美國明尼亞波利斯市禁止政府部門使用人臉辨識技術
美國明尼蘇達州明尼亞波利斯市的市議會鑑於人臉辨識技術有可靠性的疑慮,以及對有色人種有潛在的傷害,該議會於2021年2月12日通過修正《明尼亞波利斯條例》(Minneapolis Code of Ordinances)關於資訊治理(Information Governance)的部分,新條例規定除有例外情形,禁止政府部門採購人臉辨識技術及使用從該技術獲得之資訊。明尼亞波利斯是繼波士頓、舊金山、奧克蘭等,新加入禁用人臉辨識技術的城市。
新條例是由該市市議會議員Steve Fletcher倡議,其指出市民擔心在未得其同意時使用人臉辨識技術進行監視,是否會侵害市民的隱私權。此外,根據研究亦顯示人臉辨識技術仍存在瑕疵,尤其是辨別婦女、兒童和有色人種的錯誤率相當高,而不正確的識別,恐怕讓弱勢者受到更不利的對待。
明尼亞波利斯市以明尼蘇達州《明尼蘇達政府資料應用法》(Minnesota Government Data Practices Act)中所定資料隱私原則,作為制定新條例的基礎,規定在蒐集有關個人資料時應考慮並重視個人隱私,包含僅在具備理由時始得蒐集資訊,並且就蒐集的內容與原因保持透明。再者,新條例要求在市議會設置專門的委員會,市政府應向該委員會提出書面報告,說明新條例遵守的情形,以及追蹤及報告違反的情形及賠償措施。惟隨著技術和情事的變化,政府部門可能有使用人臉辨識技術的需求,就此,新條例規定政府部門需向市議會解釋使用該技術的必要性、說明如何使用該技術及所獲取之資訊、對技術及所獲取之資訊進行監管的計畫,市議會依規定應召開公聽會。若例外情形符合消除歧視、保護隱私、透明與公眾信任的目標,市議會則可同意政府部門使用人臉辨識技術,或要求政府部門修正前述監管計畫,作為市議會同意的條件。
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
蔡岳霖
高級法律研究員 編譯整理
Council members vote to bar City’s use of facial recognition technology, Feb. 12, 2021, http://news.minneapolismn.gov/2021/02/12/council-members-vote-to-bar-citys-use-of-facial-recognition-technology/ (last visited Mar 3, 2021).
Amending Title 2, Chapter 41 of the Minneapolis Code of Ordinances relating to Administration: Information Governance, https://lims.minneapolismn.gov/Download/File/4860/Facial%20Recognition%20Ordinance%2001.21.2021.pdf (last visited Mar 3, 2021).
COALITION CALLS ON MINNEAPOLIS CITY COUNCIL TO BAN FACIAL RECOGNITION, Feb. 9, 2021,https://www.aclu-mn.org/en/news/coalition-calls-minneapolis-city-council-ban-facial-recognition (last visited Mar 3, 2021).
歐洲資料保護監管機關(European Data Protection Supervisor,以下簡稱EDPS)是一個獨立的監督機關,其任務主要在於監督歐盟個人資料的管理程序、提供影響隱私的政策及法制建議、與其他類似機關合作以確保資料的保護。 EDPS於今(2012)年6月8日,針對歐盟執委會於今(2012)年3月9日發布的「智慧電表系統發展準備建議」(Recommendation on preparations for the roll-out of smart metering systems,以下簡稱準備建議)提出相關意見。「智慧電表系統發展準備建議」乃係針對智慧電表部署之資料安全保護及經濟成本效益評估,提出發展準備建議,供會員國於進行相關建置及制定規範時之參考。然EDPS指出,執委會對於智慧電表中個人資料保護的重視雖值得肯定,但並未在準備建議中提供更具體、全面且實用的指導原則。智慧電表系統雖能帶來顯著的利益,但造成個人資料的大量蒐集,可能導致隱私的外洩,或相關數據遭使用於其他目的。 有鑑於相關風險,EDPS認為在準備建議中,應更加強其資料保護的安全措施,至少應包含對資料控制者在處理個人資料保護評估時有強制的要求;此外,是否有必要進行歐盟層級的立法行動亦應予以評估。EDPS提出的意見主要包括:(1)應提出更多有關選擇資料當事人及處理相關資料的法律依據,例如電表讀取的頻率、是否需取得資料當事人同意;(2)應強制「提升隱私保護技術」(privacy-enhancing technologies)的適用,以限縮資料的使用;(3)從資料保護的角度來釐清參與者的責任;(4)關於保存期間的相關原則,例如對於家戶詳細消費資訊的儲存期間、或在針對帳單處理的情形;(5)消費者能直接近取其能源使用數據,提供有效的方式使資料當事人知悉其資料的處理及揭露,提供有關遠端遙控開關之功能等訊息。
