聯合國人權高級專員辦公室發布《數位時代隱私權》調查報告
聯合國人權高級專員辦公室(Office of the United Nations High Commissioner for Human Rights, OHCHR)於2021年9月15日發布《數位時代隱私權》(The Right to Privacy in The Digital Age)調查報告,分析各種人工智慧技術,例如側寫(profiling)、自動化決策及機器學習,將如何影響人民之隱私或其他權利,包括健康權、教育權、行動自由、言論自由或集會結社自由等,並提出對國家與企業應如何因應之具體建議。
一、針對國家與企業使用人工智慧之共同建議:在整個人工智慧系統生命週期中,包括設計、開發、部署、銷售、取得(obtain)或運營,應定期進行全面的人權影響評估(comprehensive human rights impact assessments),提高系統使用透明度與可解釋性,並應充分通知公眾與受影響之個人其正在使用人工智慧進行決策。
二、針對國家使用人工智慧之建議:應確保所有人工智慧的使用符合人權,明確禁止並停止販售不符合國際人權法運作之人工智慧應用程序。在證明使用該人工智慧系統能遵守隱私及資料保護標準,且不存在重大準確性問題及產生歧視影響之前,應暫停在公共場所使用遠端生物識別技術。並盡速立法及建立監管框架,以充分預防和減輕使用人工智慧可能造成不利人權的影響,以及確保在侵犯人權時能夠有相關之補救措施。
三、針對企業使用人工智慧之建議:應盡力履行維護人權之責任,建議實施商業與人權指導原則(Guiding Principles on Business and Human Rights),並打擊(combat)人工智慧系統開發、銷售或運營相關的歧視,進行系統評估與監測,以及設計有效的申訴機制。
許嘉芳
法律研究員 編譯整理
UNITED NATIONS, OHCHR - Press Conference: Right to privacy in the digital age (Sep. 15, 2021), https://media.un.org/en/asset/k1o/k1okejejsj (last visited Sep. 30, 2021).
UNITED NATIONS, The right to privacy in the digital age: report (2021) (Sep. 15, 2021), https://www.ohchr.org/EN/Issues/DigitalAge/Pages/cfi-digital-age.aspx (last visited Sep. 30, 2021).
UNITED NATIONS, Artificial intelligence risks to privacy demand urgent action – Bachelet (Sep. 15, 2021), https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=27469&LangID=E (last visited Sep. 30, 2021).
張腕純,〈歐盟提出人工智慧法律調和規則草案〉,2021年5月,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8674&no=64(最後瀏覽日:2021/10/01)。
近期人工智慧(Artificial Intelligence, AI)的智慧財產權保護受到各界廣泛注意,而OpenAI於2023年3月所提出有關最新GPT- 4語言模型的技術報告更將此議題推向前所未有之高峰。過去OpenAI願意公布細節,係由於其標榜的是開源精神,但近期的報告卻決定不公布細節(如訓練計算集、訓練方法等),因為其認為開源將使GPT- 4語言模型面臨數據洩露的安全隱患,且尚有保持一定競爭優勢之必要。 若AI產業選擇不採取開源,通常會透過以下三種方式來保護AI創新,包括申請專利、以營業秘密保護,或同時結合兩者。相對於專利,以營業秘密保護AI創新可以使企業保有其技術優勢,因不用公開技術內容,較符合AI產業對於保護AI創新的期待。然而,企業以營業秘密保護AI創新有其限制,包含: 1.競爭者可能輕易透過還原工程了解該產品的營業秘密內容,並搶先申請專利,反過來起訴企業侵害其專利,而面臨訴訟風險; 2.面對競爭者提起的專利侵權訴訟,企業將因為沒有專利而無法提起反訴,或透過交互授權(cross-licensing)來避免訴訟; 3.縱使企業得主張「先使用權(prior user right)」,但其僅適用在競爭者於專利申請前已存在的技術,且未來若改進受先使用權保護之技術,將不再受到先使用權之保護,而有侵犯競爭者專利之虞,因此不利於企業提升其競爭力。 綜上所述,儘管AI產業面有從開源轉向保密的傾向,但若要完全仰賴營業秘密來保護AI創新仍有其侷限,專利依舊是當前各企業對AI領域的保護策略中的關鍵。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
