英國資訊委員辦公室提出人工智慧(AI)稽核框架
人工智慧(Artificial Intelligence, AI)的應用,已逐漸滲透到日常生活各領域中。為提升AI運用之效益,減少AI對個人與社會帶來之負面衝擊,英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2019年3月提出「AI稽核框架」(Auditing Framework for Artificial Intelligence),作為確保AI應用合乎規範要求的方法論,並藉機引導公務機關和企業組織,評估與管理AI應用對資料保護之風險,進而建構一個可信賴的AI應用環境。
AI稽核框架主要由二大面向所構成—「治理與可歸責性」(governance and accountability)以及「AI特定風險領域」(AI-specific risk areas)。「治理與可歸責性」面向,係就公務機關和企業組織,應採取措施以遵循資料保護規範要求的角度切入,提出八項稽核重點,包括:風險偏好(risk appetite)、設計階段納入資料保護及透過預設保護資料(data protection by design and by default)、領導管理與監督(leadership management and oversight)、政策與程序(policies and procedures)、管理與通報架構(management and reporting structures)、文書作業與稽核紀錄(documentation and audit trails)、遵循與確保能力(compliance and assurance capabilities)、教育訓練與意識(training and awareness)。
「AI特定風險領域」面向,則是ICO特別針對AI,盤點下列八項潛在的資料保護風險,作為風險管理之關注重點:
一、 資料側寫之公平性與透明性(fairness and transparency in profiling);
二、 準確性(accuracy):包含AI開發過程中資料使用之準確性,以及應用AI所衍生資料之準確性;
三、 完全自動化決策模型(fully automated decision making models):涉及人類介入AI決策之程度,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)原則上禁止無人為介入的單純自動化決策;
四、 安全性與網路(security and cyber):包括AI測試、委外處理資料、資料重新識別等風險;
五、 權衡(trade-offs):不同規範原則之間的取捨,如隱私保護與資料準確性;
六、 資料最少化與目的限制(data minimization and purpose limitation);
七、 資料當事人之權利行使(exercise of rights);
八、 對廣泛公共利益和權利之衝擊(impact on broader public interests and rights)。
ICO將持續就前述AI特定風險領域,進行更深入的分析,並開放公眾討論,未來亦將提供相關技術和組織上之控制措施,供公務機關及企業組織進行稽核實務時之參考。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
張腕純
組長 編譯整理
An Overview of the Auditing Framework for Artificial Intelligence and Its Core Components, AI Auditing Framework Blog, (Mar. 26, 2019), https://ai-auditingframework.blogspot.com/2019/03/an-overview-of-auditing-framework-for_26.html (last visited May 3, 2019).
A Call for Participation: Building the ICO’s Auditing Framework for Artificial Intelligence, AI Auditing Framework Blog, (Mar. 18, 2019), https://ai-auditingframework.blogspot.com/2019/03/simon-mcdougall-director-for-technology.html (last visited May 3, 2019).
「合成資料」(synthetic data)的出現,是為了保護原始資料所可能帶有的隱私資料或機敏資料,或是因法規或現實之限制而無法取得或利用研究所需資料的情況下,透過統計學方法、深度學習、或自然語言處理等方式,讓電腦以「模擬」方式生成研究所需之「合成資料」並進行後續研究跟利用,透過這個方法,資料科學家可以在無侵犯隱私的疑慮下,使合成資料所訓練出來的分類模型(classifiers)不會比原始資料所訓練出來的分類模型差。 在合成資料的生成技術當中,最熱門的研究為運用「生成對抗網路」(Generative Adversarial Network, GAN)形成合成資料(亦有其他生成合成資料之方法),生成對抗網路透過兩組類神經網路「生成網路」(generator)與辨識網路(discriminator)對於不同真偽目標值之反覆交錯訓練之結果,使其中一組類神經網路可生成與原始資料極度近似但又不完全一樣之資料,也就是具高度複雜性與擬真性而可供研究運用之「合成資料」。 英國國防科技實驗室(Defense Science and Technology Laboratory, DSTL)於2020年8月12日發布「合成資料」技術報告,此技術報告為DSTL委託英國航太系統公司(BAE Systems)的應用智慧實驗室(Applied Intelligence Labs, AI Labs)執行「後勤科技調查」(Logistics Technology Investigations, LTI)計畫下「資料科學與分析」主題的工作項目之一,探討在隱私考量下(privacy-preserving)「合成資料」當今技術發展情形,並提供評估技術之標準與方法。 技術報告中指出,資料的種類多元且面向廣泛,包含數字、分類資訊、文字與地理空間資訊等,針對不同資料種類所適用之生成技術均有所不同,也因此對於以監督式學習、非監督式學習或是統計學方法生成之「合成資料」需要採取不同的質化或量化方式進行技術評估;報告指出,目前尚未有一種可通用不同種類資料的合成資料生成技術或技術評估方法,建議應配合研究資料種類選取合適的生成技術與評估方法。
