歐盟執委會於2020年2月公布《人工智慧白皮書》(AI White Paper)後,持續蒐集各方意見並提出新的人工智慧規範與行動。2021年4月針對人工智慧法律框架提出規範草案(Proposal for a Regulation on a European approach for Artificial Intelligence),透過規範確保人民與企業運用人工智慧時之安全及基本權利,藉以強化歐盟對人工智慧之應用、投資與創新。
新的人工智慧法律框架未來預計將統一適用於歐盟各成員國,而基於風險規範方法將人工智慧系統主要分為「不可接受之風險」、「高風險」、「有限風險」及「最小風險」四個等級。「不可接受之風險」因為對人類安全、生活及基本權利構成明顯威脅,故將被禁止使用,例如:政府進行大規模的公民評分系統;「高風險」則是透過正面例舉方式提出,包括:可能使公民生命或健康處於危險之中的關鍵基礎設施、教育或職業培訓、產品安全、勞工與就業、基本之私人或公共服務、可能會干擾基本權之司法應用、移民與庇護等面向,而高風險之人工智慧在進入市場之前須要先行遵守嚴格之義務,並進行適當風險評估及緩解措施等。「有限風險」則是指部分人工智慧應有透明度之義務,例如當用戶在與該人工智慧系統交流時,需要告知並使用戶意識到其正與人工智慧系統交流。最後則是「最小風險」,大部分人工智慧應屬此類型,因對公民造成很小或零風險,各草案並未規範此類人工智慧。
未來在人工智慧之治理方面,歐盟執委會建議各國現有管理市場之主管機關督導新規範之執行,且將成立歐洲人工智慧委員會(European Artificial Intelligence Board),推動人工智慧相關規範、標準及準則之發展,也將提出法規沙盒以促進可信賴及負責任之人工智慧。
歐盟執委會人工智慧高級專家小組(High-Level Expert Group on Artificial Intelligence)於2019年4月8日公布「具可信度之人工智慧倫理指引」(Ethics Guidelines For Trustworthy AI)。該指引首先指出,具可信度之人工智慧需具備三個關鍵特徵:(1)合法(Lawful):應遵守所有適用於人工智慧之法規;(2)合乎倫理(Ethical):確保人工智慧符合倫理原則與價值;(3)健全(Robust):自技術與社會層面觀之,避免人工智慧於無意間造成傷害。 該指引並進一步指出人工智慧應遵守以下四項倫理原則: (1) 尊重人類之自主權(Respect for Human Autonomy):歐盟之核心價值在於尊重人類之自由與自主,與人工智慧系統互動之個人,仍應享有充分且有效之自我決定空間。因此,人工智慧之運用,不應脅迫、欺騙或操縱人類,人工智慧應被設計為輔助與增強人類之社會文化技能與認知。 (2) 避免傷害(Prevention of Harm):人工智慧不應對人類造成不利之影響,亦不應加劇既有的衝突或傷害。人工智慧之系統運行環境應具備安全性,技術上則應健全,且確保不會被惡意濫用。此外,弱勢族群應於人工智慧運用中受到更多關注,並被視為服務對象。 (3) 公平(Fairness):人工智慧系統之開發、布建與利用,必須具備公平性。除了透過實質承諾與規範,進行平等與公正之利益與成本分配外,亦須透過救濟程序確保個人或特定族群不受到歧視與偏見之侵害,並可對人工智慧之自動化決策結果提出質疑,且獲得有效之補救。 (4) 可解釋性(Explicability):人工智慧應盡量避免黑箱(Black Box)決策,其系統處理程序須公開透明,並盡可能使相關決策結果具備可解釋性,分析特定訊息可能導致之決策結果,此外亦需具備可溯性且可接受審核。
歐盟議會發布《可信賴人工智慧倫理準則》2019年4月9日,歐盟議會發布《可信賴人工智慧倫理準則》(Ethics Guidelines for Trustworthy AI)。此次內容大致延續歐盟人工智慧高階專家小組(High-level Expert Group on Artificial Intelligence)於2018年12月18日發布的《可信賴人工智慧倫理準則草案》(Draft Ethics Guidelines for Trustworthy Artificial Intelligence)之內容,要求人工智慧須遵守行善(do good)、不作惡(do no harm)、保護人類(preserve human Agency)、公平(be fair)與公開透明(operate transparency)等倫理原則;並在4月9日發布的正式內容中更加具體描述可信賴的人工智慧的具體要件,共計七面向概述如下: 人類自主性和監控(Human agency and oversight):AI係為強化人類能力而存在,使人類使用者能夠做出更明智的決策並培養自身的基礎能力。同時,AI應有相關監控機制以確保AI系統不會侵害人類自主性或是引發其他負面效果。本準則建議,監控機制應可透過人機混合(一種整合人工智慧與人類協作的系統,例如human-in-the-loop, human-on-the-loop, and human-in-command)的操作方法來實現。 技術穩健性和安全性(Technical Robustness and safety):為防止損害擴張與確保損害最小化,AI系統除需具備準確性、可靠性和可重複性等技術特質,同時也需在出現問題前訂定完善的備援計劃。 