美國參議院於2022年4月提出《演算法問責法案》對演算法治理再次進行立法嘗試
《演算法問責法案》(Algorithmic Accountability Act)於2022年4月由美國參議院提出,此法案係以2019年版本為基礎,對演算法(algorithm)之專業性與細節性事項建立更完善之規範。法案以提升自動化決策系統(automated decision systems, ADS)之透明度與公平性為目的,授權聯邦貿易委員會(Federal Trade Commission, FTC)制定法規,並要求其管轄範圍內之公司,須就對消費者生活產生重大影響之自動化決策系統進行影響評估,公司亦須將評估結果做成摘要報告。
《演算法問責法案》之規範主體包括:(1)公司連續三年平均營業額達5000萬美元,或股權價值超過2.5億美元者,並處理或控制之個人資料超過100萬人次;以及(2)公司過去三年內,財務規模至少為前者之十分之一,且部署演算法開發以供前者實施或使用者。ADS影響評估應檢視之內容包括:
1.對決策過程進行描述,比較分析其利益、需求與預期用途;
2.識別並描述與利害關係人之協商及其建議;
3.對隱私風險和加強措施,進行持續性測試與評估;
4.記錄方法、指標、合適資料集以及成功執行之條件;
5.對執行測試和部署條件,進行持續性測試與評估(含不同群體);
6.對代理商提供風險和實踐方式之支援與培訓;
7.評估限制使用自動化決策系統之必要性,並納入產品或其使用條款;
8.維護用於開發、測試、維護自動化決策系統之資料集和其他資訊之紀錄;
9.自透明度的角度評估消費者之權利;
10.以結構化方式識別可能的不利影響,並評估緩解策略;
11.描述開發、測試和部署過程之紀錄;
12.確定得以改進自動化決策系統之能力、工具、標準、資料集,或其他必要或有益的資源;
13.無法遵守上述任一項要求者,應附理由說明之;
14.執行並記錄其他FTC 認為合適的研究和評估。
當公司違反《演算法問責法案》及其相關法規有不正當或欺騙性行為或做法時,將被視為違反《聯邦貿易委員會法》(Federal Trade Commission Act)規定之不公平或欺騙性行為,FTC應依《聯邦貿易委員會法》之規定予以處罰。此法案就使用ADS之企業應進行之影響評估訂有基礎框架,或可作為我國演算法治理與人工智慧應用相關法制或政策措施之參酌對象,值得持續追蹤。
張瀠心
法律研究員 編譯整理
Algorithmic Accountability Act of 2022, H.R. 6580, 117th Cong.
Furkan Gursoy, Ryan Kennedy & Ioannis A. Kakadiaris, A Critical Assessment of the Algorithmic Accountability Act of 2022, Aug. 20, 2022.
2015年10月27日歐洲議會通過電信網路新修規章(Regulation 2015/2120),內容包括網路中立(Net Neutrality)條款,該規章將拘束歐盟全體會員國之資訊通信法規,並確立歐盟境內之網路中立原則。在本次立法之前,歐盟境內未建立統一的網路中立法規,僅荷蘭、斯洛維尼亞及芬蘭制定國內網路中立法規。 網路中立係指各種網路應用、內容或服務,均應受到平等對待,網路服務業者 (Internet Service Provider,以下簡稱ISP)不得任意實施差別待遇,例如攔阻(blocking)、延後傳送順序或降速(throttling)等。依據歐盟新修規章第3(3)條規定,ISP應平等處理所有網路流量,但同條之例外條款允許ISP在特定條件下,採取合理的流量管制措施。ISP流量管制之標的必須係基於因技術上服務需求之差異,所客觀形成之不同類別,換句話說,ISP不得因商業考量而對個別網路使用者產生差別待遇,僅得針對客觀的類別進行流量差異管制,例如點對點(Peer-to-Peer,P2P)傳輸軟體下載與語音電話,因流量傳輸需求不同,屬於不同的類別,是故,對於這兩種類別可採取不同之傳輸速度。同時,ISP的管制措施必須符合透明、非歧視性及比例原則。ISP亦不得監看特定內容,而管制期間不得超過必要之期限。 除了上述因客觀類別所採取之差別待遇之外,該規章亦賦予ISP得因特定法定事項而採取流量管制,該法定事項包括: 1.