美國「人工智慧應用管制指引」
美國白宮科學與技術政策辦公室(The White House’s Office of Science and Technology Policy , OSTP)於2020年1月9日發布「人工智慧應用管制指引」(Guidance for Regulation of Artificial Intelligence Application),為美國政府機關起草人工智慧規範並進行管制時提供指引,該指引內要求各機關之規範應遵循以下10項人工智慧原則:
一.公眾對AI之信任:政府對AI之管制或其他措施應促進AI之可靠性、健全性,且於應用上應具備可信性。
二.公共參與:政府應提供機會讓利害關係人參與AI管制規範立法程序。
三.科學實證與資訊品質:科學實證與資訊品質:政府機關發展AI之相關技術資訊,應透過公開且可驗證之方式提供給大眾參考,以提高大眾對AI之信任與協助政策制定。
四.風險分析與管理:應採取以風險為基礎之分析評估方法,確認哪些風險係可接受之風險,或那些風險代表無法接受之損害或所失利易大於預期利益。
五.利益與成本:政府於擬定相關規範時,應小心評估AI對於整體社會之利益,與預期外之效果。
六.彈性:法規應持續滾動檢視與調修以因應AI之創新應用。
七.公平且無歧視:政府應針對AI之應用與決策,考量公平與無歧視相關議題。
八.揭露與透明:透明度與揭露程序之建立可提升公眾對AI應用之信任。
九.安全:政府應特別注意AI系統內所儲存或傳輸資訊之安全與相關安全維護控制措施。
十.跨機關合作:政府各部會或機構間應相互合作與分享經驗,以確保AI相關政策之一致性與可預測性。
本文為「經濟部產業技術司科技專案成果」
余和謙
法律研究員 編譯整理
余和謙,歐盟執委會提出「具可信度之人工智慧倫理指引」,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8236 (最後瀏覽日:2020/02/15)
美國最高法院於2月22日針對Life Technologies Corp. v. Promega Corp.一案作出判決,對於向美國境外供應多元件侵權產品的其中單一元件,並不構成35 U.S.C. 271(f)(以下稱271(f))的侵權責任。 美國醫療生技公司Promega控告同業LifeTech侵害其專利,指稱LifeTech所製造的基因檢測套件中之組裝元件中之DNA聚合酶元件(Taq polymerase)是由美國製造,運送到英國組裝後,再販售至世界各地。Promega認為LifeTech將單一元件輸出至英國組裝的行為,已違反271(f)(1)中的「境外組裝」規定。 該案爭點之一在271(f)(1)之詮釋及適用爭議:「一當事人未經授權自美國向境外供應專利中全部或相當部份("all or a substantial portion")之元件,若元件尚未組合,而在美國境外將主要部分加以組合,如同其在美國境內將該元件組合,應視為侵權者而負其責任。」 地院認為271(f)(1)中的"all or a substantial portion"不符合本案只提供單一元件之情形,判定侵權不成立。不過CAFC認為地院有不當解釋271(f)(1),故認定LifeTech所販售的聚合酶元件符合271(f)(1)規定的"substantial portion"應解釋為"重要的部分",故推翻一審判決,判定侵權成立。 最高法院解讀271(f)(1)時,將其中的"substantial portion"解釋為"大量"或"多的",因此認定所述"單一元件"並不構成271(f)(1)中的"substantial portion",原因為單一元件並非法條所指的"多量"。 最終,最高法院認為,本案被告僅供應"單一元件"在境外組合,因此並不構成35U.S.C.271(f)(1)法條所定義之侵權行為。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
