美國食品藥物管理署(U.S. Food & Drug Administration, FDA)在2021年1月12日發布有關人工智慧醫療器材上市管理的「人工智慧/機器學習行動計畫」(Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) Action Plan)。該行動計畫的制定背景係FDA認為上市後持續不斷更新演算法的機器學習醫療器材軟體(Software as Medical Device, SaMD),具有極高的診療潛力,將可有效改善醫療品質與病患福祉,因此自2019年以來,FDA嘗試提出新的上市後的監管框架構想,以突破現有醫療器材軟體需要「上市前鎖定演算法、上市後不得任意變更」的監管規定。
2019年4月,FDA發表了「使用人工智慧/機器學習演算法之醫療器材軟體變更之管理架構—討論文件」(Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine earning (AI/ML)-Based Software as a Medical Device (SaMD) - Discussion Paper and Request for Feedback)。此一諮詢性質的文件當中提出,將來廠商可在上市前審查階段提交「事先訂定之變更控制計畫」(pre-determined change control plan),闡明以下內容:(1)SaMD預先規範(SaMD Pre-Specification, SPS):包含此產品未來可能的變更類型(如:輸入資料、性能、適應症)、變更範圍;(2)演算法變更程序(Algorithm Change Protocol, ACP):包含變更對應之處理流程、風險控制措施,以及如何確保軟體變更後之安全及有效性。
根據「人工智慧/機器學習行動計畫」內容所述,「事先訂定之變更控制計畫」構想被多數(包含病患團體在內)的利害關係人肯認,並於相關諮詢會議當中提出完善的細部建言。FDA將根據收到的反饋意見,於2021年以前正式提出有關人工智慧/機器學習上市後監管的指引草案(Draft Guidance),並持續研究提高演算法透明度、避免演算法偏見的方法。
日本第52次知的財產戰略本部會議決議—推動著作權資訊橫向跨域查找平台 資訊工業策進會科技法律研究所 2023年09月01日 創作內容的流通利用是發揮文化經濟力的核心關鍵,但數位時代的來臨,造成內容流通利用面臨創作資訊分散難找、權利歸屬識別困難,以致內容無法有效利用的問題。此問題並非個別企業、機構可以解決,而需要政府出面橋接既有創作資料庫,匯集散落於各處的內容創作資料及創作人資訊。 壹、事件摘要 日本岸田首相於2023年6月9日在官邸召開第52次知的財產戰略本部會議,針對「知的財產推進計畫2023」進行討論並決定[1]。日本基於為了活化日本的創新並實現持續的經濟增長,將社會轉變為最大限度發揮知的財產價值的社會的目的,提出2023知的財產推進計畫的三大重點,包括:第一,強化新創企業和大學的知的財產生態系統,透過新創企業等管道迅速實現大學研究成果的社會應用循環;第二,促進負責任和可信賴的AI,兼顧促進AI技術應用和維持知的財產創造的激勵,同時對風險採取必要的措施;第三,發揮內容產業力量推動內容產業的強化和結構改革,進行政府和民間的合作促進內容創作;從促進內容的創作和使用循環的角度出發,建立簡單而統一的權利處理窗口機構,並推進跨領域的權利資訊搜索系統的建立。 貳、重點說明 目前網路上的業餘創作者等創作的內容越來越多,但此類內容使用的可行性因權利者資訊不明確,造成獲得許可所需的成本過高,成為便利的數位時代造成的不便利後遺症。日本「知的財産推進計畫」於2022即已針對著作權制度進行改革方向,開始推動實現簡單且一體化的權利處理,加速內容的流通和創作者的報酬回饋,力圖實現簡潔統一的權利處理制度,以促進內容的「創作」和「利用」循環[2]。 日本注意到隨著內容的主要流通轉向網絡播送,對於業者而言,實現內容差異化,包括對留在手上的播送內容檔案再利用,對強化競爭至關重要。但涉及多個權利持有人的內容,其權利處理成為取得授權的瓶頸,導致內容的利用無法推進。