德國資料保護會議通過「哈姆巴爾宣言」,針對人工智慧之運用提出七大個資保護要求
德國聯邦及各邦獨立資料保護監督機關(unabhängige Datenschutzaufsichtsbehörden)共同於2019年4月3日,召開第97屆資料保護會議通過哈姆巴爾宣言(Hambacher Erklärung,以下簡稱「Hambacher宣言」)。該宣言指出人工智慧雖然為人類帶來福祉,但同時對法律秩序內自由及民主體制造成巨大的威脅,特別是人工智慧系統可以透過自主學習不斷蒐集、處理與利用大量個人資料,並且透過自動化的演算系統,干預個人的權利與自由。
諸如人工智慧系統被運用於判讀應徵者履歷,其篩選結果給予女性較不利的評價時,則暴露出人工智慧處理大量資料時所產生的性別歧視,且該歧視結果無法藉由修正資料予以去除,否則將無法呈現原始資料之真實性。由於保護人民基本權利屬於國家之重要任務,國家有義務使人工智慧的發展與應用,符合民主法治國之制度框架。Hambacher宣言認為透過人工智慧系統運用個人資料時,應符合歐盟一般資料保護規則(The General Data Protection Regulation,以下簡稱GDPR)第5條個人資料蒐集、處理與利用之原則,並基於該原則針對人工智慧提出以下七點個資保護之要求:
(1)人工智慧不應使個人成為客體:依據德國基本法第1條第1項人性尊嚴之保障,資料主體得不受自動化利用後所做成,具有法律效果或類似重大不利影響之決策拘束。
(2)人工智慧應符合目的限制原則:透過人工智慧系統蒐集、處理與利用個人資料時,即使後續擴張利用亦應與原始目的具有一致性。
(3)人工智慧運用處理須透明、易於理解及具有可解釋性:人工智慧在蒐集、處理與利用個人資料時,其過程應保持透明且決策結果易於理解及可解釋,以利於追溯及識別決策流程與結果。
(4)人工智慧應避免產生歧視結果:人工智慧應避免蒐集資料不足或錯誤資料等原因,而產生具有歧視性之決策結果,控管者或處理者使用人工智慧前,應評估對人的權利或自由之風險並控管之。
(5)應遵循資料最少蒐集原則:人工智慧系統通常會蒐集大量資料,蒐集或處理個人資料應於必要範圍內為之,且不得逾越特定目的之必要範圍,並應檢查個人資料是否完全匿名化。
(6)人工智慧須設置問責機關進行監督:依據GDPR第12條、第32條及第35條規定,人工智慧系統內的控管者或處理者應識別風險、溝通責任及採取必要防範措施,以確保蒐集、處理與利用個人資料之安全性。
(7)人工智慧應採取適當技術與組織上的措施管理之:為了符合GDPR第24條及第25條規定,聯邦資料保護監督機關應確認,控管者或處理者採用適當的現有技術及組織措施予以保障個人資料。
綜上所述,Hambacher宣言內容旨在要求,人工智慧在蒐集、處理及利用個人資料時,除遵守歐盟一般資料保護規則之規範外,亦應遵守上述提出之七點原則,以避免其運用結果干預資料主體之基本權利。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳咸蓁
法律研究員 編譯整理
Datenschutzkonferenz [DSK], Hambacher Erklärung zur Künstlichen Intelligenz, https://www.datenschutzkonferenz-online.de/media/en/20190405_hambacher_erklaerung.pdf (last visited May 20, 2019).
European Commission Page, https://ec.europa.eu/futurium/en/ai-alliance-consultation/guidelines (last visited May 20, 2019).
德國聯邦資料保護暨資訊自由官(Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit,BfDI)Ulrich Kelber教授於2020年8月19日指出,2020年7月3日甫由德國議會通過的病人資料保護法(Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur; Patientendaten- Schutzgesetz, PDSG),恐違反歐盟一般資料保護規則(GDPR)。 該法規定自2021年起,健康保險業者必須向被保險人(病人),提供電子病歷(ePA)。而自2022年起,病人有權要求醫生將病人相關資料記錄於電子病歷,包括健檢結果、醫學報告或X光片、預防接種卡、孕婦手冊、兒童體檢手冊、牙科保健手冊等,而被保險人更換健康保險業者時,可要求移轉其電子病歷至新的健保公司。另外,2021年起將可透過手機,下載電子處方並至藥局領取處方藥。2022年1月1日起,將全面強制使用電子處方,病人將可透過智慧手機或平板電腦,決定他人對於電子病歷之近用權限。病人若無手機,可至健保公司查看電子病歷。依照規劃,目前電子病歷的使用仍採自願性。病人可決定保存或刪除哪些資料,以及誰可以近用該文件。自2023年起,被保險人可自願提供電子病歷資料作為研究用途,而因上述研究可處理病人資料之醫師、診所和藥劑師等,有義務確保其資料安全。 BfDI於立法過程中多次強調,在導入電子病歷使用時,病人必須可完全控制自己的資料。而該法規範僅提供病人使用部分設備,例如智慧手機或平板電腦,設定其電子病歷之存取權限,此意謂著將有一段空窗期,病人無法決定其電子病歷中各文件之存取權限。而對於電子病歷中,可否僅開放部分資料供瀏覽或存取,亦受到聯邦資料保護暨資訊自由官質疑。另外,對於無法或不想在手機或平板電腦上使用上述功能的人,本法並未進一步規定,亦即2022年起,上述病人為了能夠檢查或接受醫療,必須強迫病人控制其相關資料,但目前顯然尚缺乏相關配套。此外,以資料保護角度而言,目前電子病歷之認證程序有安全疑慮,尤其是未使用電子健康卡的替代驗證程序尚不夠嚴謹,因此命令相關單位應於2021年5月前完成改善。 電子病歷是對醫療保健改善的重要一步,因此相關健康資料保護需要符合GDPR規範水平。電子病歷雖已逐漸受到認可與重視,惟當前病人資料保護法恐無法完全保護病人資料安全。因此,BfDI將透過監管手段,確保健康保險公司不會因提供電子病歷而違反GDPR。
