換這些存有侵犯個人資料和隱私權風險的措施予以規範。 該準則包含10項步驟與建議,旨在協助歐盟後續金融監督政策的制定,其中一些重要的建議如下: (1)應評估資訊之處理是否可能妨礙隱私權。 (2)應為數據的處理建立法律基礎。 (3)評估適當的資訊保留期限並給予正當化依據。 (4)建立個人資料傳輸至歐盟外的正當法律依據。 (5)提供個人資料保護權利的適當保障。 (6)衡量適當的數據安全保護措施。 (7)應為數據處理的監督提供特定之程序。 有鑒於2008年金融危機的影響,該準則透過提供一個能確保個人資料被妥善保護的有效方法,期以重建金融市場的信心。Giovani Buttarelli,作為新任歐洲數據保護監督委員,在一份伴隨準則釋出的聲明稿當中表示:「個人資料的價值已經隨著數位經濟的成長不斷增加,確保各行業的個人資料得以受到保護也益顯重要。歐洲數據保護監督組織(EDPS)計畫對不同行業制定相關保護規範,此準則是第一個發佈的。」
美國聯邦最高法院判決PTAB就IPR申請是否逾期不立案之決定不得上訴依據美國專利法第314(d)條,美國專利商標局(USPTO)作成多方複審程序(Inter Partes Review, IPR)是否立案(institute)之決定,不得上訴。美國聯邦最高法院於2020年4月20日針對Thryv, Inc. v. Click-to-Call Technologies, LP, et al.一案作成判決,認定USPTO下轄之專利審理暨訴願委員會(Patent Trial and Appeal Board, PTAB)依據美國專利法第315(b)條判斷IPR申請是否逾期不立案之決定,同樣屬於第314(d)條不得上訴之決定。 本案源自2012年Click-to-Call公司就其所有的第5,818,836號美國專利(以下簡稱836號專利)向Thryv公司的前身Ingenio, LLC.提起的專利侵權訴訟,Ingenio公司隨即在收到訴狀後一年內針對836號專利向PTAB提出IPR申請,PTAB認定Ingenio公司的申請並未逾期而立案IPR,並最終做成836號專利無效之決定。Click-to-Call公司不服,認為836號專利之侵權訴訟早在2001年即被提起,即便後因雙方和解而撤回,Ingenio公司的IPR申請早已逾越第315(b)條所規定應於被訴後一年內提出IPR申請之期限,進而對PTAB認定本案申請並未逾期而立案的決定提起上訴。 本案前於2018年經聯邦巡迴上訴法院(CAFC)作成判決,認為PTAB依據第315(b)條認定本案尚未逾期而立案IPR之決定為可上訴,並進而認為即便本案曾經起訴後旋即撤回,當時送達之訴狀仍可觸發IPR申請期限的起算,IPR申請期限應以訴狀是否送達(served with the complaint)為準,與訴訟後續是否撤回無關,PTAB就該訴訟經撤回而認定期限未起算並立案IPR之決定,顯然增加法律所無之規定。 不過在聯邦最高法院的判決中,以7票對2票推翻了聯邦巡迴上訴法院的見解,聯邦最高法院引用Cuozzo Speed Technologies, LLC v. Lee一案的見解,認為依據第314(d)條是否立案IPR之決定為不可上訴,係立法者有意設計,使USPTO得以自我檢視並有效清除不良專利。而第315(b)條的立法本意為減少訴訟與IPR程序重疊的資源浪費,若允許對是否立案之決定上訴顯然無益於本條立法目的之達成。因此聯邦最高法院撤銷聯邦巡迴上訴法院的判決並以無上訴管轄權為由駁回Click-to-Call公司之上訴。
美國知名嘻哈歌手Dr. Dre對婦產科醫生的商標註冊提出異議遭駁回2015年美國賓州的一位婦產科醫生Draion M Burch(以下簡稱Burch)申請註冊「Dr. Drai」商標在國際商品服務類別41(教育及娛樂服務)及44(醫療諮詢服務)以行銷自身的有聲書籍及研討課程。美國知名的嘻哈歌手Dr. Dre認為,該商標與自身的「Dr. Dre」【已註冊國際商品服務類別9(系列音樂錄製)、16(海報、美術印刷及貼紙)、25(T恤、長袖衫、帽子)、41(由音樂藝術家及創作者提供之娛樂服務)】雖拼法不同但讀音相同,會引起消費者的混淆,因而向商標審理暨訴願委員會(Trademark Trail and Appeal Board, TTAB,下稱委員會)提出異議。 委員會認為,雖然「Dr. Dre」與「Dr. Drai」兩者類似,然而Dr. Dre無法證明消費者會因而被混淆、誤導,進而去購買Dr. Drai的商品。該意見書更指出,由於Burch醫生的演講費用是5000元美金,比起購買一般物品,消費者在購買Burch醫生的書籍或演講門票時會付出「較高的注意程度」。Burch醫生也辯稱,消費者不太可能會混淆這兩個商標,因為「Dr. Dre並非醫生,也沒有資格提供任何醫療服務或銷售醫藥、保健產品。」他更證稱從未想要利用Dr. Dre的名聲謀取利益,因Dr. Dre創作的歌詞顯示出其對某些族群的歧視,若消費者將他與Dr. Dre聯想,只會認為他是一位不好的醫生。 基於上述理由,委員會最後駁回歌手Dr. Dre的異議。Dr. Dre的律師James Weinberger目前對此案拒絕做出評論,也不願透漏是否會再提出上訴。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」