基於簡便化權利處理和報酬支付的政策想法,日本於今(2023)年提出修改著作權法,創建新的作品使用法定授權申請制度,並在同年5月修改法案獲得通過[3]。依據此新通過的授權申請制度,日本文化廳可以針對未授權集體管理或權利人提供利用意願不明的著作,裁定可由利用人支付補償金以順利實現對這些作品於特定時間內的利用。 除建立授權意願不明的利用授權法令依據外,日本亦擬在實務上建立配套機制,即透過數位化、一體化的流程設計,規劃建立能夠跨領域尋找著作權資料的資料庫,以利確認權利資訊和使用許可的意願表示。而針對橫向跨域的權利資訊資料庫的構建,日本特別成立研究小組,於2022年12月「跨域權利資訊資料庫研究報告」。該報告提出連接各領域資料庫來檢索資訊的「領域橫向權利資訊檢索系統」的規劃。依該規劃,日本文化廳將與保有各領域資料庫的相關利害關係人合作,推進系統的設計和開發在新著作權法的實施期間,建立並運營「領域橫向權利資訊檢索系統」,以連接各領域資料庫[4]。 該系統將力求實現數位化程度最高的設計,除了與各領域資料庫連接外,還將包括設置統一的窗口組織來執行新的授權利機制,設法使未在現有資料庫中收錄的內容(如僅在網絡上創作的內容、未集中管理的著作等)能夠順利登錄,並提供確認權利資訊和使用許可意願表示的功能。為了簡化流程和加快速度,這些窗口組織(機構)將由經文化廳長官認可的單位擔任,負責申請受理、審議確認和(應支付的使用)報酬審定等程序。另外,對於擬取得無期限的授權使用的利用人,可以利用不明著作授權制度,並可透過這些窗口組織簡化相關授權程序[5]。 參、事件評析 日本已考慮到數位時代的資訊變化速度,認為應該在著作權制度和相關政策改革方面,推動公私協力尋找權利者、確認使用可行性的合作,規劃建立跨領域權利資訊檢索系統,以利最大限度地實現新裁定授權制度的簡化和迅速處理,以實現其戰略綱領持續著力的內容「創作」和「利用」循環的加速。 而促進內容「創作」和「利用」循環加速的做法,日本不只是建立法令依據,是透過資訊科技與認證適格單位,用完整而全面性的配套措施進行推動。顯見日本已注意到資訊科技可以降低、便利權利資訊的登錄,讓權利人不會因為登錄作業麻煩而意願欠缺;而與既有資料的串接,則可在不會喪失保有各自資料庫的保障下,快速建立資料完整的檢索查詢平台。因此日本預計2023年將首先確定要優先合作的資料庫、研究合作方式、建立檢索介面的概念;同時對未集中管理的著作等內容的權利資訊登記方法進行需求調查和探討,預計於2024年度將研析該系統應具備的細部功能規格[6]。 而既有除了系統工具外,為促進新的權利處理制度的實現,由於資料分散在不同地方,相較於單一的官方登錄或受理平台,多元的受理窗口更能便利的登錄、受理做法,日本考慮與數位/網路出版等網上內容流通的中介者共同協作,更能以適應數位時代的速度為基礎與先進技術的應用,順利實現新制度的準備和持續營運。 我國原創文化內容的流通利用面臨與日本智財戰略綱領相同的議題,也已經在文化部的計畫支持下建置「文化內容流通利用服務網(Copyright Hub)」受理著作的自主登錄與權利資訊查詢,同時規劃透過認證、指定的方式,建立類似日本智財戰略綱領規劃的多元登錄受理代理窗口,與既有內容平台或特定文創領域專業法人合作,以利串接大量既有資訊;並預計逐步於文創獎補助中納入登錄著作權利資訊的要求,以促進資訊的完整。 然本次文創法送立法院修法的草案,並未納入原已新增的流通利用草案條文,不僅欠缺日本賦予的授權機制,以及資料庫、認證適格窗口的推動法令依據,也無法立即促成獎補助中納入登錄著作權利資訊的要求。我國「文化內容流通利用服務網(Copyright Hub)」早於日本起步,期待即便無法如同日本建立法令依據,亦可在文創獎補助連結的加持下快速推展,讓我國文化內容的流通利用推動持續領先,成為其他國家之參考標竿。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]〈知的財産戦略本部総理の一日〉,首相官邸ホームページ,令和5年6月9日,https://www.kantei.go.jp/jp/101_kishida/actions/202306/09chizai.html。 [2]〈知的財産推進計畫2023〉,頁77,https://www.kantei.go.jp/jp/singi/titeki2/230609/siryou2.pdf (最後瀏覽日:2023/08/22)。 [3]〈令和5年通常国会 著作権法改正について〉,文化庁,https://www.bunka.go.jp/seisaku/chosakuken/hokaisei/r05_hokaisei/ (最後瀏覽日:2023/08/22)。 [4]同前註2。 [5]同前註2,頁78。 [6]同前註2,頁78。
