數位主權新近政策與法制之發展趨勢
數位主權新近政策與法制之發展趨勢
資訊工業策進會科技法律研究所
2021年5月20日
壹、事件摘要
「數位主權」(digital sovereignty)之概念出現於2000年初,於近年漸成國際間數位政策之核心主軸之一。此概念之興起主要係隨著資訊社會之蓬勃發展,許多危害與侵權事件接踵而來,直接或間接侵害國家管理數位環境之權力,亦使消費者權益受損;尤以,近來科技業競爭下雲端運算科技之興起與普及,許多科技巨擎以其技術跨越國界,直接掌握許多國家使用者之資料,使各國政府無法或難以過問,變相喪失國家主權。
法國廣播電台Skyrock首席執行長Pierre Bellanger曾於2011年就數位主權做出初步定義:「數位主權是透過使用科技和電腦網路來體現和引領對我們對當下和命運的控制。」[1]。而德國「網路經濟數位主權工作小組」於2015年德國全國IT峰會上提出:「…『主權』一詞通常是指以獨立性和自主性達到自決的能力。...從這個意義上講,數位主權意味著在數位空間中獨立行動和做出決定的能力[2]。」其後,數位主權進一步被納入整體主權概念之一,如德國於2018年數位高峰會上聚焦於資料處理與核心競爭力,認為國家或組織之數位主權彰顯,端視其對儲存或處理之資料能否有完全控制能力與對其之獨立決策權[3]。
另一方面,數位主權之興起亦被視為數位保護主義(Digital Protectionism)[4]。以歐盟為例,歐盟於2018年5月正式施行之一般資料保護規則(General Data Protection Regulation),即是在數位主權之「個人層面」下,使消費者重新取得其掌控個人資料之權利;於此同時,歐洲亦試圖在國家層面與企業層面排除來自美國、中國等科技巨擎之掌握,從硬體設備或平臺等中介媒介取回自決能力,如德法推動數位基礎建設之GAIA-X計畫[5]、歐盟於2020年提出之《數位服務法》草案(Digital Services Act)[6]等,其核心意涵皆直接與間接涉及數位主權之概念。
貳、重點說明
依新近數位經濟之發展趨勢,即可看出數位主權並非全有或全無之概念,而係透過政策或措施逐步彰顯或體現之,例如歐盟提出以10年為藍圖提出之戰略政策,德法則藉由硬體設備建設之措施,澳洲則採以訂定新法規之方式,皆可涉及數位主權之意涵。本文以下即以德國與歐盟近年之政策方向與措施,以及澳洲於今(2021)年甫通過施行之「新聞媒體議價法」,一窺當前實務上彰顯數位主權之手段或方式。
一、德法推動硬體設備與雲端服務在地化:GAIA-X計畫
德國政府於2019年10月29日數位高峰會(Digital Summit:PlattFORM DIE ZUKUNFT)與法國之政、商、學界聯合發布一關於數位資料基礎建設之GAIA-X計畫,目的在於為基礎建設設施提供一安全、聯合化之系統,在滿足最高數位主權標準之要求下,同時促進創新,該計畫係由22家德國和法國公司聯合設立為一非營利之法人實體,以推動GAIA-X雲端計算平臺於歐洲落地[7]。該計畫擬建立一開放、透明之數位生態系統[8],以增強對雲端服務需求之數位自主性,並增強歐洲雲端服務提供商之擴充性和競爭地位,進而試圖取代Amazon或Microsoft等雲端數據中心之資料提供與相關服務[9]。同時,參與GAIA-X計畫之成員均應遵守保護資料主權(Schutz der Datensouveränität)、資料可用性(Datenverfügbarkeit),互通性(Interoperabilität),可攜性(Portabilität),促進透明度和公平參與(Förderung der Transparenz und der fairen Teilhabe)之原則,以符合歐盟法規之標準[10]。
二、歐盟提出《歐洲資料戰略》(European Data Strategy)
歐盟執委會於2020年2月19日針對未來10年歐洲AI開發與開放資料運用方向等核心議題,公布一系列數位化政策,其一即為歐洲資料戰略(European Data Strategy)。為此,該戰略提出資料開放共享政策與法制調適框架,宣示其目標為建構歐洲的之資料單一市場(single market for data),視資料為數位轉型之核心,開放至今尚未被使用之資料[11]。