Google與Klausner Technologies公司之專利訟訴和解根據路透社(Reuters)報導指出,Google,和日前亦接獲到Klausner Technologies公司之專利訴訟LG, Apple,Skype以同意授權方式,結束可視覺化語音信箱(visual voicemail)之智慧財產權訴訟案。 提出訴訟案為Klausner Technologies公司之CEO,亦為可視覺化語音信箱技術發明人Judah Klausner,其擁有美國、歐洲與亞洲之專利。目前市場上熱門的可觸控式手機具有可視覺化語音信箱特性,包含Apple’s iPhone都具有其功能性。 此案主要涉及Klausner之專利擁有可視覺化語音信箱技術,類似電子郵件,使用者可利用電腦或電話傳送可視覺化之語音訊息,並讓使用者具選擇性收取訊息。 目前Google擁有兩種服務,受Klausner’s專利之影響,其一讓使用者透過Grand Central提供一簡單網際網路語音溝通平台,另一為具Android自由軟體平台之智慧型手機。該案以和解方式結束,但Klausner婉拒與路透社說明,該公司與Google之間協議內容。
新加坡個資保護法責任指南新加坡個人資料保護法(Personal Data Protection Act 2012, PDPA)的基本原則之一在於可歸責性(Accountability)之建立,原因在於個資保護的責任歸屬,是組織對個資的持有與控制所為的承諾與責任表示。因此,PDPA第11、12條之法遵責任,組織必須對所持有或控制的個資負責,並且需制定並實施資料保護政策、溝通並告知員工相關政策、及履行PDPA義務所必須施行之流程與作法。於組織責任而言,PDPA雖有強制性義務責任,但應忖量組織內部責任歸屬的措施,而非僅將責任落於遵守法律的程度,組織必須從合於法規的方法轉為基於責任歸屬的方法來管理個人資料。 從而,該指南在政策、人員、流程等領域中透過資料生命週期的循環,確立組織責任歸屬。從落實良好的責任制始於組織領導力的概念出發,設定組織管理高層之職責與調性,繼而規劃處理個資及管理資料風險的方法。並由組織人員治理面向,確立溝通資訊與員工培訓知識與資源。除此之外,也在特定流程設置上,紀錄個人資料流動,了解如何收集、儲存、使用、揭露、歸檔或處理個人資料為流程的首要任務,繼而確認資料保護層面主要的差距與需要改進的領域。再將資料保護實踐於業務流程、系統、商品或服務。
世界衛生組織發布人工智慧於健康領域之監管考量因素文件,期能協助各國有效監管健康領域之人工智慧世界衛生組織(World Health Organization, WHO)於2023年10月19日發布「人工智慧於健康領域之監管考量因素」(Regulatory considerations on artificial intelligence for health)文件,旨在協助各國有效監管健康領域之人工智慧,發揮其潛力同時最大限度地降低風險。本文件以下列六個領域概述健康人工智慧之監管考量因素: (1)文件化與透明度(Documentation and transparency) 開發者應預先規範(pre-specifying)以及明確記錄人工智慧系統(以下簡稱AI系統)之預期醫療目的與開發過程,如AI系統所欲解決之問題,以及資料集之選擇與利用、參考標準、參數、指標、於各開發階段與原始計畫之偏離及更新等事項,並建議以基於風險之方法(Risk-based approach),根據重要性之比例決定文件化之程度、以及AI系統之開發與確效紀錄之保持。 (2)風險管理與AI系統開發生命週期方法(Risk management and AI systems development lifecycle approaches) 開發者應在AI系統生命之所有階段,考慮整體產品生命週期方法(total product lifecycle approach),包括上市前開發管理、上市後監督與變更管理。此外,須考慮採用風險管理方法(risk management approach)來解決與AI系統相關之風險,如網路安全威脅與漏洞(vulnerabilities)、擬合不足(underfitting)、演算法偏差等。 (3)預期用途、分析及臨床確效(Intended use, and analytical and clinical validation) 開發者應考慮提供AI系統預期用途之透明化紀錄,將用於建構AI系統之訓練資料集組成(training dataset composition)之詳細資訊(包括大小、設定與族群、輸入與輸出資料及人口組成等)提供給使用者。此外,可考慮透過一獨立資料集(independent dataset)之外部分析確效(external analytical validation),展示訓練與測試資料以外之效能,並考慮將風險作為臨床確效之分級要求。最後,於AI系統之上市後監督與市場監督階段,可考慮進行一段期間密集之部署後監督(post-deployment monitoring)。 (4)資料品質(Data quality) 開發者應確認可用資料(available data)之品質,是否已足以支援AI系統之開發,且開發者應對AI系統進行嚴格之預發布評估(pre-release evaluations),以確保其不會放大訓練資料、演算法或系統設計其他元素中之偏差與錯誤等問題,且利害關係人還應考慮減輕與健康照護資料有關之品質問題與風險,並繼續努力創建資料生態系統,以促進優質資料來源之共享。 (5)隱私與資料保護(Privacy and data protection) 開發者於AI系統之設計與部署過程中,應考慮隱私與資料保護問題,並留意不同法規之適用範圍及差異,且於開發過程之早期,開發者即應充分瞭解適用之資料保護法規與隱私法規,並應確保開發過程符合或超過相關法規要求。 (6)參與及協作(Engagement and collaboration) 開發者於制定人工智慧創新與部署路線圖之期間,需考慮開發可近用且具有充足資訊之平台,以於適合與適當情況下促進利害關係人間之參與及協作;為加速人工智慧領域實務作法之進化,透過參與及協作來簡化人工智慧監管之監督流程即有必要。