基於法律規範或執法需要而進行管制:包括符合歐盟法或會員國國內法之規定、以及法院或行政機關之命令或授權。 2.為了維持網路服務之完整性及安全性所採取之管制,包括網路、透過網路提供之服務或終端使用者(個人及企業)之終端設備。 3.防止即將產生之網路塞車或減輕網路塞車情況,但其前提為相同之網路服務類別必須給予平等之待遇。 歐盟之新修規章試圖在網路中立原則下,建立合理的管制措施規範。但該規章仍存有一些爭議性,包括: 1.為了讓醫療用途等網路流量能被優先處理,該規章允許ISP針對類別差異給予不同傳輸速度。但類別之區分方式仍不夠明確,可能導致ISP得恣意實施差別待遇。 2.法條未限制網路公司與電信業者結盟,ISP可依據商業契約讓某些網路使用不計入資費的使用量(zero rating),可能導致大公司占據競爭優勢,不利新興公司的發展。 3.有關加密資料之類別決定,ISP須進行解密查看才知道該加密資料符合何種傳輸類別,但此舉會引發資料保護之問題,因此加密資料之傳輸問題仍尚待解決。 4.為了促使網路暢通,該規章允許網路塞車時或有塞車之虞時,ISP可進行流量管制。但後續必須清楚界定網路塞車之虞的情況,以避免賦予ISP過多管制權限。 歐盟新修規章已完成立法,後續將交由歐盟電信管制機關(Body of European Regulators for Electronic Communications,BEREC)訂立細部辦法,以拘束歐盟各會員國的網路服務業者,同時各會員國也必須修改國內相關法規,以符合該規章之規範。
國際貨幣組織呼籲各國共同擬定監管加密貨幣之框架加密貨幣經濟襲捲全球,國際貨幣組織(IMF)總裁Christine Lagarde於官方網站發表對加密貨幣經濟可能涉及之風險及未來各界應如何共同應對之看法;認為加密貨幣有無限發展之潛力,其所應用之技術不僅提升金融產業發展,更為其他領域注入創新技術,惟發展之同時,潛在不法風險逐漸浮上檯面,加密貨幣不受中央銀行監管,並因其匿名性而容易成為洗錢、資恐的全新金融犯罪工具;另外,全球加密貨幣交易活動越發頻繁,交易價格的極端波動性,以及與傳統金融體系之間的關聯不明確,皆可能危害全球金融之穩定性。 Christine Lagarde認為加密貨幣交易之監管,與監管傳統金融所制定之政策並無二致,皆應以「確保金融穩定性和保護消費者」為首要政策,因此,提出幾個應對方向: 將加密貨幣創新技術用於監管行為技術中 (1)分散式帳本技術 (DLT) 為加快市場參與者與監管機構之間的訊息共享,確保用戶交易安全,可將此技術用來建立註冊標準,驗證客戶資訊及數位簽章;各政府機關亦可利用此技術所獲得之相關數據減少逃漏稅現象。 (2)生物辨識、人工智慧與加密技術 將生物辨識、人工智慧與加密等技術來強化數位安全,及時辨識可疑交易行為,有效抑止非法交易。 全球應共同發展出監管框架,跨國合作打擊不法 有鑑於加密貨幣的流通是全球性的,全球應共同發展出監管框架,2018年G20高峰會中加密貨幣也納入討論議題,藉由凝聚國際間共識,避免創新科技淪為犯罪工具。 面對加密貨幣價格的波動性,各界有不同解讀,有認為這只是一時狂熱所造成,終將泡沫化;亦有認為就如同物聯網發展初期革命一般,加密貨幣將破壞整個金融體系,取代現有的法定貨幣;惟Christine Lagarde表示事實應該是介於這兩個極端想法之間,各界不應片面否定加密貨幣,應採包容之看法迎接這項新科技,更應正視其潛在之危險。 國內現已有多家虛擬貨幣交易平台實際運營,為保護消費者權益,避免國內虛擬交易平台淪為洗錢、資恐行動之犯罪溫床,日前法務部已邀集金管會、內政部、央行、警政署、調查局等單位進行跨部會協商,擬於收集各界意見後,修訂相關規範,以利我國對於虛擬貨幣監管之政策方向與範圍能符合各方期待。
