落實完善數位資料管理機制,有助於降低AI歧視及資料外洩風險

落實完善數位資料管理機制,
有助於降低AI歧視及資料外洩風險

資訊工業策進會科技法律研究所
2023年07月07日

近年來,科技快速發展,AI(人工智慧)等技術日新月異,在公私部門的應用日益廣泛,而且根據美國資訊科技研究與顧問公司Gartner在2023年5月發布的調查指出,隨著由OpenAI開發的ChatGPT取得成功,更促使各領域對於AI應用的高度重視與投入[1],與此同時,AI歧視及資料外洩等問題,亦成為社會各界的重大關切議題。

壹、事件摘要

目前AI科技發展已牽動全球經濟發展,根據麥肯錫公司近期發布的《生成式人工智慧的經濟潛力:下一個生產力前沿(The next productivity frontier)》研究報告指出,預測生成式AI(Generative AI)有望每年為全球經濟增加2.6兆至4.4兆的經濟價值[2]。同時在美國資訊科技研究與顧問公司Gartner對於超過2500名高階主管的調查中,45%受訪者認為ChatGPT問世,增加其對於AI的投資。而且68%受訪者認為AI的好處大於風險,僅有5%受訪者認為風險大於好處[3]。然而有社會輿論認為AI的判斷依賴訓練資料,將可能複製人類偏見,造成AI歧視問題,而且若程式碼有漏洞或帳戶被盜用時,亦會造成資料外洩問題。

貳、重點說明

首先,關於AI歧視問題,以金融領域為例,近期歐盟委員會副主席Margrethe Vestager強調若AI用於可能影響他人生計的關鍵決策時,如決定是否能取得貸款,應確保申請人不受性別或膚色等歧視[4],同時亦有論者認為若用於訓練AI的歷史資料,本身存有偏見問題,則可能導致系統自動拒絕向邊緣化族群貸款,在無形之中加劇,甚至永久化對於特定種族或性別的歧視[5]

其次,關於資料外洩問題,資安公司Group-IB指出因目前在預設情況下,ChatGPT將保存使用者查詢及AI回應的訊息紀錄,若帳戶被盜,則可能洩露機敏資訊。據統計在2022年6月至2023年5月間,在亞太地區有近41000個帳戶被盜,而在中東和非洲地區有近25000個帳戶被盜,甚至在歐洲地區也有近17000個帳戶被盜[6]。另外在2023年3月時,ChatGPT除了發生部分用戶能夠檢視他人聊天紀錄標題的問題外,甚至發生個人資料外洩問題,即用戶可能知悉他人的姓名、電子郵件,付款地址,信用卡到期日及號碼末四碼等資料[7]

參、事件評析

對於AI歧視及資料外洩等問題,應透過落實完善數位資料治理與管理機制,以降低問題發生的風險。首先,在收集訓練資料時,為篩選適合作為模型或演算法基礎的資料,應建立資料評估或審查機制,減少或避免使用有潛在歧視問題的資料,以確保分析結果之精確性。

其次,不論對於訓練資料、分析所得資料或用戶個人資料等,均應落實嚴謹的資料保密措施,避免資料外洩,如必須對於資料進行標示或分類,並依照不同標示或分類,評估及採取適當程度的保密措施。同時應對於資料進行格式轉換,以無法直接開啟的檔案格式進行留存,縱使未來可能不慎發生資料外洩,任意第三人仍難以直接開啟或解析資料內容。甚至在傳送帳戶登入訊息時,亦應採取適當加密傳送機制,避免遭他人竊取,盜取帳戶或個人資料。

財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境完善,於2021年7月發布「重要數位資料治理暨管理制度規範(Essential Data Governance and Management System,簡稱EDGS)」,完整涵蓋數位資料的生成、保護與維護,以及存證資訊的取得、維護與驗證的流程化管理機制,故對於不同公私部門的AI相關資料,均可參考EDGS,建立系統性數位資料管理機制或強化既有機制。

本文同步刊登於TIPS網站(https://www.tips.org.tw

[1]Gartner, Gartner Poll Finds 45% of Executives Say ChatGPT Has Prompted an Increase in AI Investment (May 3, 2023), https://www.gartner.com/en/newsroom/press-releases/2023-05-03-gartner-poll-finds-45-percent-of-executives-say-chatgpt-has-prompted-an-increase-in-ai-investment (last visited June 30, 2023).

[2]McKinsey, The economic potential of generative AI: The next productivity frontier (June 14, 2023), https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-economic-potential-of-generative-AI-the-next-productivity-frontier#introduction (last visited June 30, 2023).

[3]Gartner, supra note 1.

[4]Zoe Kleinman, Philippa Wain & Ashleigh Swan, Using AI for loans and mortgages is big risk, warns EU boss (June 14, 2023), https://www.bbc.com/news/technology-65881389 (last visited June 30, 2023).

[5]Ryan Browne & MacKenzie Sigalos, A.I. has a discrimination problem. In banking, the consequences can be severe (June 23, 2023), https://www.cnbc.com/2023/06/23/ai-has-a-discrimination-problem-in-banking-that-can-be-devastating.html (last visited June 30, 2023).

[6]Group-IB, Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list (June 20, 2023), https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ (last visited June 30, 2023).

[7]OpenAI, March 20 ChatGPT outage: Here’s what happened (Mar. 24, 2023),https://openai.com/blog/march-20-chatgpt-outage (last visited June 30, 2023).