南韓個人資料保護委員會宣布通過修訂個人資料保護法施行法2024年3月6日,南韓個資保護委員會(Personal Information Protection Commission, PIPC)宣布通過個人資料保護法施行法(Enforcement Decree of the Personal Information Protection Act, PIPA Enforcement Decree)修正案,並於2024年3月15日正式實行。 本次修法重點如下: 1.明訂個資主體可要求公開自動化決策過程之權利及應對不利結果時可採取之措施 針對使用AI等自動化系統處理個資並做出的自動化決策,個資主體(即,個人)有權要求解釋決策過程並進行審查,尤其當決策結果對個資主體權益有重大影響時(例如:不通過其社福補助申請),個資主體可拒絕自動化決策結果,並要求改為人為決策及告知重新決策結果。另為確保透明、公平,自動化決策依據的標準與程序亦須公開,並於必要時向公眾說明決策過程。 2.確立隱私長(Chief Privacy Officers, CPOs)的資格要求及適用範圍 為確保CPO能順利開展個資保護工作,要求處理大量或敏感個資機關之CPO至少具有4年個資、資安相關經驗,且個資經驗至少2年。適用機關包括:年營業額達1,500億韓元以上、處理超過100萬人個資或超過5萬人特種資料者;學生超過2萬人的大學;處理大量特種個資的教學醫院或大型私人醫院等;疾管局、社福、交通、環保等公共系統運營機構。 3.明訂評估公共機構個資保護效能之標準及程序 依據個資法第11-2條規定,PIPC每年需對公共機構(如:中央行政機關及其所屬機關、地方政府及總統令規定者)進行個資保護程度評估,而為使評估作業有所依循,本次新增評估標準及相關程序包括:政策和業務表現及其改進情形、管理體系適當性、保護個資措施及執行情形、防範個資侵害及確保安全性措施及執行情形等。 4.調整需要承擔損害賠償責任的適用範圍及門檻 為確保機關履行個資主體損害賠償責任,將需履行投保保險等義務之適用範圍由網路業者擴大至實體店面及公共機構等。同時,調整適用門檻,將年銷售額由5千萬韓元調整為10億韓元、個資主體數由1千人調整為1萬人,以減輕小型企業負擔。另亦明訂可豁免責任的對象包括:不符合CPO資格的公共機構,公益法人或非營利組織,及已委託給已投保保險之專業機構的小型企業。 PIPC另將公布一份指引草案,內容包括自動決策權利、CPO資格要求、公共機構個資保護評估標準、賠償責任保障制度等,並舉行說明會來收集回饋意見。
歐洲網路與資訊安全機構和歐洲標準化機構針對網路安全簽訂合作協議歐洲網路與資訊安全機構(European Network and Information Security Agency,簡稱ENISA)為了支持網路安全商品和服務進行標準化,於今年七月九日和歐洲標準化委員會(European Committee for Standardization,簡稱CEN)與歐洲電工技術標準化委員會(European Committee for Electrotechnical Standardization,簡稱CENELEC)共同簽署合作協議,來強化網路安全標準化的各項措施。 本合作協議的目的,在於能夠更有效地了解與解決網路和資訊安全標準化的議題,特別是處理和ENISA有所關連的不同訊息和通信技術(ICT)部門。本次簽署的合作協議,可視為是近來ENISA制定新法規的額外延伸,其將給予ENISA針對支持網路資訊安全(NIS)標準的發展,有更多積極的角色。本合作協議涉及的範圍包含下列情況: ‧ENISA於識別技術委員會(identified technical committees)作為觀察人,CEN與CENELEC的工作小組與講習作為支持歐洲標準的準備 ‧CEN與CENELEC評估ENISA相關的研究成果,並且將其轉化成標準化活動 ‧ENISA參與或適當地擔當依據CEN-CENELEC內部規章所組成的相關技術委員會、工作小組與講習之主席 ‧散布和促進出版物、研究結果、會議或研討會之消息流通 ‧對於促進活動與因NIS標準相關工作之商業聯繫建立和研究網絡提供相互支持 ‧針對處理攸關NIS標準活動的科技和研究議題,舉辦各項局部工作小組、會議和研討會 ‧針對共同利益確定之議題作相關資訊交換 有鑑於ENISA逐漸強調NIS標準化的相關工作,標準化不僅能改善網路安全外,更能提高所有網路安全產品與服務當面對不同網路威脅時的防禦能力。是以,我國資安主管機關是否亦需協調所有資安部門,針對網路安全技術架構研擬或規劃出相關標準化的網路威脅防範模組,則是亟需思考的問題。