該戰略擬定數個具體的措施與制度調修方向:(1)建構資料跨部門治理與取用之法規調適框架,按時程分別提出共同歐盟資料空間(common European data space)管理之立法框架[12]、高價值資料集(high-value data-sets)、資料法(Data Act)等,以建構企業對政府或企業間之資料共享環境,調適並建立有利於資料取用之智慧財產權與營業秘密保護框架;(2)強化歐洲管理、處理資料之能力與資料互通性,建構資料共享體系結構並建立共享之標準及治理機制、啟動歐洲雲端服務市場並整合所有雲端服務產品、編纂歐盟雲端監管規則手冊;(3)強化個人有關資料使用之權利:從協助個人行使其所產出資料相關權利之角度,於資料法中優化歐盟GDPR第20條之資料可攜權;(4)建構戰略領域與公共利益領域之歐盟資料空間(European data space),針對戰略性經濟領域與攸關公共利益之資料使用需求,開發符合個資保護與資安法令標準之資料空間[13]。
三、澳洲立法要求數位平臺付費予澳洲新聞媒體
澳洲國會於2021年2月25日通過2010年制頒之競爭與消費者法(Competition and Consumer Act 2010)之增修條文—一般通稱為《新聞媒體議價法》(News Media and Digital Platforms Mandatory Bargaining Code)[14],並於3月2日施行,以解決澳洲新聞媒體業者與數位平臺間之議價問題,尤其是Google及Facebook等科技巨頭,若在其平臺呈現、提供連結或擷取澳洲當地新聞媒體所產出之新聞內容時,依該增修條文之規定,應與澳洲當地媒體達成付費協議,如無法達成協議者,則由澳洲政府以強制仲裁決定最終價格。此法之目的係澳洲政府為了保護當地媒體公司之著作,並確保當地業者能獲得合理之報酬[15]。
目前澳洲議會通過決議,該法最初適用對象為Google與Facebook,其後若有證據證明其它數位平臺服務引起議價能力之不平衡,亦可能成為該法受規範對象,其資格要件則由澳洲通訊媒體管理局(The Australian Communications and Media Authority)認定之。若平臺違反規定者,將可裁處達1000萬澳元之罰緩。
參、事件評析
從上述實務案例可知,由於數位主權之概念仍在發展中,會因不同商業環境或地緣政治之影響,對數位主權之界定與主張之力道而有所差異,致使在措施或法制設計上皆有不同樣貌。比較上述三案例之發展脈絡,歐盟之《歐洲數位戰略》提出諸多數位政策與方向,企圖形塑數位經濟管制框架,以因應巨型數位平臺之潛在威脅,其核心意涵即緊扣數位主權之彰顯;而德法聯手推動之GAIA-X計劃,則更進一步將數位主權之抽象概念落實於實務上,透過基礎硬體之建設與數位生態系統之育成,試圖降低歐洲對美國矽谷科技巨擎之依賴,此計劃亦呼應數位主權定義與概念,即提高掌握數位資料之自主性與獨立性,可視為彰顯數位主權之方式之一。至澳洲之《新聞媒體議價法》,其宣稱之立法目的主要在於提升在地媒體之議價能力外,亦立法授權行政機關指定特定企業應盡到某種公平競爭法上之市場交易義務,取代原本公平競爭主管機關之職責,為國際比較立法例之首見;而該法強制外國企業與當地媒體進行協商,不履行此等義務者得處以罰鍰,雖形式上係從市場競爭之公平法觀點出發,並非以彰顯數位主權為立法目的,惟其帶有極重之保護主義色彩,間接體現/彰顯數位主權之意涵,或可視為某種程度/型態下,數位主權概念之具體實踐案例。
[1]Pierre Bellanger, 'De la souveraineté en général et de la souveraineté numérique en particulier' [Sovereignty in general and digital sovereignty in particular], LES ÉCHOS, Aug. 30, 2011, http://archives.lesechos.fr/archives/cercle/2011/08/30/cercle_37239.htm#(last visited Mar. 15, 2021).