你可能會想參加
※ 落實完善數位資料管理機制,有助於降低AI歧視及資料外洩風險, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9013&no=57&tp=1 (最後瀏覽日:2026/07/10)
引註此篇文章
你可能還會想看
瑞士ESG新法規正式生效

  全球多個國家目前正在促進企業推動「環境、社會和公司治理」(Environment, Social Responsibility, Corporate Governance, ESG)事務,以瑞士為例,有關ESG的新法規於2022年1月1日正式生效。   在2022年1月1日生效的提案中,主要是對《瑞士債法典》(The Swiss Code of Obligations, CO)提出修正,包含「涉及公共利益(public interest)的企業應提出ESG事項報告」與「企業應就有無使用童工及衝突地區的礦物金屬進行盡職調查(Due Diligence)」,分別說明如下: 一、公共利益企業應提出ESG事項報告 依《瑞士債法典》第32章新增的第6節「非財務事項之透明度」(Transparency on Non-Financial Matters)規定,符合條件的上市公司或受監管實體等公共利益企業,每年應提出一份單獨的非財務事項報告,內容須涵蓋環境事項、社會問題、員工相關問題、尊重人權和打擊腐敗等議題,以及公司對該等議題所提出的政策措施、風險評估和實施績效等資訊。此報告經企業內部最高管理層與治理機構批准後,須立即於網路上公開,並確保至少十年內可供公眾存取。 二、企業應就有無使用童工及衝突地區的礦物金屬進行盡職調查 依《瑞士債法典》第32章新增的第8節「與來自受衝突影響地區的礦物金屬以及童工相關的盡職調查和透明度」(Due Diligence and Transparency in relation to Minerals and Metals from Conflict-Affected Areas and Child Labour)規定,所在地、總部或主要營業地點位於瑞士的企業,如在瑞士自由流通或加工來自受衝突影響和高風險地區(conflict-affected and high-risk areas)的特定礦物或金屬,抑或產品或服務被合理懷疑是使用童工製造或提供而成,原則上即須遵守供應鏈中的盡職調查義務,每年亦應將其遵守情況編制成報告。此報告應在會計年度結束後的六個月內於網路上發布,並確保至少十年內可供公眾存取。

日本公布設立AI安全研究所與著手訂定AI安全性評鑑標準

日本於2023年12月1日舉辦G7數位技術委員會(G7デジタル・技術大臣会合),由日本數位廳、總務省、經濟產業省共同會晤G7會員國代表,基於人工智慧(Artificial Intelligence,下稱AI)可能帶給全球創造性、革命性的轉變,同時也可能伴隨侵害著作權與擴散假訊息的風險,尤其是生成式AI可能對經濟、社會影響甚鉅,因此針對如何妥善使用AI技術,G7全體會員國共同訂定《廣島AI進程》(広島AIプロセス)文件,其聲明內容簡述如下: 1.訂定涵蓋《廣島AI進程》之政策框架(Framework) 2.訂定涵蓋AI設計、系統開發、規劃、提供與使用等所有與AI有關人員,(All AI actors, when and as applicable, and appropriate, to cover the design, development, deployment, provision and use of advanced AI systems)適用之《廣島AI進程》國際標準(Principle) 3.針對開發高階AI系統之組織,訂定可適用之國際行為準則(Code of Conduct) 為此,日本內閣府於2024年2月14日公布,於經濟產業省政策執行機關—獨立行政法人資訊處理推動機構(独立行政法人情報処理推進機構,下稱IPA)轄下設立日本AI安全研究所(Japan AI Safety Institute,下稱AISI),作為今後研擬AI安全性評鑑標準(據以特定或減少AI整體風險)與推動方式之專責機構,以實現安心、安全以及可信賴之AI為目標。AISI所職掌的業務範圍如下: 1.進行AI安全性評鑑之相關調查 2.研擬AI相關標準 3.研擬安全性評鑑標準與實施方式 4.研擬與各國AI專責機關進行國際合作,例如:美國AI安全研究所(U.S. Artificial Intelligence Safety Institute, USAISI) 另一方面,IPA將以內部人才招聘作為AISI成員之任用方式,預計組成約數十人規模的團隊。日本以與G7會員國共識為基礎,採專責機關—AISI進行研究與規劃,並推動日後擬定AI相關使用規範與安全性評鑑標準,據以實現AI應用安全之目標。我國對於AI技術之應用領域,未來應如何訂定使用安全規範,將涉及專業性與技術性事項之整體性規劃,日本因應AI課題而採行的做法值得我國未來持續關注。

BSI公布個人資料管理系統標準之草案

  英國國家標準組織(British Standard Institution)於2009年1月8日公布個人資料保護管理系統標準(標準標號為DPC BS 10012)之草案,使組織在個人資料儲存管理工作上符合個人資料保護法(Data Protection Act 1998,DPA)之要求。   有鑑於利用個人資料管理系統(personal information management system,PIMS)管理業務上取得之資料之情形日益增多,而觀諸該資料之性質,通常多為DPA所規範定義的「個人資料」。因此,為使個人資料管理有其標準規範,並得以運用在任何規模之公私部門,使組織內之個人資料管理系統符合DPA之規範且具有一定程度之安全性,BSI試圖提出有關個人資料管理一致性之標準規範,以供組織在個人資料處理程序工作上之遵循。該標準規範如同BS EN ISO 9001:2000之品質管理系統(Quality Management System)及BS ISO/EC 27001:2005之資訊安全管理系統標準,以PDCA週期(Plan-Do-Check-Act)進行規劃,並透過執行所規範之流程落實個人資料之保護。   目前該草案已經公布,BSI於2009年3月31日前將接受各界對於該草案之諮詢及舉辦公聽會,以求標準規範之完善。

歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估

  歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含:   今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。   至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障?   而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)?   於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」

TOP