經濟合作與發展組織發布《促進AI可歸責性：在生命週期中治理與管理風險以實現可信賴的AI》

　　歐盟執委會（European Commission）於去（2011）年12月公布「2050能源發展藍圖（Energy Roadmap 2050: a secure, competitive and low-carbon energy sector is possible）」，主要係執委會承諾將推動歐盟於2050年前達成溫室氣體80-95%減量目標（相較於1990年排放基準），建立具競爭力之低碳經濟社會，所以規劃擬訂「2050能源發展藍圖」，期望能導引歐盟走向「無碳化目標（Decarbonisation Objective）」，同時並確保能源供應安全及保持國際競爭優勢。 　　並且，奠基於之前「歐洲2020發展策略（Europe 2020）」所設立推動「20-20-20」溫室氣體減量及能源效率目標，歐盟執委會認為進一步擬訂「後2020時期策略（Post-2020 Strategies）」是非常亟需的，並且認為以現有規劃持續推動，2050年僅將達成減少40％減量目標，對於歐盟建立成為無碳化社會之目標，是非常不足夠的，所以擬訂此一發展藍圖。 　　「2050能源發展藍圖」主要設定了五項無碳化發展願景（Scenarios）：包含提高能源效率（High Energy Efficiency）、多元化能源技術（Diversified Supply Technologies）、提昇再生能源比例（High Renewable Energy Sources）、 因應碳捕捉發展（Delayed CCS）、 降低核能發電（Low Nuclear）等，並對於「2020至2050發展規劃（Moving from 2020 to 2050）」，研析諸如提昇能源節省與管理需求（Energy Saving and Managing Demand）、移轉使用再生能源發電（Switching to Renewable Energy Sources）、天然氣過渡重要角色（Gas Plays a Key Role in the Transition）、智慧能源技術及儲存發展（Smart Technology, Storage and Alternative Fuels）、電力管理新思考（New Ways to Manage Electricity）、整合區域發電資源與集中系統（Integrating Local Resources and Centralised Systems）等重要議題。未來歐盟執委會如何進一步依據「2050能源發展藍圖」規劃制訂推動措施及配套機制，值得持續觀察研析。

　　考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法，新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act )，明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。 　　依據舊的諮詢指引，新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下，蒐集、使用或揭露NRIC號碼。因此，不少企業活動習慣蒐集利用民眾的NRIC號碼，包括零售商店所舉辦的抽獎活動。然而，在PDPC提出新的諮詢指引後，企業可蒐集利用NRIC號碼的情況受到大幅限縮。 　　由於NRIC號碼與個人資訊息息相關且具不可取代性，無差別地蒐集利用將增加資料被用以從事非法活動之風險，故新的諮詢指引闡明，原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC，除非有下列兩種例外情況之一：(一)法律要求；(二)為確實證明當事人身分所必要。第一種例外情況，雖因法律要求無須取得當事人同意，但企業仍應踐行告知義務，使當事人知悉NRIC號碼被蒐集、使用或揭露之目的，並確保企業內已採行適當安全措施，防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意，除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。 　　此外，PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況，以情境案例方式於諮詢指引中說明供企業參考，另給予12個月的審視期間，使企業得修正組織內部政策並尋找可行替代方案。

　　英國資訊委員會（Information Commissioner’s Office, 以下簡稱ICO）最近對於2014年「巨量資料與個資隱私保護報告」（Big Data and Data Protection）進行公眾意見徵集。其中有意見認為ICO過度聚焦於以取得資料當事人同意為前提，才得以進行巨量資料統計分析技術應用；且未充分認知當資料控制者（企業或組織）具合法權益（legitimate interest）時，可能得以處理個人資料的可能。意者並進一步建議當資料控制者（企業或組織）符合合法權益時，應可將個人資料用於新用途，強調這種依據合法權益所進行之資料處理，應著重於該資料控制者（企業或組織）對於個人資料的責任（accountability），而非各別取得資料當事人的同意。 　　對此，ICO回覆，認為巨量資料統計分析技術的應用，應在資料控制者（企業或組織）的合法權益、與資料當事人的權利、自由與合法權益間，取得平衡。依據歐盟資料保護指令（Data Protection Directive）與英國資料保護法（Data Protection Act）的規定，資料控制者（企業或組織）得於具法定依據時，處理個人資料，例如取得個資當事人的同意處理其個人資料，或資料控制者（企業或組織）具法定義務處理個人資料（例如法院命令）。除此之外，企業或組織還可以主張於其對於個人資料具合法權益（legitimate interest），主張進一步處理個人資料（新用途），除非資料處理對於資料當事人的權利、自由與合法權益造成過份偏頗（unduly prejudice）的損害。ICO亦同意，資料的應用應著重監督資料控制者（企業或組織）與加強其責任（accountability）。 　　ICO除再度闡明在「巨量資料與個資隱私保護報告」，資料控制者（企業或組織）必須公平且通透（transparent）地處理個人資料，對於當資料控制者（企業或組織）發現個人資料的新用途時，亦明列出得依據先前所取得之資料當事人的同意進行個人資料的各種情況。 　　ICO建議，資料控制者（企業或組織）應當先行檢視資料當事人是否確實同意其個人資料的處理，或該資料控制者具處理個人資料之其法定依據。再者，如果不具上述二者之一，資料控制者（企業或組織）若需將使用個人資料於新用途，則必須另行取得資料當事人的同意，始得為之。此時，必須同時評估為了新用途所為之個人資料處理，是否與資料蒐集之特定目的相容（compatible）。 　　至於，判斷新用途是否與個人資料蒐集與處理之特定目的相容，部分取決於個人資料處理是否公平（fair）。這意味著資料控制者（企業或組織）必須對於為新用途所為之個資處理，提出對於資料當事人隱私影響之評估，以及該個資的使用與處理，是否仍合於資料當事人的合理期待。

2025年11月5日，歐盟執委會啟動《標示與標籤人工智慧生成內容之行為準則》（a code of practice on marking and labelling AI-generated content，下稱行為準則）之相關工作，預計將於2026年5月至6月間發布行為準則。此行為準則與《歐盟人工智慧法案》（EU AI Act）之透明度義務規定相關。這些規定旨於透過促進對資訊生態系的信任，降低虛假訊息、詐欺等風險。 《歐盟人工智慧法案》第50條第2項及第4項之透明度義務，分別規定 1. 「『提供』生成音檔、圖像、影片或文本內容的AI系統（包括通用AI系統）」的提供者（Providers），應確保其輸出係以機器可讀的形式標示（marked），且可被識別屬於AI所生成或竄改（manipulated）的內容。 2. 「『使用』AI系統生成或竄改以構成深度偽造之影像、音訊或影片內容」的部署者（Deployers），應揭露該內容係AI所生成或竄改。 前述透明度義務預計於2026年8月生效。 後續由歐盟AI辦公室之獨立專家透過公眾資訊與徵選利害關係人意見等方式，推動起草行為準則。此行為準則不具強制性，旨於協助AI系統提供者更有效地履行其透明度義務，且可協助使用深偽技術或AI生成內容的使用者清楚地揭露其內容涉及AI參與，尤其是當向公眾通報公共利益相關事項時。 AI應用蓬勃發展，同時AI也可能生成錯誤、虛構的內容，實務上難以憑藉個人的學識經驗區分AI幻覺。前文提及透過標示AI生成的內容，以避免假訊息孳生。倘企業在資料源頭以標示等手段控管其所使用之AI的訓練資料，確保資料來源真實可信，將有助於AI句句有理、正向影響企業決策。企業可以參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範（EDGS）》，從資料源頭強化數位資料生命週期之管理。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）