[2]BUNDESMINISTERIUM FÜR WIRTSCHAFT UND ENERGIE [BMWI], Neunter Nationaler IT-Gipfel 2015:Digitale Zukunft gestalten – innovativ_sicher_leistungsstark (2015), https://www.de.digital/DIGITAL/Redaktion/DE/IT-Gipfel/Download/2015/it-gipfel-2015-berliner-erklaerung.pdf?__blob=publicationFile&v=13 (last visited Mar. 15, 2021).
[3]BMWi, Digital-Gipfel 2018(2018), https://www.de.digital/DIGITAL/Redaktion/DE/Dossier/digital-gipfel-2018.html (last visited Mar. 15, 2021).
[4]Ziyang Fan & Anil K Gupta, The Dangers of Digital Protectionism, HARVARD BUSINESS REVIEW, Aug. 30, 2018, https://hbr.org/2018/08/the-dangers-of-digital-protectionism (last visited Mar. 15, 2021).
[5]BMWi,GAIA-X(2020), https://www.bmwi.de/Redaktion/DE/Dossier/gaia-x.html (last visited Mar. 16, 2021);許祐寧,〈德國聯邦經濟與能源部提出《GAIA-X計畫》建立歐洲聯合雲端資料基礎建設〉,資訊工業策進會科技法律研究所,2020/03,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=1&d=8415(最後瀏覽日:2021/03/15)。Emmanuel Macron in his own words, The Economist,2019/11/07, available at https://www.economist.com/europe/2019/11/07/emmanuel-macron-in-his-own-words-english (last visited Mar. 15, 2021).
[6]EUROPEAN COMMISSION, The Digital Services Act package (2020), https://ec.europa.eu/digital-single-market/en/digital-services-act-package (last visited Mar. 16, 2021).
[7]BMWi, Project GAIA-X A Federated Data Infrastructure as the Cradle of a Vibrant European Ecosystem Executive Summary, https://www.bmwi.de/Redaktion/EN/Publikationen/Digitale-Welt/das-projekt-gaia-x-executive-summary.pdf?__blob=publicationFile&v=5 (last visited Mar. 15, 2021).
[8]BMWi & BMBF, Project GAIA-X, https://www.bmwi.de/Redaktion/EN/Publikationen/Digitale-Welt/das-projekt-gaia-x-executive-summary.pdf?__blob=publicationFile&v=8 (last visited Mar. 15, 2021).
[9]GAIAX: AFederated Data Infrastructure for Europe, https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html (last visited Mar. 15, 2021).
[10]BMWi, Deutschland und Frankreich Vorreiter beim ersten Schritt Europas in Richtung einer europäischen Dateninfrastruktur, PRESSEMITTEILUNG, Jun. 04, 2020, https://www.bmwi.de/Redaktion/DE/Pressemitteilungen/2020/20200604-deutschland-und-frankreich-vorreiter-beim-ersten-schritt-europas-in-richtung-einer-europaeischen-dateninfrastruktur.html (last visited Mar. 15, 2021).
[11]Commission communication from the commission to the European parliament, the council, the European economic and social committee and the committee of the regions: A European strategy for data, 2020/02/19, COM (2020) 66 final (Feb. 19, 2020), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020DC0066&from=EN(last visited Mar. 15, 2021).
[12]COMMON EUROPEAN DATA SPACES, Real-time Linked Dataspaces, http://dataspaces.info/common-european-data-spaces/#page-content(last visited Mar. 15, 2021).