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件2018年5月,英國資訊專員辦公室(Information Commissioner’s Office, ICO)針對歐盟GDPR有關資料自動化決策與資料剖析之規定,公布了細部指導文件(detailed guidance on automated decision-making and profiling),供企業、組織參考。 在人工智慧與大數據分析潮流下,越來越多企業、組織透過完全自動化方式,廣泛蒐集個人資料並進行剖析,預測個人偏好或做出決策,使個人難以察覺或期待。為確保個人權利和自由,GDPR第22條規定資料當事人應有權免受會產生法律或相類重大效果的單純自動化處理決策(a decision based solely on automated processing)之影響,包括對個人的資料剖析(profiling),僅得於三種例外情況下進行單純自動化決策: 為簽訂或履行契約所必要; 歐盟或會員國法律所授權; 基於個人明示同意。 英國2018年新通過之資料保護法(Data Protection Act 2018)亦配合GDPR第22條規定,制定相應國內規範,改變1998年資料保護法原則上容許資料自動化決策而僅於重大影響時通知當事人之規定。 根據指導文件,企業、組織為因應GDPR而需特別留意或做出改變的事項有: 記錄資料處理活動,以幫助確認資料處理是否符合GDPR第22(1)條單純自動化決策之定義。 倘資料處理涉及資料剖析或重大自動化決策,應進行資料保護影響評估(Data Protection Impact Assessment, DPIA),判斷是否有GDPR第22條之適用,並及早了解相關風險以便因應處理。 提供給資料當事人的隱私權資訊(privacy information),必須包含自動化決策之資訊。 應確保組織有相關程序能接受資料當事人的申訴或異議,並有獨立審查機制。 指導文件並解釋所謂「單純自動化決策」、「資料剖析」、「有法律效果或相類重大影響」之意義,另就可進行單純自動化決策的三種例外情況簡單舉例。此外,縱使符合例外情況得進行單純自動化決策,資料控制者(data controller)仍必須提供重要資訊(meaningful information)給資料當事人,包括使用個人資料與自動化決策邏輯上的關聯性、對資料當事人可能產生的結果。指導文件亦針對如何向資料當事人解釋自動化決策處理及提供資訊較佳的方式舉例說明。
美國衛生及公共服務部提出策略草案,以緩解健康資訊科技對醫護人員所造成的負擔美國衛生及公共服務部(U.S. Department of Health and Human Services, HHS)依21世紀醫療法(21st Century Cures Act)於2018年11月28日公布由國家健康資訊技術協調辦公室(Office of the National Coordinator for Health Information Technology, ONC)與美國聯邦醫療保險和補助服務中心(Centers for Medicare & Medicaid Services, CMS)共同起草的「減輕使用健康資訊科技及電子健康紀錄所造成的管制與行政負擔之策略(Strategy on Reducing Regulatory and Administrative Burden Relating to the Use of Health IT and EHRs)」草案,以緩解健康資訊科技(Health Information Technology)於臨床使用的負擔。 雖然資通訊科技的進步促進許多產業的發展,卻在醫療產業造成應用上的問題,如臨床醫師會花費更多的時間、人力成本於登載電子健康紀錄,而壓縮與患者溝通的時間。為改善這些問題,此草案針對臨床紀錄建檔(Clinical Documentation)、健康資訊科技的可用性與使用者經驗(Health IT Usability and the User Experience)、電子健康紀錄報告(EHR Reporting)、及公共衛生報告(Public Health Reporting)四大議題提出相對應的策略及建議採用的措施。並以三個主要方向為討論主軸:降低臨床醫師紀錄患者健康資訊所耗費的人力時間成本、降低臨床醫師、醫院與健康照護機構(health care organizations)為達到報告規範標準而耗費的人力時間成本、及促進電子健康紀錄在使用上的功能性與直覺性(functionality and intuitiveness),以期能促進醫病溝通,並進一步完善健康照護環境。此草案在2019年1月28日前開放公眾提出建議,並預計於2019年年底公布最終版本。