用ChatGPT找法院判決?從Roberto Mata v. Avianca, Inc.案淺析生成式AI之侷限
用ChatGPT找法院判決?從Roberto Mata v. Avianca, Inc.案淺析生成式AI之侷限
資訊工業策進會科技法律研究所
2023年09月08日
生成式AI是透過研究過去資料,以創造新內容和想法的AI技術,其應用領域包括文字、圖像及影音。以ChatGPT為例,OpenAI自2022年11月30日發布ChatGPT後,短短二個月內,全球月均用戶數即達到1億人,無疑成為民眾日常生活中最容易近用的AI科技。
惟,生成式AI大量使用後,其中的問題也逐漸浮現。例如,ChatGPT提供的回答僅是從所學習的資料中統整歸納,無法保證資料的正確性。Roberto Mata v. Avianca, Inc.案即是因律師利用ChatGPT撰寫訴狀,卻未重新審視其所提供判決之正確性,以致後續引發訴狀中所描述的判決不存在爭議。
壹、事件摘要
Roberto Mata v. Avianca, Inc.案[1]中,原告Roberto Mata於2019年8月搭乘哥倫比亞航空從薩爾瓦多飛往紐約,飛行過程中膝蓋遭空服員的推車撞傷,並於2022年2月向法院提起訴訟,要求哥倫比亞航空為空服員的疏失作出賠償;哥倫比亞航空則主張已超過《蒙特婁公約》(Montreal Convention)第35條所訂之航空器抵達日起兩年內向法院提出損害賠償之請求時效。
R然而,法院審理過程中發現原告訴狀內引用之六個判決無法從判決系統中查詢,進而質疑判決之真實性。原告律師Steven A. Schwartz因而坦承訴狀中引用的六個判決是ChatGPT所提供,並宣稱針對ChatGPT所提供的判決,曾多次向ChatGPT確認該判決之正確性[2]。
貳、生成式AI應用之潛在風險
雖然運用生成式AI技術並結合自身專業知識執行特定任務,可能有助於提升效率,惟,從前述Roberto Mata v. Avianca, Inc.案亦可看出,依目前生成式AI技術之發展,仍可能產生資訊正確性疑慮。以下彙整生成式AI應用之8大潛在風險[3]:
一、能源使用及對環境危害
相較於傳統機器學習,生成式AI模型訓練將耗費更多運算資源與能源。根據波士頓大學電腦科學系Kate Saenko副教授表示,OpenAI的GPT-3模型擁有1,750億個參數,約會消耗1,287兆瓦/時的電力,並排放552噸二氧化碳。亦即,每當向生成式AI下一個指令,其所消耗的能源量相較於一般搜尋引擎將可能高出4至5倍[4]。
二、能力超出預期(Capability Overhang)
運算系統的黑盒子可能發展出超乎開發人員或使用者想像的隱藏功能,此發展將會對人類帶來新的助力還是成為危險的阻力,則會隨著使用者之間的相互作用而定。
三、輸出結果有偏見
生成式AI通常是利用公開資料進行訓練,若輸入資料在訓練時未受監督,而帶有真實世界既存的刻板印象(如語言、種族、性別、性取向、能力、文化等),據此建立之AI模型輸出結果可能帶有偏見。
四、智慧財產權疑慮
生成式AI進行模型訓練時,需仰賴大量網路資料或從其他大型資料庫蒐集訓練資料。然而,若原始資料來源不明確,可能引發取得資料未經同意或違反授權條款之疑慮,導致生成的內容存在侵權風險。
五、缺乏驗證事實功能
生成式AI時常提供看似正確卻與實際情形不符的回覆,若使用者誤信該答案即可能帶來風險。另外,生成式AI屬於持續動態發展的資訊生態系統,當產出結果有偏誤時,若沒有大規模的人為干預恐難以有效解決此問題。
六、數位犯罪增加與資安攻擊
過去由人工產製的釣魚郵件或網站可能受限於技術限制而容易被識破,然而,生成式AI能夠快速建立具高度說服力的各種擬真資料,降低詐騙的進入門檻。又,駭客亦有可能在不熟悉技術的情況下,利用AI進一步找出資安弱點或攻擊方法,增加防禦難度。
七、敏感資料外洩
使用雲端服務提供商所建立的生成式AI時,由於輸入的資料存儲於外部伺服器,若要追蹤或刪除有一定難度,若遭有心人士利用而導致濫用、攻擊或竄改,將可能產生資料外洩的風險。
八、影子AI(Shadow AI)
影子AI係指開發者未知或無法控制之AI使用情境。隨著AI模型複雜性增加,若開發人員與使用者未進行充分溝通,或使用者在未經充分指導下使用 AI 工具,將可能產生無法預期之風險。
參、事件評析
在Roberto Mata v. Avianca, Inc.案中,法院關注的焦點在於律師的行為,而非對AI技術使用的批判。法院認為,隨著技術的進步,利用可信賴的AI工具作為協助用途並無不當,惟,律師應踐行其專業素養,確保所提交文件之正確性[5]。