美國FDA發布保密證書指引草案,可防止研究人員被迫揭露研究參與者可識別個人之敏感性資料美國FDA(Food and Drug Administration)於2019年11月22日發布「保密證書(Certificates of Confidentiality, CoC)」指引草案。保密證書之目的在於防止研究人員在任何聯邦、州或地方之民事、刑事、行政、立法或其他程序中被迫揭露有關研究參與者可識別個人之敏感性資料,以保護研究參與者之隱私。保密證書主要可分為兩種,對於由聯邦所資助,從事於生物醫學研究、行為研究,臨床研究或其他研究,於研究時會收集可識別個人之敏感性資料之研究人員而言,保密證書會依法核發予該研究人員,稱為法定型保密證書(mandatory CoC);而對於從事非由聯邦所資助之研究的研究人員而言,原則上保密證書不會主動核發予該研究人員,惟當研究涉及FDA管轄之產品時,可由FDA自行裁量而核發保密證書,稱為裁量型保密證書(discretionary CoC),本指引草案旨在提供裁量型保密證書之相關規範。 FDA建議裁量型保密證書之申辦者先自問以下四個問題,且所有問題之答案應該皆為肯定:(1)申辦者所參與之人體研究是否收集可識別個人之敏感性資料?(2)申辦者是否為該臨床研究之負責人?(3)申辦裁量型保密證書之人體研究是否涉及受FDA管轄之產品的使用或研究?(4)申辦者之研究措施是否足以保護可識別個人之敏感性資料之機密性? 於FDA完成審查後,將向申辦人傳送電子回覆信件,表明是否核准裁量型保密證書。若結果為核准,則該電子回覆信件即可作為保密證書。該保密證書之接受者應執行法律所規定以及FDA於電子回覆信件中所要求之保證事項,以保護人體研究參與者之隱私。
企業蓋廠房 可造林減抵二氧化碳排放量企業界興建廠房未來若排放的二氧化碳過高,可以透過在國內外協助造林等方式來改善。 農委會日前組成農業森林議題工作小組,積極蒐集國內外相關資料,推廣植樹造林對溫室氣體減量策略及作法,並調查出更精確的碳吸存數據,作為未來碳交易等機制所需的基本資料。其初步估算出每種植一公頃森林可淨吸收七公噸二氧化碳的減量模式。未來將可配合碳交易機制,銷售給需進行二氧化碳減量的業者,農委會已先選定台糖進行合作,未來將推廣至業者的平地造林。 農委會表示,目前的碳交易模式分為兩種,一種是進行國內外的造林,來換取本國二氧化碳的排放量,像是美、日等國,即在中國大陸廣泛種植樹木來換取更多的業者投資,或是在本國境內種植更多的林木,這種交易屬於碳交易。第二種是在本國境內進行溫室氣體的減量,再將減量超過的部分賣給其他國家,亦即清潔費的交易,也屬於廣義的碳交易行為。 為推動我國建立碳交易機制,農委會也已著手進行造林的碳吸存研究,農委會表示,未來碳交易機制建立後,業者興建廠房若排放的二氧化碳超過標準,可以透過協助國內外造林,或付出造林費用給協助造林的單位。在建立交易模式後,未來若企業界興建一座廠房所造成的二氧化碳排放量超過七公噸,即可透過支付一公頃造林費用的方式,達到平衡的效果。
英國資訊委員辦公室推出資料分析工具箱協助組織檢視資料保護情形英國資訊委員辦公室(Information Commissioner's Office, ICO)於今(2021)年2月17日推出資料分析工具箱(data analytics toolkit)供所有考慮對個人資料進行資料分析的組織使用,旨在幫助組織駕馭人工智慧(Artificial Intelligence, AI)系統對個人權利所可能帶來的挑戰。 ICO表示,越來越多的組織使用AI來完成特定任務,例如使用軟體自動發現資料集(data sets)的模式,並藉此進行預測(predictions)、分類(classifications)或風險評分(risk scores),組織在使用個人資料進行資料分析時,納入資料保護的概念是至關重要的,除符合法律要求外,也能增強民眾對技術的信任與信心。 使用ICO的資料分析工具箱時,首先會詢問組織所適用的法律,並引導至相對應的頁面,並透過合法性(lawfulness)、問責與治理(accountability and governance)、資料保護原則(data protection principles)以及資料主體權利(data subject rights)等一系列的問題瞭解組織的資料保護情形,在回答所有問題之後,工具箱將產生一份報告,提供組織關於資料保護的建議,提高組織資料保護的法令遵循程度。 ICO強調,組織應該要在個人資料處理的過程中考量報告中所提及的建議,並向組織的資料保護長(Data Protection Officer, DPO)徵詢其意見,在組織委託、設計與實施資料分析時落實個人權利與自由的保障。