[13]Supra note 11.
[14]Treasury Laws Amendment (News Media and Digital Platforms Mandatory Bargaining Code) Act 2021.
[15]謝宜庭,〈澳洲立法強制Google及Facebook向媒體業者支付合理費用〉,科技法律研究所,2020/09,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8526&no=64 (最後瀏覽日:2021/03/15)。
- De la souveraineté en général et de la souveraineté numérique en particulier
- Neunter Nationaler IT-Gipfel 2015:Digitale Zukunft gestalten – innovativ_sicher_leistungsstark
- Digital-Gipfel 2018
- GAIA-X
- 德國聯邦經濟與能源部提出《GAIA-X計畫》建立歐洲聯合雲端資料基礎建設
- Emmanuel Macron in his own words
- The Digital Services Act package
- Project GAIA-X A Federated Data Infrastructure as the Cradle of a Vibrant European Ecosystem Executive Summary
- Project GAIA-X
- GAIAX: AFederated Data Infrastructure for Europe
- Deutschland und Frankreich Vorreiter beim ersten Schritt Europas in Richtung einer europäischen Dateninfrastruktur
- Commission communication from the commission to the European parliament, the council, the European economic and social committee and the committee of the regions: A European strategy for data
- COMMON EUROPEAN DATA SPACES
- 澳洲立法強制Google及Facebook向媒體業者支付合理費用
- The Dangers of Digital Protectionism
柏坤儀
法律研究員 編譯整理
今年三月底,Google與美國聯邦貿易委員會(Federal Trade Commission, FTC)就Buzz案達成和解。2010年時FTC控告Google Buzz未確實保護消費者的個人資料,侵犯了消費者的隱私權,違反「聯邦貿易委員會法」(FTC Act)以及美國與歐盟所訂定之「安全港架構協議」(U.S.-EU Safe Harbor Framework)。FTC表示,Google搭配在其Gmail中的網路社交服務Buzz,讓Gmail使用者誤以為其可以自主決定是否加入該社群,但事實上縱使Gmail使用者選擇不加入,也無法完全移除此項服務。甚者,選擇加入Buzz的消費者,亦無法找到明確的方式,控制其分享的個人資料。FTC控告Google未取得消費者的同意,將Gmail的資料(通訊錄名單)供社交網路使用,構成目的範圍外的使用。 依據Google與FTC和解內容,Google必須執行一套更為嚴謹的隱私權制度,不得再有誤導消費者其個人資料開放程度的行為,並且在爾後二十年都需接受獨立機構的隱私審查。初步和解內容開放30天(至2011年5月2日 )供社會大眾提供意見,之後FTC將提出最終和解內容。迄今為止,消費者團體提出的意見,包括要求FTC限制Google持有個人資料的時間,將隱私權保護制度適用到其所有的產品,對其儲存於雲端系統的個人資料進行加密動作,以及在進行個人資料蒐集前,應彈跳出視窗取得消費者同意等 值得注意的是,FTC在和解案中關於隱私權政策的客體所使用的語彙為「涵蓋資料」(covered information )而非「個人資料」(personal information),「涵蓋資料」所包含的範圍除了傳統的「個人資料」,尚包含IP位址、個人實體位址,以及通訊名單等等。 