當AI科技發展逐漸朝向自主與獨立的方向前進,仍需注意生成式AI使用上之侷限。當個人在使用生成式AI時,需具備獨立思考判斷的能力,並驗證產出結果之正確性,不宜全盤接受生成式AI提供之回答。針對企業或具高度專業領域人士使用生成式AI時,除確認結果正確性外,更需注意資料保護及治理議題,例如建立AI工具合理使用情境及加強員工使用相關工具之教育訓練。在成本能負擔的情況下,可選擇透過企業內部的基礎設施訓練AI模型,或是在訓練模型前確保敏感資料已經加密或匿名。並應注意自身行業領域相關法規之更新或頒布,以適時調整資料使用之方式。
雖目前生成式AI仍有其使用之侷限,仍應抱持開放的態度,在技術使用與風險預防之間取得平衡,以能夠在技術發展的同時,更好地學習新興科技工具之使用。
[1] Mata v. Avianca, Inc., 1:22-cv-01461, (S.D.N.Y.).
[2] Benjamin Weiser, Here’s What Happens When Your Lawyer Uses ChatGPT, The New York Times, May 27, 2023, https://www.nytimes.com/2023/05/27/nyregion/avianca-airline-lawsuit-chatgpt.html (last visited Aug. 4, 2023).
[3] Boston Consulting Group [BCG], The CEO’s Roadmap on Generative AI (Mar. 2023), https://media-publications.bcg.com/BCG-Executive-Perspectives-CEOs-Roadmap-on-Generative-AI.pdf (last visited Aug. 29, 2023).
[4] Kate Saenko, Is generative AI bad for the environment? A computer scientist explains the carbon footprint of ChatGPT and its cousins, The Conversation (May 23, 2023.), https://theconversation.com/is-generative-ai-bad-for-the-environment-a-computer-scientist-explains-the-carbon-footprint-of-chatgpt-and-its-cousins-204096 (last visited Sep. 7, 2023).
[5] Robert Lufrano, ChatGPT and the Limits of AI in Legal Research, National Law Review, Volume XIII, Number 195 (Mar. 2023), https://www.natlawreview.com/article/chatgpt-and-limits-ai-legal-research (last visited Aug. 29, 2023).
日本《人工智慧技術研究開發及應用促進法》簡介 資訊工業策進會科技法律研究所 2025年06月25日 為全面性且有計畫地推動人工智慧(以下簡稱AI)相關技術之研發及應用,同時為改善國民生活和促進國家經濟健康發展做出貢獻,日本內閣於2025年2月28日提出《人工智慧技術研究開發及應用促進法》(以下簡稱本法)草案。 [1] 本法進一步於同年5月28日經參議院表決通過[2] ,通過之條文內容與2月28日提出之草案並無二致,惟5月27日內閣委員會另外通過20點附帶決議[3] ,其中涵蓋共多具體措施。本法於6月4日公布施行[4] ,以下將介紹本次日本《人工智慧技術研究開發及應用促進法》及附帶決議內容。 壹、立法緣由 近年AI技術及應用蓬勃發展,然而日本卻深感國內對AI發展不如其他主要國家,依據科學技術創新推進事務局(科学技術・イノベーション推進事務局,以下簡稱科技事務局)釋出之立法概要,本次立法主要有兩大理由 [5]: 一、國內AI技術開發、應用起步緩慢 科技事務局引用史丹佛大學於2024年所發布之《AI指數報告》(AI Index Report 2024),該份報告彙整2023年各國對於AI相關產業之民間投資額,如下圖所示。