美國FCC將檢視是否有必要加強隱私規定美國FCC於二月份表示其將檢視採取額外的安全措施,是否能夠有效防止電信公司所持有之個人敏感性資訊外洩之問題,並就與此所涉之問題與建議採取之法律措施諮詢公眾之意見。此次諮詢的議題包括目前電信公司所採取的安全措施為何、此等措施存有何種缺失、以及採取何種措施將能夠更有效地保護消費者的隱私,並就以下五種特定的安全措施,諮詢公眾之意見,包括: (1) 由消費者設定密碼。 (2) 建立一套查驗機制,此一機制必須能夠記錄消費者個人資料之接近使用情況,包括時間、接近使用的資料內容、接近使用人…等之資訊。 (3) 電信公司必須就客戶專有之網路資訊 (customer proprietary network information,CPNI)進行加密。 (4) 限制資料之保存,要求電信公司必須刪除所有不必要的資料。 (5) 當個人資料遭他非法接近使用時,電信公司應通知消費者。 除此之外,FCC亦就其是否應修改現行法規,要求電信公司應就其實施消費者保護措施之狀況,提交年度稽核報告以及全年之客訴資料進行公眾意見諮詢,並且就電信公司是否應於提供CPNI前,致電予消費者,以確保CPNI資料之索取係由消費者本人親為一事諮詢公眾之意見。
利用安裝SPYWARE擅自寄送廣告,挨告美國紐約州律師 Eliot Spitzer 4 月 4 日 表示, 他已經 對 Direct Revenue LLC 這家網路公司提出告訴。控訴其秘密安裝上百萬之間諜軟體( Spyware )至網路使用者的電腦中,或利用已安裝於使用者硬碟中之間諜軟體,以彈出視窗方式進行廣告,而其中有很多都屬於色情廣告;這些程式具追蹤網路使用者活動之功能,且一經下載,使用者就極難移除甚至不易察覺。 Spitzer 將此訴訟上訴到紐約州之最高法院,認為 Spitzer 應該為未經使用者同意秘密安裝間諜軟體,或透過已存在的間諜軟體寄送廣告之行為負責。 Spitzer 同時要求 Direct Revenue ,應對其所受之利益和不特定的金錢損害,負擔賠償責任。 去年( 2005 ), Spitzer 也對在洛杉磯的 Intermix Media Inc. 提起告訴。這家公司擁有一個相當受歡迎的 MySpace 的社交網絡網站,卻將間諜軟體隱藏附隨在上百萬的免費程式中,最後 Intermix Media Inc. 因而付了 750 萬美元。 Spitzer 表示這種詐欺的行為對消費者極不公平,且將對利用正當管道行銷的企業以及需要消費者信任的小型網路商家造成損害。 Spitzer 也說到,他將會繼續的與消費者站在同一陣線,與消費者共同為他們的掌控權而戰。 Direct Revenue 網站說明指出,他們已事先取得消費者之同意,而其提供之內容資訊和免費軟體,目的在交換傳遞廣告之功能。
日本發布《首席AI長指引》與《實務手冊》,強化資料來源可溯,引導企業將AI風險納入資料治理框架2026年3月1日,日本人工智慧(AI)安全研究所(Japan AI Safety Institute, J-AISI)發布《首席AI長指引 1.00版》(Chief AI Officer Guidebook (Version 1.00),下稱指引)與《首席AI長設置與AI治理實施實務手冊 1.00版》(Practical Manual for Establishing a Chief AI Officer and Implementing AI Governance (Version 1.00),下稱實務手冊)。兩份文件旨於促進AI時代下的永續企業經營(sustainable business operations),提升產品與服務品質、建立客戶與使用者的信任。 