歐盟公布電子通訊網路及服務法規架構檢視公共諮詢報告歐盟在2015年9月11日至2015年12月7日期間進行電子通訊網路及服務法規架構檢視公共諮詢,檢討目前電子通訊法規發展方向。2016年3月3日歐盟提出摘要報告,諮詢主題可分為五項,分別為:網路接取規範、頻譜管理與無線連結、電信服務產業管制、普及服務規範、以及機構設立與監理等。在此次公共諮詢當中,可歸納出幾項發展趨勢,包括: 一、基於消費者或市場需求,網路已成為促進數位社會、經濟發展之主要方式。 二、網路連線品質待改善。多數認為應支持基礎建設來因應未來廣泛的需求。 三、多數認為目前法規架構無法促進內部市場發展,未來應朝向電信市場自由化方向進行,特別是基於使用者利益以及市場競爭考量。 四、頻譜管理部分,無線寬頻網路固然重要,但未來仍應朝向促進新行動通訊技術發展,如5G技術等。 五、未來對於頻譜的規劃與應用應更具彈性,且進行技術領域調和。 六、許多會員國因應科技技術的進步更新電信法規,透過促進下世代基礎建設投資以及其他方式,未來希望能使電信法規更具有彈性與簡化。 七、未來將著重考量長期投資研發帶來的效益。 八、消費者希望未來能重視服務競爭,而非僅強調基礎建設。且針對基礎建設本身,亦應重視基礎建設投資的成本分擔。 九、重新思考普及服務,亦即給予會員國更多的彈性來決定如何進行資金補助與履行服務。 十、消費者組織立場認為需要進行產業管制,以及設定使用者保護規範,而基於電信事業立場,特別是在服務部分,則需要整合性規範。部分也認為電信法規亦適用於相同性質之服務,例如OTT。 十一、多數認為,歐盟層級的管制機構應該重新檢視,以協助未來法規的修正。
美國國家標準暨技術研究院規劃建立「人工智慧風險管理框架」,並徵詢公眾對於該框架之意見美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)為管理人工智慧對於個人、組織以及社會所帶來之風險,於2021年7月29日提出將建立「人工智慧風險管理框架」(Artificial Intelligence Risk Management Framework, AI RMF)之規畫並徵詢公眾意見,截止日為9月15日,並預計於10月發布正式報告。 依照NIST說明,公眾所建議之人工智慧風險管理框架,可促進人工智慧之可信賴性,其中包含如何應對並解決人工智慧於設計、發展及使用過程中所遭遇之「精確度」(accuracy)、「可解釋性」(explainability)、「偏見」(bias)等議題。此外,上開管理框架預計為非強制性、供企業自願性使用於人工智慧設計、發展、使用、衡量及評估之人工智慧標準。 依現有公眾意見徵詢結果,其中DeepMind公司建議於人工智慧設計初期,必須預先構思整體系統之假設是否符合真正社會因果關係。舉例言之,當設計一套可預測民眾健保需求程度之系統時,如輸入參數僅考量民眾於醫療上的花費,將使僅有可負擔較高醫療費用之民眾被歸類為健保需求程度較高者,從而導致健保制度排擠經濟負擔程度較差之公民,故在設計系統時,應從預先設定之假設事實反面(counter-factual)思考並驗證是否會產生誤差或公平性之問題(例如預先思考並驗證「醫療費用支出較低之民眾是否即可被正確歸類為健保需求度低之民眾」)。惟進行上述驗證需要大量社會資料,因此DeepMind也建議NIST應建立相關機制,使這些社會資料可以被蒐集、使用。 此外,亦有民眾建議管理框架應有明確之衡量方法以及數值指標,以供工程界遵循。同時鑒於人工智慧發展極為快速,未來可能有不同於以往之人工智慧類型出現,故亦建議NIST應思考如何在「建構一套完整且詳細之人工智慧治理框架」與「保持人工智慧治理框架之彈性與靈活性」之間取得平衡。 最後,目前也有許多徵詢意見指出,許多人工智慧治理之目標會相互衝突。舉例言之,當NIST要求人工智慧系統應符合可解釋性,則人工智慧公司勢必需要經常抽取人工智慧系統中之「數據軌跡」(audit logs),惟數據軌跡可能被認為是使用者之個人資料,因此如何平衡或完善不同治理框架下之目標,為未來應持續關注之議題。
歐盟支付服務指令修正案(PSD2)於2016年1月12日生效2012年歐洲議會發表的綠皮書「邁向信用卡、網路以及手機支付的整合歐洲市場(Towards an integrated European market for card, internet and mobile payments)」,並進行廣泛的公眾意見徵詢,舉辦公聽會,最後決議進行現有歐洲支付法制架構的修正。歐盟支付服務指令修正案(revised Payment Service Directives, PSD2)於2013年7月由執委會提出,2015年10月歐洲議會通過,今年1月12日生效,預期英國、保加利亞、丹麥、德國、奧地利以及法國將會率先修正原有的支付服務法制完成轉換。產業界一致對於修正案表示歡迎,因為本次修正將會大幅提升支付創新應用的發展可能,尤其是行動支付。 PSD2之重大修正包含針對支付服務的內容作出修正,新增第三方支付服務提供人(third party payment service provider,簡稱TPP)為支付服務之內容(附件一第7項)。TPP的內涵為透過對於其它支付服務提供者的支付帳戶的存取,提供包含支付發動服務(payment initiation services)以及帳戶資訊服務(account information services)。依照第58條規定,TPP服務提供者具備下列義務: 1.確保支付服務使用者的個人化安全資訊不會被其它人取得。 2.以明確的方式向帳戶之支付服務提供者認證自己的身分。 3.不儲存支付服務使用者的敏感支付資訊或個人化安全憑證。 除此之外,PSD2明確將純粹的技術服務提供者排除於支付機構之範圍,無需適用支付服務指令。 PSD2亦授權EBA發布相關規定制定技術門檻,包含強力的客戶身分認證以及通訊資訊標準。