經濟合作與發展組織發布《促進AI可歸責性:在生命週期中治理與管理風險以實現可信賴的AI》
經濟合作與發展組織(Organisation for Economic Co-operation and Development, OECD)於2023年2月23日發布《促進AI可歸責性:在生命週期中治理與管理風險以實現可信賴的AI》(Advancing accountability in AI: Governing and managing risks throughout the lifecycle for trustworthy AI)。本報告整合ISO 31000:2018風險管理框架(risk-management framework)、美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)人工智慧風險管理框架(Artificial Intelligence Risk Management Framework, AI RMF)與OECD負責任商業行為之盡職調查指南(OECD Due Diligence Guidance for Responsible Business Conduct)等文件,將AI風險管理分為「界定、評估、處理、治理」四個階段:
1.界定:範圍、背景、參與者和風險準則(Define: Scope, context, actors and criteria)。AI風險會因不同使用情境及環境而有差異,第一步應先界定AI系統生命週期中每個階段涉及之範圍、參與者與利害關係人,並就各角色適用適當的風險評估準則。
2.評估:識別並量測AI風險(Assess: Identify and measure AI risks)。透過識別與分析個人、整體及社會層面的問題,評估潛在風險與發生程度,並根據各項基本價值原則及評估標準進行風險量測。
3.處理:預防、減輕或停止AI風險(Treat: Prevent, mitigate, or cease AI risks)。風險處理考慮每個潛在風險的影響,並大致分為與流程相關(Process-related)及技術(Technical)之兩大處理策略。前者要求AI參與者建立系統設計開發之相關管理程序,後者則與系統技術規格相關,處理此類風險可能需重新訓練或重新評估AI模型。
4.治理:監控、紀錄、溝通、諮詢與融入(Govern: Monitor, document, communicate, consult and embed)。透過在組織中導入培養風險管理的文化,並持續監控、審查管理流程、溝通與諮詢,以及保存相關紀錄,以進行治理。治理之重要性在於能為AI風險管理流程進行外在監督,並能夠更廣泛地在不同類型的組織中建立相應機制。
許嘉芳
法律研究員 編譯整理
Organisation for Economic Co-operation and Development [OECD], Advancing accountability in AI: Governing and managing risks throughout the lifecycle for trustworthy AI (Feb. 23, 2023), https://www.oecd-ilibrary.org/docserver/2448f04b-en.pdf?expires=1683078463&id=id&accname=guest&checksum=030F1E26850085E4A7AC6B1EB60266A1 (last visited May 3, 2023).
Advancing accountability in AI, Organisation for Economic Co-operation and Development, https://oecd.ai/en/accountability (last visited May 3, 2023).
陳箴,〈美國國家標準與技術研究院公布人工智慧風險管理框架(AI RMF 1.0)〉,2023年2月,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8974(最後瀏覽日:2023/05/03)。
張瀠心,〈歐盟執委會通過關於《人工智慧責任指令》之立法提案〉,2023年1月,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8958(最後瀏覽日:2023/05/03)。