一、指引與實務手冊概覽 指引內容包含設立「首席AI長」(Chief AI Officer, CAIO)職位之目的、職責。實務手冊內容則進一步指出一種組織模式,其中首席AI長為獨立的高階主管,直接向執行長匯報,並在首席AI長下設立AI治理辦公室,以及建議設立一個「跨部門AI指導委員會(Company-wide AI Steering Committee)」,成員包括首席AI長、首席資料長、首席資訊長、首席技術官、首席資訊安全官、法律合規部門、資料保護官、人力資源部門以及關鍵業務部門。各業務部門與系統所有者應依照既有標準運作,並向人工智慧治理辦公室和資料治理組織提供必要資訊。 二、將AI特定風險納入資料治理框架:降低幻覺與偏見之具體作法 在AI系統的生命週期中,資料品質影響決定模型效能、可解釋應與透明度。 首席AI長的職責為整合AI、資料與技術策略,於確保企業信任與風險管理之基礎下,驅動企業創新與數位轉型,並最大程度提升企業價值。因此,首席AI長應與首席資料長、法務部門協調,規範資料的生命週期、設定品質指標(Quality Metrics),並嚴格核實第三方素材授權(licenses for third-party materials)。 以下介紹文件建議之AI資料生命週期(資料蒐集)之管理作法: (一)區分資料用途:針對每個使用案例與模型,區分(1)AI模型訓練用資料;(2)AI訓練完成後,用於驗證與評測模型產出品質的評估資料(evaluation data),此類資料不參與模型的優化調整,僅客觀確認模型的準確度;(3)於AI模型運行過程中,使用者輸入的資料(data entered during inference),包含提示詞、上傳的文件及系統日誌(Logs)。 (二)資料分類:企業應依資料機敏程度進行分類,如機密、個資、內部及公開資訊等分類,以便加以定義資料之蒐集方式、儲存方式、資料遮罩要求(masking requirement,包含去識別化),以及控管資料傳輸至外部AI服務之權限。 (三)落實可追溯性與透明度文件:應透過實務手冊18.3之資料表(Datasheets)進行標準化記錄,包含 1. 基本資訊,如資料及名稱與版本;資料所有者;資料建立日期、最後更新日期等。 2. 目的與使用範圍,如資料集的用於訓練、評估、優化等;資料使用範圍限內部,或可對外提供等。 3. 組成與範圍,如記錄資料筆數與特徵概況;目標期間、區域與族群,如年齡、產業;資料格式,如文字/影像/音訊等。 4. 資料來源與蒐集方法,包含資料來源(內部系統、客戶提供的資料、公開資料、供應商提供的資料等);資料蒐集方法(日誌、調查、網路爬蟲等);是否取得資料主體同意等。 5. 資料品質與預處理(preprocessing),包含:紀錄去識別化等資料轉換流程;規範資料標記之品質管理機制。 6. 代表性與偏見,如列出AI預期使用情境與目標客群的一致性;特定性別、年齡、地區是否存在代表性不足的偏差等。 7. 隱私與法源依據,如資料是否包含個人資料或敏感資訊;資料處理之法律依據,如資料主體同意、契約等;採取之隱私保護措施,如去識別化等。 8. 授權、權利與資料反覆使用之條件:使用條件,如授權條款、是否允許商業使用等。 9. 安全性與存取控制:儲存位置,如資料中心、雲端或本地以及是否加密;資料之存取權限,如控管檢視、編輯、匯出等權限。 10. 資料保存與銷毀:記錄訓練資料、評估資料、輸入資料等不同類型資料之儲存期限,並規定如儲存期限過後,需以不可回復之方式銷毀資料,或必要時,應匿名後歸檔等規定。 三、接軌國內實務:企業可參考EDGS規範健全AI風險管理需求 面對AI資料生命週期管理,建議我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》。EDGS同樣強調數位資料歷程管理,從資料生成、保護到維護的管理流程,有效強化資料的完整性。透過導入EDGS,企業不僅能提升內部創新、數位轉型,更能在面對AI糾紛時,提供歷程紀錄,從源頭端落實首席AI長所要求的循證治理目標。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)