隱私和資料治理(Privacy and data governance):除了確保充分尊重隱私和資料保護之外,還必須確保適當的資料治理機制,同時考慮到資料的品質和完整性,並確保合法近用資料為可行。 透明度(Transparency):資料、系統和AI的商業模型應該是透明的。可追溯性機制(Traceability mechanisms)有助於實現這一目標。此外,應以利害關係人能夠理解的方式解釋AI系統的邏輯及運作模式。人類參與者和使用者需要意識到他們正在與AI系統進行互動,並且必須了解AI系統的功能和限制。 保持多樣性、不歧視和公平(Diversity, non-discrimination and fairness):AI不公平的偏見可能會加劇對弱勢群體的偏見和歧視,導致邊緣化現象更為嚴重。為避免此種情況,AI系統應該設計為所有人皆可以近用,達成使用者多樣性的目標。 社會和環境福祉(Societal and environmental well-being):AI應該使包含我們的後代在內的所有人類受益。因此AI必須兼顧永續發展、環境友善,並能提供正向的社會影響。 問責制(Accountability):應建立機制以妥當處理AI所導致的結果的責任歸屬,演算法的可審計性(Auditability)為關鍵。此外,應確保補救措施為無障礙設計。
澳洲通過新修正之隱私法,大幅提高罰責以期遏止個資事故澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案(執法及其他措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ),並於11月28日正式通過,顯示澳洲政府對於近期多起大型個資事故的重視,以及民眾對於個資保護之公民意識逐漸成熟。 近期澳洲發生之兩起大規模個資事故,其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊,約有1,000萬人(約占澳洲人口40%)的個資遭到外洩,除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等;無獨有偶,於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故,被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料,因為此兩起大型個資事故的發生,促使澳洲政府不得不予以重視,在極短時間內通過新法修正。 此次修正案修改1988年《隱私法》(Privacy Act)、2010年《澳洲資訊委員法》(Australian Information Commissioner Act)和2005年《澳洲通訊及媒體管理局法》(Australian Communications and Media Authority Act 2005),修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。 一、加重裁罰之部分,依修正《隱私法》第13G條,當嚴重或反覆侵犯他人隱私事件發生時,若行為人為「非法人」(a person other than a body corporate,即我國法之自然人)時,其由行政機關課予當事人之罰金(civil penalty)上限提高到250萬澳幣(約新台幣5,200萬);若行為人為「法人」(body corporate)時,罰金上限增加到5,000萬澳幣(約新台幣10億)或其所得利益價值的三倍(兩者取其高)。如果法院無法確定利益的數額,則取法人違規期間或事故發生後12個月內(擇其時間較長者)調整型營收(adjusted turnover*)的30%。 二、關於資訊委員執法權限強化部分,其擴大資訊委員與他公私部門間交換及查閱資訊之權限,資訊委員得向嫌疑人進行調查或要求交付相關證據,且賦予資訊委員得不待法院裁判,逕對妨害查辦者課以民事制裁,甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。 三、有關域外管轄權部分,原先僅適用於「未在澳洲設立登記,但有在澳洲境內蒐集個資且經營業務」之公司;現刪除「有在澳洲境內蒐集個資」之規定,故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資,若有在澳洲境內經營業務即受有域外效力之管轄,其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。 至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷,惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件,依我國《個人資料保護法》規定,個資事故發生時,若被害人不易或不能證明其實際損害額時,法院依侵害情節,以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件,原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額,相信有望遏止類似事故不斷發生。 *調整型營收(adjusted turnover):指公司(及相關企業)在違規期間內營業額扣除應調整之稅額例外項目後,所有商品及服務價值的總和。