2022年11月美國OpenAI公司推出人工智慧大型語言模型ChatGPT,提供全球使用者透過輸入文本方式向ChatGPT提出問題,雖營業秘密不需絕對保密,惟是否會「因向ChatGPT揭露營業秘密而使營業秘密喪失了秘密性」? 依OpenAI公司「非API訪問數據政策」規定,ChatGPT透過OpenAI公司的AI訓練人員審核「使用者上傳至ChatGPT的資訊」,提供ChatGPT反饋,強化ChatGPT進行有效的學習,讓ChatGPT模仿人類語言回覆使用者所提出的問題。在AI訓練人員未將「使用者上傳至ChatGPT的資訊」交由ChatGPT訓練、學習前(上次訓練是在2021年9月),此聊天內容不會成為ChatGPT給其他使用者的回答,此時資訊對於公眾仍具秘密性。依據ChatGPT的使用條款第5(a)條之單方保密義務規定:「OpenAI公司、其子公司及其他第三方公司可能賦予使用者『機密資訊的接觸權限』,但使用者僅限於使用條款所允許的服務中使用該些機密資訊,不得向第三方揭露該機密資訊,且使用者至少應採取合理的注意保護該機密資訊。所謂機密資訊係指OpenAI公司、其子公司及其他第三方公司(1)指定的非公開資訊,或(2)合理情況下,被認定為機密資訊者,比如軟體、規格及其他非公開商業資訊。」。即ChatGPT對於使用者輸入的聊天內容不負保密義務。 公司將程式碼、會議紀錄等敏感資訊與ChatGPT共享,不必然屬於「因揭露營業秘密而使營業秘密喪失秘密性」,考量訓練數據量大,秘密性取決於周遭環境與揭露性質,例如: 1.揭露的資訊類型,比如飲料配方可能會比客戶名單更容易取得。 2.揭露的環境,比如競爭對手、大眾是否能提出具體問題,以致能取得他人聊天內容的營業秘密。 為在ChatGPT的趨勢下確保營業秘密的秘密性,建議企業採取的管理策略如下: 1.透過「資訊分類」以識別可共享的資訊。 2.審核涉及敏感資訊的協議、公司政策及供應商契約。 3.採取實體、數位的資訊保密措施,並留意尊重員工隱私,比如限制接觸某些網站或應用程式,應留意員工的手機是否能繞過此限制。 4.建立公司保密文化,如透過公司培訓、新人入職教育訓練,定期提醒其應負擔的保密義務。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。
美國創新戰略推動下科技政策與重要法案之觀察 日本通過《不正競爭防止法》修正案規範元宇宙商品侵權情形日本國會於2023年6月通過《不正競爭防止法》修正案,新增不正競爭行為態樣,未來在元宇宙中仿製他人商品之虛擬商品或展示、轉讓等行為,可能構成不正競爭行為,健全元宇宙中發生商品侵權的法律應對基礎,預計於2024年6月13日施行。 在元宇宙中仿製他人商品並在元宇宙中展示、轉讓,屬於透過電信線路導致與他人商品混淆、以及使用相似商品描述進行轉讓、交付等行為,但依據《不正競爭防止法》現行第2條第1項第1號及第2號規定,對於仿製商品的轉讓出租行為缺乏透過電信線路態樣的實質規範。商標法對於仿冒商標雖有一定的規範,但若只是仿冒商品設計未觸及商標侵權,受害人無法依商標法對其請求停止侵權或損害賠償。因此本次修法擬補充元宇宙商品侵權的法規範,使在元宇宙轉讓出租仿製商品直接構成不正競爭行為,提供仿製商品在元宇宙轉讓出租所產生損害的請求權基礎。 本次修法新增透過「電信線路」進行不正競爭行為的態樣,根據新修訂《不正競爭防止法》第2條第1項第3號規定,透過電信線路提供轉讓、出租、以轉讓或出租為目的的展示、出口、進口、模仿他人商品型態等行為列為不正競爭行為,受害人可依據《不正競爭防止法》第3條向侵權人請求終止或防止侵權,或依同法第4條向侵權人請求損害賠償。 元宇宙的發展使得現實空間的消費活動轉移到虛擬空間。在元宇宙中,企業和用戶都可以創造虛擬物品並銷售給他人,並在元宇宙中開設虛擬商店,同時在現實與元宇宙提供商品。隨著元宇宙的發展,仿製商品的問題也凸顯出來,元宇宙的智慧財產權維護,需要法律提供保護,使受害人能夠透過法律請求終止侵權或損害賠償。日本的修法提供受害人解決侵權的法律基礎,不僅是保護受害人的權利,也保護元宇宙中的競爭環境,減少仿製商品對競爭的侵蝕,健全競爭環境。
打擊網路犯罪 歐美強化資料保存法制繼歐盟於 2006 年通過資料保存指令( Directive on the retention of data )後,美國司法部亦開始關注資料保存的議題,但不同於英歐盟資料保存之目的乃著眼於對抗恐怖主義及打擊嚴重犯罪,美國資料保存的目地則偏重於根除兒童色情相關的問題。 為因應科技時代的犯罪, 檢察官常需要透過 ISP 業者提供客戶通聯紀錄等資訊以協助犯罪偵察 , 因此美國在 United States Code, Section 2703(f) 便早已規定 , 有線或電子通信服務業者必須配合政府要求提供調查犯罪所須的資訊。但由於該法並未明白要求業者應主動收集哪些項資訊,因此美國 ISP 業者僅保存與商業利益有關之網路使用記錄,美國司法部長 Alberto Gonzales 4 月 20 日於國家兒童權益保護中心( National Center for Missing and Exploited Children , NCMEC ) 表示,目前 ISP 業者能提供的資料相當有限,這相當程度地阻礙犯罪調查工作的進行,因此他認為應研擬更利於法庭證據取得之資料保存法令。 為避免人權團體以資料保存侵害個人的隱私權為由,而妨礙立法的進度,因此美國目前資料保存法令的推動方向可能有兩種不同的發展方向,其一是僅由 ISP 業者記錄特定期間內民眾的活動紀錄,另一種方向則是與歐盟相似,保存電話通聯、網頁瀏覽以及 mail 、即時通訊等內容。