德國資料保護會議通過「哈姆巴爾宣言」,針對人工智慧之運用提出七大個資保護要求
德國聯邦及各邦獨立資料保護監督機關(unabhängige Datenschutzaufsichtsbehörden)共同於2019年4月3日,召開第97屆資料保護會議通過哈姆巴爾宣言(Hambacher Erklärung,以下簡稱「Hambacher宣言」)。該宣言指出人工智慧雖然為人類帶來福祉,但同時對法律秩序內自由及民主體制造成巨大的威脅,特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料,並且透過自動化的演算系統,干預個人的權利與自由。
諸如人工智慧系統被運用於判讀應徵者履歷,其篩選結果給予女性較不利的評價時,則暴露出人工智慧處理大量資料時所產生的性別歧視,且該歧視結果無法藉由修正資料予以去除,否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務,國家有義務使人工智慧的發展與應用,符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時,應符合歐盟一般資料保護規則(The General Data Protection Regulation,以下簡稱GDPR)第5條個人資料蒐集、處理與利用之原則,並基於該原則針對人工智慧提出以下七點個資保護之要求:
(1)人工智慧不應使個人成為客體:依據德國基本法第1條第1項人性尊嚴之保障,資料主體得不受自動化利用後所做成,具有法律效果或類似重大不利影響之決策拘束。
(2)人工智慧應符合目的限制原則:透過人工智慧系統蒐集、處理與利用個人資料時,即使後續擴張利用亦應與原始目的具有一致性。
(3)人工智慧運用處理須透明、易於理解及具有可解釋性:人工智慧在蒐集、處理與利用個人資料時,其過程應保持透明且決策結果易於理解及可解釋,以利於追溯及識別決策流程與結果。
(4)人工智慧應避免產生歧視結果:人工智慧應避免蒐集資料不足或錯誤資料等原因,而產生具有歧視性之決策結果,控管者或處理者使用人工智慧前,應評估對人的權利或自由之風險並控管之。
(5)應遵循資料最少蒐集原則:人工智慧系統通常會蒐集大量資料,蒐集或處理個人資料應於必要範圍內為之,且不得逾越特定目的之必要範圍,並應檢查個人資料是否完全匿名化。
(6)人工智慧須設置問責機關進行監督:依據GDPR第12條、第32條及第35條規定,人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施,以確保蒐集、處理與利用個人資料之安全性。
(7)人工智慧應採取適當技術與組織上的措施管理之:為了符合GDPR第24條及第25條規定,聯邦資料保護監督機關應確認,控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。
綜上所述,Hambacher宣言內容旨在要求,人工智慧在蒐集、處理及利用個人資料時,除遵守歐盟一般資料保護規則之規範外,亦應遵守上述提出之七點原則,以避免其運用結果干預資料主體之基本權利。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳咸蓁
法律研究員 編譯整理
Datenschutzkonferenz [DSK], Hambacher Erklärung zur Künstlichen Intelligenz, https://www.datenschutzkonferenz-online.de/media/en/20190405_hambacher_erklaerung.pdf (last visited May 20, 2019).
European Commission Page, https://ec.europa.eu/futurium/en/ai-alliance-consultation/guidelines (last visited May 20, 2019).
以Google及微軟為首等網路業者,及名為「資訊正當法律程序」協會的數個成員,呼籲美國聯邦政府對於儲存於雲端或第三人資料儲存系統的私人電子郵件或電子資料之取得,應進行相關法律修正。 由於1986年開始施行的「電子通訊隱私法(Electronic Communications Privacy Act, ECPA)」,係立法者基於當時資通訊技術水準所制定,然近年來諸如電子郵件、雲端運算、網路社群活動及行動通訊等科技之興起,使得該法已不足因應當今狀況,故有制定更為透明、簡單且明瞭的資料取得標準之需要。尤其是現今電子資訊儲存於第三人資訊系統內情形之普遍,更讓此等資訊取得行為是否適用該法,產生相當的模糊。 此等模糊性,讓現今的司法部門認為僅需使用傳票(subpoena)或取得法院命令(court order),便可要求第三人提供客戶的資料。但是,上述這些團體希望政府應修正既有法律以與現時社會相符,確保須透過更為嚴謹的程序,始能要求第三人提供客戶的私人資訊,例如需申請「令狀」(warrant)。蓋因資料儲存於私人電腦內,需透過令狀以命其揭露,而若儲存於第三人處,理論上亦應該透過令狀以命第三人揭露該等資訊;再者,「美國人權法案(Bill of rights )」要求政府機關除非具特定理由,否則不得對他人住宅進行無搜索令之搜索,同樣的,在電腦資訊之取得,亦不應降低保護人民之標準。 該團體揭示之四項標準為: .政府僅能在出示正當理由,並取得搜索令(search warrant)的情況下,才能對任何受ECPA規範的實體(無線或電子通訊服務的提供者,或遠端電腦服務提供者)要求揭露未能輕易由公眾取得之資訊。且不受通訊時代,儲存工具及狀態,或提供者的權限及其通常商業活動的通訊使用所影響。 .政府僅能在獲得具有正當理由之搜索令下,才得要求任何受ECPA規範的實體,提供行動通訊裝置的地點資訊。 .政府僅能在獲得司法審查,及透過法院認為其已具備第2703(d)條之情形,才能要求任何受ECPA規範的實體提供撥打電話號碼的資訊,往來電子郵件、及該實體藉由電子記錄器和追蹤設備所記錄的資訊或數據。 .政府單位經「Stored Communications Act」之授權取得傳票,其取得資訊之範圍僅得針對特定帳號或個人。其他非特定的要求,皆須司法同意後始得進行。
