人工智慧採購指南草案
人工智慧作為一前瞻性技術,運用於公部門,可以降低成本、提高管理品質、節省基層公務人員時間,整體改善政府公共服務。然而AI技術進化以及市場發展過於快速,現有採購類型沒有可以直接適用AI採購的判斷標準範本。因此,英國人工智慧辦公室(Office for Artificial Intelligence)與產官學研各界進行研商後,於2019年9月20日發表人工智慧採購指南草案(Draft Guidelines for AI procurement),作為公部門採購AI產品與服務之準則。該指南旨在加強公部門採購人員能力、協助採購人員評估供應商,讓廠商可以隨之調整其產品和服務內容。
該指南提供採購人員規劃政府AI採購的方向,包含招標、公告、評選、決標到履約。但指南強調無法解決採購AI產品與服務時遇到的所有挑戰。
指南內容簡述如下:
- 在制定規範時應重視如何清楚闡述面臨到的問題,而非只是說明解決方案;
- 評估AI帶來的風險時應緊扣公共利益,在招標階段敘明以公共利益為核心,並有可能在招標、評選和決標階段變動評估標準;
- 在招標文件中確實引用法規和AI相關實務守則;
- 其他包含將AI產品的生命週期納入招標和履約考慮、為提供AI產品和服務的廠商創造公平競爭環境、需與跨領域的團隊進行採購討論、確保採購流程從一開始就建立資料管理機制等。
本文為「經濟部產業技術司科技專案成果」
劉芷宜
法律研究員 編譯整理
2022年11月美國OpenAI公司推出人工智慧大型語言模型ChatGPT,提供全球使用者透過輸入文本方式向ChatGPT提出問題,雖營業秘密不需絕對保密,惟是否會「因向ChatGPT揭露營業秘密而使營業秘密喪失了秘密性」? 依OpenAI公司「非API訪問數據政策」規定,ChatGPT透過OpenAI公司的AI訓練人員審核「使用者上傳至ChatGPT的資訊」,提供ChatGPT反饋,強化ChatGPT進行有效的學習,讓ChatGPT模仿人類語言回覆使用者所提出的問題。在AI訓練人員未將「使用者上傳至ChatGPT的資訊」交由ChatGPT訓練、學習前(上次訓練是在2021年9月),此聊天內容不會成為ChatGPT給其他使用者的回答,此時資訊對於公眾仍具秘密性。依據ChatGPT的使用條款第5(a)條之單方保密義務規定:「OpenAI公司、其子公司及其他第三方公司可能賦予使用者『機密資訊的接觸權限』,但使用者僅限於使用條款所允許的服務中使用該些機密資訊,不得向第三方揭露該機密資訊,且使用者至少應採取合理的注意保護該機密資訊。所謂機密資訊係指OpenAI公司、其子公司及其他第三方公司(1)指定的非公開資訊,或(2)合理情況下,被認定為機密資訊者,比如軟體、規格及其他非公開商業資訊。」。即ChatGPT對於使用者輸入的聊天內容不負保密義務。 公司將程式碼、會議紀錄等敏感資訊與ChatGPT共享,不必然屬於「因揭露營業秘密而使營業秘密喪失秘密性」,考量訓練數據量大,秘密性取決於周遭環境與揭露性質,例如: 1.揭露的資訊類型,比如飲料配方可能會比客戶名單更容易取得。 2.揭露的環境,比如競爭對手、大眾是否能提出具體問題,以致能取得他人聊天內容的營業秘密。 為在ChatGPT的趨勢下確保營業秘密的秘密性,建議企業採取的管理策略如下: 1.透過「資訊分類」以識別可共享的資訊。 2.審核涉及敏感資訊的協議、公司政策及供應商契約。 3.採取實體、數位的資訊保密措施,並留意尊重員工隱私,比如限制接觸某些網站或應用程式,應留意員工的手機是否能繞過此限制。 4.建立公司保密文化,如透過公司培訓、新人入職教育訓練,定期提醒其應負擔的保密義務。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。
營業秘密管理概要 歐盟法院判決釐清GDPR民事賠償不受損害最低程度限制歐盟法院(Court of Justice of the European Union, CJEU)於2023年12月14日對Gemeinde Ummendorf(C‑456/22)案作出判決。歐盟法院試圖釐清《歐盟一般個人資料保護規則》(General Data Protection Regulation, GDPR)第82條的民事求償規範中,資料主體受到非財產上的損害要到何種程度才可獲得賠償。 本案源自於兩位自然人原告與德國的烏門多夫市政府(Municipality of Ummendorf)之間的紛爭。2020年,烏門多夫市政府未經兩位原告同意情況下,在網路上公布市議會議程與行政法院判決,這些資訊內容均多次提及兩位原告的姓名與地址。兩位原告認為市政府故意違反GDPR,因此依據GDPR第82條請求市政府賠償,並進一步主張該條意義下的非財產損害,不需要任何損害賠償門檻。然而,市政府則持相反意見。 長久以來,德國法院傾向認為,GDPR的非財產上損害需要超過某個「最低損害門檻」才可獲得賠償。然而,承審法院決定暫停訴訟程序,並將是否應有「最低損害門檻」以及其基準為何的問題,提交給歐盟法院進行先訴裁定。 歐盟法院考慮到,GDPR的宗旨在於確保在歐盟境內處理個人資料時對自然人提供一致和高水準的保護,如要求損害必須達到一定的嚴重性閾值或門檻才可賠償,恐因為成員國法院認定的基準不同,進而破壞各國實踐GDPR 的一致性。因此,歐盟法院最後澄清,GDPR的民事賠償不需要「最低損害門檻」,只要資料主體能證明受有損害,不論這個損害有多輕微,都應獲得賠償。
歐盟執委會以濫用獨占地位處罰斯洛伐克電信及其母公司德意志電信經過深入的調查後,歐盟執委會以違反歐洲聯盟運作條例(TFEU)第102條之禁止濫用獨占地位課處斯洛伐克電信(Slovak Telekom a.s.)及其母公司德意志電信(Deutsche Telekom AG)總計38,838,000歐元之罰金。 斯洛伐克電信以超過五年之濫用獨占地位之策略,阻擋其他來自斯洛伐克市場之競爭者提供寬頻服務,因而違反歐盟反托拉斯法。尤其,執委會認為其拒絕提供開放之用戶迴路(unbundled access to its local loops)予其競爭者,因而導致其他經營者之利潤擠壓。其母公司德意志電信對於其子公司之行為有責;因此,應連帶負擔斯洛伐克電信之罰款。此外,德意志電信於2003年已經因為在德國寬頻市場的利潤擠壓而被罰款,該公司亦被課處額外之罰款共31,070,000歐元,以確保嚇阻及制裁其反覆的濫用行為。 2005年8月,斯洛伐克電信公布在某些條件下,允許其他經營者使用其開放用戶迴路(ULL)。此外,斯洛伐克電信亦不正當地阻擋用戶迴路開放的必要網路資訊;單方面地減少規範中所要求其開放迴路之義務的範圍,以及,在每一個取得開放用戶迴路所需之步驟上,設定不公平的條款和條件(例如搭配、資格、和銀行擔保)。因而延後或阻止其他經營者進入斯洛伐克零售寬頻服務市場。 此外,當其他競爭者以斯洛伐克電信訂定之零售價格販賣寬頻服務予零售消費者時,將產生利潤擠壓而導致虧損;在此種情況下,其他經營者將無法進入斯洛伐克市場。