本案是FTC首度依職權要求業者採取更為嚴謹的隱私權保護制度以保障消費者權益,亦是FTC初次依「安全港架構協議」所採取的行動。本案對於線上服務的隱私權保護無疑是一大進展,但亦有論者擔心嚴苛的隱私權保護制度,反將造成小公司或新業者市場參進的障礙,愈發壯大Google的市場地位。 除此之外,Google的Buzz服務亦被消費者以集團訴訟提起告訴,最終和解金為850萬美元。 隨著Google成為搜尋引擎界的龍頭,其近年的一舉一動皆備受美國以及歐洲管理當局嚴密注意,今年二月份時,Google即時街景服務亦因不當蒐集個人資料而被法國裁罰14萬美元。
現有法制對公立大學教授技術作價之現況與困難 何謂日本「促進整合產官學共同研究的大學概況調查書」?「促進整合產官學共同研究的大學概況調查書(産学官共同研究におけるマッチング促進のための大学ファクトブック)」為日本經濟產業省與文部科學省所共同設置的「促進創新產官學對話會議」議定後向外提出,期待藉此使企業更容易理解大學的產官學合作現狀,進一步實現正式的產官學連攜活動。 該概況調查書的先行版中收集整理了各大學整合產官學連攜的實績等資訊,2018年發布的正式版則統整日本327所大學的情報,擴充並更新了該概況調查書的內容,包含:1.產學連攜相關的聯絡窗口資訊等;2.產官學連攜活動的配套方針與往後期待重點化的事項;3.產學連攜之本部機能的相關情報;4.面向正式共同研究的配套措施,如平均交涉期間、跨領域型共同研究;5.各大學之專精領域及其實例;6.資金、資產及智慧財產相關連的持有使用狀況;7.大學發起的創投事業數及其支援體制;8.混合僱用制度的狀況。
歐盟執委會發布《受禁止人工智慧行為指引》歐盟執委會發布《受禁止人工智慧行為指引》 資訊工業策進會科技法律研究所 2025年02月24日 歐盟繼《人工智慧法》[1](Artificial Intelligence Act, 下稱AI Act)於2024年8月1日正式生效後,針對該法中訂於2025年2月2日始實施之第5條1,有關「不可接受風險」之內容中明文禁止的人工智慧行為類型,由歐盟執委會於2025年2月4日發布《受禁止人工智慧行為指引》[2]。 壹、事件摘要 歐盟AI Act於2024年8月1日正式生效,為歐盟人工智慧系統引入統一之人工智慧風險分級規範,主要分為四個等級[3]: 1. 不可接受風險(Unacceptable risk) 2. 高風險(High risk) 3. 有限風險,具有特定透明度義務(Limited risk) 4. 最低風險或無風險(Minimal to no risk) AI Act之風險分級系統推出後,各界對於法規中所說的不同風險等級的系統,究竟於實務上如何判斷?該等系統實際上具備何種特徵?許多內容仍屬概要而不確定,不利於政府、企業遵循,亦不利於各界對人工智慧技術進行監督。是以歐盟本次針對「不可接受風險」之人工智慧系統,推出相關指引,目的在明確化規範內涵規範,協助主管機關與市場參與者予以遵循。 貳、重點說明 一、AI Act本文第5條1(a)、(b)-有害操縱、欺騙與剝削行為 (一)概念說明 本禁止行為規定旨在防止透過人工智慧系統施行操縱與剝削,使他人淪為實現特定目的工具之行為,以保護社會上最為脆弱且易受有害操控與剝削影響的群體。 (二)禁止施行本行為之前提要件 1.該行為必須構成將特定人工智慧系統「投放於歐盟市場」(placing on the market)[4]、「啟用」(putting into service)[5]或「使用」(use)[6]。 2.應用目的:該人工智慧系統所採用的技術具有能實質扭曲個人或團體行為的「目的」或「效果」,此種扭曲明顯削弱個人或團體做出正確決定的能力,導致其做出的決定偏離正常情形。 3.技術特性:關於(a)有害的操縱與欺騙部分,係指使用潛意識(超出個人意識範圍)、或刻意操控或欺騙的技術;關於(b)有害地利用弱勢群體部分,是指利用個人年齡、身心障礙或社會經濟狀況上弱點。 4.後果:該扭曲行為已造成或合理可預見將造成該個人、另一人或某群體的重大傷害。 5.因果關係:該人工智慧系統所採用的技術、個人或團體行為的扭曲,以及由此行為造成或可合理預見將造成的重大傷害之間,具備相當因果關係。 