日本國交省公布「基礎建設之數位轉型政策」,期望建構更有效率、安全之社會環境日本國土交通省(下稱「國交省」)於2021年2月9日公布「基礎建設之數位轉型政策(インフラ分野のデジタル・トランスフォーメーション施策)」。此報告係國土交通省基礎設施DX推進本部(国土交通省インフラ分野のDX推進本部)於2021年1月所舉行第三次會議所彙整之政策方針。 針對基礎設施數位轉型之政策實施主要分為四個面向:第一部分強調透過行政程序數位化及網路化,藉以提升效率並加強管理效能,並且提供運用數位生活中各項服務,以增加生活之便利與安全。第二部分說明為實現安全與舒適之勞動環境,減少人工作業之負擔,未來欲活用AI與機器人,使施工作業與技術建設達到無人化,並透過數位化提高專業技術學習效率以培育相關人才。第三部分聚焦於調查、監督檢查領域,如公路、鐵路、河川及機場之檢修,利用資料分析與自動化機械提升日常管理及檢修效率。最後,為順利推行以上數位轉型政策,必須建構能支援數位化的社會。因此,未來除須結合智慧城市(スマートシティ)等數位創新政策,利用資料以具體化社會課題之解決方針外,亦須針對作為數位轉型基礎之3D資料進行環境整備,以利數位轉型之推動。
共享經濟創新商業模式於歐盟各國發展所遭遇之公平競爭議題共享經濟(Sharing-economy)為近來很夯的議題,其概念係藉由網路平台分享自有資產、資源、時間及技能及其他有用的事物,透過資源分享能更有效利用或者獲得收入。共享經濟不僅能夠促進經濟成長、鼓勵創業,同時也促進資產有效再利用,許多創新服務成功案例,例如Uber、Lyft、Airbnb等因此產生,然而,這類型之創新商業模式推展至世界其他各國發展時,卻遭遇到法規範的差異,與各國政府監督與管理出發點的不同,對各國政府與創新商業模式皆成為未來的挑戰。 舉例來說,目前Uber公司在法國、西班牙和德國等國禁止其提供服務,由於德國政府認為Uber未事先依法律規定辦理司機與營業車輛登記,故禁止Uber於德國境內服務;而西班牙政府認為Uber公司未取得經營執照,亦禁止其於西班牙提供服務。然而Uber公司認為,上述國家對於公司的發展已產生限制競爭與不公平的對待,進而向歐盟執委會(European Commission)提出申訴。 依歐盟條約(The Treaty on the Functioning of the EU, TFEU)規定,歐盟會員國各該內國法之制定原則上不可抵觸歐盟競爭法(EU competition laws),是以,各該歐盟會員國必須遵守歐盟競爭法訂立至少符合歐盟競爭法的相關規範。因此,若認為歐盟會員國的規範與實務操作有悖於歐盟條約所制定之公平競爭規則時,可向歐盟執委會提出申訴,該委員會如發現確實有違背公平競爭規則時,可要求該歐盟會員國修訂其國家的監管制度。 對此,歐盟、各該會員國之監管部門、市場競爭當局試圖尋找解決問題的平衡點,並在適當的監管與促進創新與競爭的環境下,俾利共享經濟於各國的推動與發展。
Me Too醫療器材上市前許可指引美國食品藥物管理局(The Food and Drug Administration,簡稱FDA)於2014年7月更新並公布了醫療器材上市前許可(premarket notification)的指引(guidance)(該指引名稱為510(k) Program: Evaluating Substantial Equivalence in Premarket Notification Guidance for Industry and Food and Drug Administration Staff,以下簡稱510(k)指引),針對醫療器材業者將其生產製造的醫療儀器申請上市的過程做了新的調整及規範。此指引主要是讓業界及FDA人員了解FDA在評估醫療器材申請過程中所評估的因素及要點,並藉由FDA在審查醫療器材的實務規範及審查標準來當作標準並訂定510(k)修正,以提高510(k)評估的可預測性、一致性及透明度,讓業界有一定的遵循標準。雖然FDA的指令文件並不受法律強制規範,但可供醫材業者更清楚FDA所重視的審查程序及內容。 歐盟對醫療器材上市前之審查亦有相關指令,分別為一般醫療器材指令(Medical Device Directive,簡稱MDD)、活體植入醫材指令(Active Implantable Medical Devices Directive,簡稱AIMDD)及。歐盟規定醫療器材在上市前,必須符合上市前所規定之內容以正當在歐盟、歐洲經濟地區(European Economic Area)及瑞士市場販售使用。然而特別的是,不同於美國上市前的醫療器材由主管機關FDA進行審查,歐洲藥物管理局(The European Medicines Agency of the EU)並不參與醫療器材的審核程序,而是交由歐盟會員國的私人認證機構對醫療器材做評估。