肯塔基州上訴法院認為,未經當事人同意即使用臉書上之tag功能標示出該當事人,並無違法美國肯塔基州上訴法院於月前駁回一名女子所提出的監護權認定案的上訴。該女子之上訴理由中提到:法院所據以決定監護權之證據之一,乃是未經她同意即被其他人標示出該女子姓名,並放在臉書(Facebook)上供人點閱、瀏覽的照片。但該州上訴法院並不同意這個看法,其在判決中指出:目前並無任何法律要求他人必須先取得該女子之同意後才能對之攝相,並上傳至臉書或其他網站;此外亦無任何法律規定其他人不得將該女子之姓名標示(tag)於這些照片上。 暫撇開其他法律不談,此一案件引人思考之與個人資料保護相關之處至少有二:首先,是關於法律適用的部分,亦即,如本案發生在日後個人資料保護法開始施行後的台灣,則該法第51條第1項(註1)之排除規定是否適用的問題;其二則是法律政策的部分,究竟在這個資訊數位化且易於搜尋的網路時代,為個人或家庭活動目的而毫無設限(例如本案之供不特定人瀏覽)的利用他人之個人資料是否確無為保護個人資料為著眼點之規範必要?(在肯塔基州這個案子裡,此一「無規範」的結果或許是正面的,但在其他的許多狀況,可能並非如此。) 註1:個人資料保護法第51條第1項:「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」
歐盟通過新電視指令歐盟27個會員國於5月24日在布魯塞爾通過新的電視指令(neue Fernsehrichtlinie),內容涉及「在線或離線電視服務(Fernsehen on- und offline)」、「廣告規範」及「來源國原則(Herkunftslandsprinzip:指跨國服務或商品依據來源國之標準處理。)」。新的電視指令乃源自於有18年歷史之電視指令,並重新命名為「影音媒體服務指令(Richtlinie über Audiovisuelle Mediendienste)」,指令內容包括線上直播節目、近似隨選視訊(Near-Video-on-Demand)、非線性傳輸節目(nicht-linear verbreitetes Programm)。 約一年半前歐盟就電視指令之規範,如何種經由網路傳輸之內容適用電視指令、廣告規範及來源國原則等議題加以討論;不具商業性之私人網站內容,如旅遊紀錄片,則不在本指令適用範圍。歐洲媒體法研究機構負責人Alexander Scheuer指出,類似YouTube網站,因其本身提供服務方式不涉及編輯性責任(redaktionelle Verantowrtung),故亦不在本指令適用範圍內;惟如YouTube將電視頻道引進其網站,則可能有適用本指令之餘地。Scheuer另外指出如何界定非商業性之難題,例如在個人儲存短片的網頁上打廣告,是否具商業性,值得討論。 指令中最具爭議的部份,除新聞時事及兒童節目仍嚴格禁止置入性行銷(Product Placement)外,新電視指令有條件放寬業者經營置入性行銷,前提是節目播出前須向觀眾為置入性行銷之揭露,此項放寬將使正常節目進行因廣告而中斷。另外關於禁止速食廣告於兒童節目中播出之建議則未被採納。 值得關注尚有適用來源國原則下對特定網站所發的禁制令問題,原則上對節目提供者只適用其來源國之法律,但指令第2a條明訂若有緊急情況(如內容違反青少年保護規定),可以對該特定網站發出制禁令,以防止規避會員國較嚴格之相關規定;而是否有緊急情況須提交委員會裁決。 新電視指令通過後引起多方關注,未來適用上仍存有挑戰空間。
歐盟《非歐盟國家智財權保護與執法成效報告》歐盟執委會於2020年1月8日發布《非歐盟國家智財權保護與執法成效報告》(Report on the protection and enforcement of intellectual property rights in third countries)。該報告自2006年起,每兩年出版一次,主要目的為確定特定非歐盟國家中智財權之保護與執法狀況,並列出每兩年的「優先關注國」(priority countries)清單。報告中亦說明,所謂「優先關注國」是對歐盟智財利益造成最大侵害的國家,而非指全球中智財保護狀況最有問題的國家。 本次報告臚列的國家中,中國為最需關注的第一級國家;第二級為印度、印尼、俄羅斯等;第三級則是阿根廷、巴西、馬來西亞、泰國、沙烏地阿拉伯等國。報告提到中國是歐盟境內仿冒品與盜版貨物的主要來源。在歐盟海關扣押的仿冒品與盜版貨物中,有百分之八十以上來自中國和香港。第二類優先國家,其智財保護與執法存在系統性問題,且問題解決上進度緩慢。而第三類優先國家智財領域表現上也有類似問題,僅在嚴重性和數量低於第二級優先國家。其中,沙烏地阿拉伯為今年新增為優先關注國家,研究報告指出該國常被作為中轉國家,傳輸歐盟境內仿冒與盜版貨物。 報告中亦提到上述國家共同問題,包含: 強制性技術轉讓策略(特別是中國)不利於外國產業(尤其是高科技產業)投資,使外國產業失去競爭優勢; 海關執法情形不一,往往沒有依職權採取人身拘提、扣押、銷燬仿冒及盜版貨物,或是未對運輸中的盜版貨品依法採取行動; 仿冒和盜版商品通常不會被執法部門直接銷燬,甚至會回到市場; 智財侵權罰則上,許多國家的懲罰過輕,無法造成威懾作用。 因缺乏執法政治意願和資源,使國家智財權執法情況薄弱,也導致技術基礎設施、人力資源、專業能力,甚或司法、行政以及一般公眾對智財權價值認識不足。