二、AI Act本文第5條1(c)-社會評分行為 (一)概念說明 本禁止行為規定旨在防止透過人工智慧系統進行「社會評分」可能對特定個人或團體產生歧視和不公平的結果,以及引發與歐盟價值觀不相容的社會控制與監視行為。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該人工智慧系統必須用於對一定期間內,自然人及群體的社會行為,或其已知、預測的個人特徵或人格特質進行評價或分類。 3.後果:透過該人工智慧系統所產生的社會評分,必須可能導致個人或群體,在與評分用資料生成或蒐集時無關的環境遭受不利待遇,或遭受與其行為嚴重性不合比例的不利待遇。 三、AI Act本文第5條1(d)-個人犯罪風險評估與預測行為 (一)概念說明 本禁止行為規定之目的,旨在考量自然人應依其實際行為接受評判,而非由人工智慧系統僅基於對自然人的剖析、人格特質或個人特徵等,即逕予評估或預測個人犯罪風險。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該人工智慧系統必須生成旨在評估或預測自然人施行犯罪行為風險的風險評估結果。 3.後果:前述風險評估結果僅依據於對自然人的剖析,或對其人格特質與個人特徵的評估。 4.除外規定:若人工智慧系統係基於與犯罪活動直接相關的客觀、可驗證事實,針對個人涉入犯罪活動之程度進行評估,則不適用本項禁止規定。 四、AI Act本文第5條1(e)-無差別地擷取(Untargeted Scraping)臉部影像之行為 (一)概念說明 本禁止行為規定之目的,旨在考量以人工智慧系統從網路或監視器影像中無差別地擷取臉部影像,用以建立或擴充人臉辨識資料庫,將嚴重干涉個人的隱私權與資料保護權,並剝奪其維持匿名的權利。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該行為以建立或擴充人臉辨識資料庫為目的。 3.技術特性:填充人臉辨識資料庫的方式係以人工智慧工具進行「無差別的擷取行為」。 4.因果關係:建立或擴充人臉辨識資料庫之影像來源,須為網路或監視器畫面。 五、AI Act本文第5條1(f)-情緒辨識行為 (一)概念說明 本禁止行為規定之目的,旨在考量情緒辨識可廣泛應用於分析消費者行為,以更有效率的手段執行媒體推廣、個人化推薦、監測群體情緒或注意力,以及測謊等目的。然而情緒表達在不同文化、情境與個人反應皆可能存在差異,缺乏明確性、較不可靠且難以普遍適用,因此應用情緒辨識可能導致歧視性結果,並侵害相關個人或群體的權利,尤以關係較不對等的職場與教育訓練環境應加以注意。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該系統係用於推斷情緒。 3.因果關係:該行為發生於職場或教育訓練機構。 4.除外規定:為醫療或安全目的而採用的人工智慧系統不在禁止範圍內。例如在醫療領域中,情緒辨識可協助偵測憂鬱症、預防自殺等,具有正面效果。 六、AI Act本文第5條1(g)-為推測敏感特徵所進行之生物辨識分類行為 (一)概念說明 本禁止行為規定之目的,旨在考量利用人工智慧之生物辨識分類系統(Biometric Categorisation System)[7],可依據自然人的生物辨識資料用以推斷其性取向、政治傾向、信仰或種族等「敏感特徵」在內的各類資訊,並可能在當事人不知情的情況下依據此資訊對自然人進行分類,進而可能導致不公平或歧視性待遇。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該行為係針對個人進行分類;而其辨識目的係為推斷其種族、政治傾向、工會成員身分、宗教或哲學信仰、性生活或性取向等。 3.技術特性:該系統必須為利用人工智慧,並依據自然人的生物辨識資料,將其歸類至特定類別之生物辨識分類系統。 4.因果關係:前述分類依據為其生物辨識資訊。 5.除外規定:本項禁止規定未涵蓋對合法取得的生物辨識資料進行標記(Labelling)或過濾(Filtering)行為,如用於執法目的等。 七、AI Act本文第5條1(h)-使用即時遠端生物辨識(Remote Biometric Identification, RBI)系統[8]執法[9]之行為 (一)概念說明 本禁止行為規定之目的,旨在考量在公共場所使用即時RBI系統進行執法,可能對人民權利與自由造成嚴重影響,使其遭受監視或間接阻礙其行使集會自由及其他基本權利。此外,RBI系統的不準確性,將可能導致針對年齡、族群、種族、性別或身心障礙等方面的偏見與歧視。 (二)禁止施行本行為之前提要件 1.該行為必須涉及對即時RBI系統的「使用」行為。 2.應用目的:使用目的須為執法需要。 3.技術特性:該系統必須為利用人工智慧,在無需自然人主動參與的情況下,透過遠距離比對個人生物辨識資料與參考資料庫中的生物辨識資料,從而達成識別自然人身份目的之RBI系統。 4.因果關係:其使用情境須具備即時性,且使用地點須為公共場所。 參、事件評析 人工智慧技術之發展固然帶來多樣化的運用方向,惟其所衍生的倫理議題仍應於全面使用前予以審慎考量。觀諸歐盟AI Act與《受禁止人工智慧行為指引》所羅列之各類行為,亦可觀察出立法者對人工智慧之便利性遭公、私部門用於「欺詐與利用」及「辨識與預測」,對《歐盟基本權利憲章》[10]中平等、自由等權利造成嚴重影響的擔憂。 為在促進創新與保護基本權利及歐盟價值觀間取得平衡,歐盟本次爰參考人工智慧系統提供者、使用者、民間組織、學術界、公部門、商業協會等多方利害關係人之意見,推出《受禁止人工智慧行為指引》,針對各項禁止行為提出「概念說明」與「成立條件」,期望協助提升歐盟AI Act主管機關等公部門執行相關規範時之法律明確性,並確保具體適用時的一致性。於歐盟內部開發、部署及使用人工智慧系統的私部門企業與組織,則亦可作為實務參考,有助確保其自身在遵守AI Act所規定的各項義務前提下順利開展其業務。 [1]European Union, REGULATION (EU) 2024/1689 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (2024), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689 (last visited Feb. 24, 2025). [2]Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act., European Commission, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act (last visited Feb. 24, 2025). [3]AI Act, European Commission, https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai (last visited Feb. 24, 2025). [4]依據本指引第2.3點,所謂「投放於歐盟市場」(placing on the market),係指該人工智慧系統首次在歐盟市場「提供」;所謂「提供」,則係指在商業活動過程中,以收費或免費方式將該AI系統供應至歐盟市場供分發或使用。 [5]依據本指引第2.3點,所謂「啟用」(putting into service),係指人工智慧系統供應者為供應使用者首次使用或自行使用,而於歐盟內供應人工智慧系統。 [6]依據本指引第2.3點,「使用」(use)之範疇雖未在AI Act內容明確定義,惟應廣義理解為涵蓋人工智慧系統在「投放於歐盟市場」或「啟用」後,其生命週期內的任何使用或部署;另參考AI Act第5條的規範目的,所謂「使用」應包含任何受禁止的誤用行為。 [7]依據AI Act第3條(40)之定義,生物辨識分類系統係指一種依據自然人的生物辨識資料,將其歸類至特定類別之人工智慧系統。 [8]依據AI Act第3條(41)之定義,RBI系統係指一種在無需自然人主動參與的情況下,透過遠距離比對個人生物辨識資料與參考資料庫中的生物辨識資料,從而達成識別自然人身份目的之人工智慧系統。 [9]依據AI Act第3條(46)之定義,「執法(law enforcement)」一詞,係指由執法機關或其委任之代表,代替其執行目的包括預防、調查、偵測或起訴刑事犯罪,或執行刑事處罰,並涵蓋防範與應對公共安全威脅等範疇之行為。 [10]CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION, Official Journal of the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:12012P/TXT (last visited Feb. 24, 2025).