從此圖可知,作為世界主要經濟體的日本,對於AI的民間投資於2023年竟僅有6.8億美元,遠遠不及美國的670.22億美元、中國77.6億美元及英國37.8億美元。[6] 圖一、各國對於AI相關產業民間投資額統計 資料來源:STANFORD INSTITUTE FOR HUMAN-CENTERED AI [HAI], Artificial Intelligence Index Report (2024). 此外,根據日本總務省於2024年所發布之調查結果,如下圖所示,日本僅有9.1%的國民有使用過生成式AI之經驗,相較於中國的56.3%、美國的46.3%、英國的39.8%及德國的34.6%,仍有相當程度之落後。 [7] 圖二、各國國民使用過生成式AI之經驗調查 資料來源:総務省,令和6年版情報通信白書 不僅國民的AI使用率低,日本總務省亦針對企業將AI運用於其業務進行調查,如下圖所示,目前有在使用AI之企業僅有46.8%(包含已取得具體成效及尚未取得成效),其餘53.2%之企業則正在測試階段、正在商議導入或至今仍未討論導入。對比中國的95.1%、德國的80.6%及美國的78.7%,雖不如國民使用率落後,但仍有不少進步空間。[8] 圖三、各國企業業務中AI運用情形調查 資料來源:総務省,令和6年版情報通信白書 二、多數國民對於AI仍感到不安 科技事務局引用KPMG於2023年所發布的《全球AI信任研究報告》(Trust in AI: A Global Study 2023),僅有13%的日本國民認為現行法規已足以確保AI可被安全使用,亦低於中國的74%、德國的39%及美國的30%。此調查結果亦如實反映出有77%的日本國民迫切希望國內能針對AI訂定相關規範。[9] 除上述兩項主要理由外,考量日本有需要進一步促進創新發展、積極應對AI產生之風險,因此科技事務局決定訂立新的AI法規。 貳、立法重點 《人工智慧技術研究開發及應用促進法》總計28條,共分為四個章節,包含第一章總則(第1條至第10條)、第二章基本政策實施(第11條至第17條)、第三章人工智慧基本計畫(第18條)及第四章人工智慧戰略本部(第19條至第28條)。考量依法規條文及章節順序不易說明,以下將以科技事務局所提供之立法概要之脈絡進行說明。 一、目的 第1條即說明本法旨在全面且有計畫地制定AI相關政策,推動AI技術之研發與應用,以改善國民生活並為國民經濟發展做出貢獻。 二、基本理念 第3條亦規定AI技術之研發與應用應以提升AI產業之國際競爭力為目標,希冀藉由AI技術創造高效率新業務,並得以應用於國民日常生活與經濟活動之各階段,另考量AI技術若經不當使用,將有助漲犯罪行為或洩漏個資等風險發生之可能性,故應確保AI技術之正確使用。最後,同條亦規定日本應在AI技術之研發與應用上進行國際合作,並努力在國際合作中取得主導地位。 三、AI戰略本部 本法第四章皆為設立AI戰略本部相關之條文,第19條、第20條及第25條第2項規定AI戰略本部應由內閣所設立,其職責有以下兩項: (一)研擬AI基本計畫草案,並推動相關事宜。 (二)促進AI相關技術研發及應用相關重要政策之規劃、提案及統籌協調等事宜。 (三)除本法規定的事項外,總部相關必要事項由政令規定。 為使AI戰略本部可順利履行上述職責,第25條賦予AI戰略本部認為有必要時,得向行政機關、地方公共團體、獨立行政機構、地方獨立行政機構的首長以及公共機關的代表,要求提供資料、發表意見、進行說明及提供其他必要協助。 第21條至第28條則為與本部組成相關之規定,其規定AI戰略本部組成成員包含以下三個職位: (一)部長:由總理擔任,掌管總部事務,並領導監督總部工作人員。 (二)次長:由官房長官及AI戰略大臣(由總理任命)擔任,負責協助部長履行職責。 (三)由除部長、次長以外的所有國務大臣組成。 四、AI基本計畫 如上所述,AI戰略本部重要職責之一,即研擬AI基本計畫草案。依第18條規定,總理應將AI戰略本部所研擬之AI基本計畫草案,提請內閣決定是否同意草案內容,待內閣作成決定後,總理應立即公布AI基本計畫。 同條亦明定AI戰略本部應以前述第二節的基本理念及以下第五節的基本政策實施之相關規定為基礎,研擬AI基本計畫草案,其應涵蓋之事項包含: (一)AI技術研發及應用政策實施的基本方針。 (二)為促進AI技術研發及應用,政府應全面性且有計畫地實施政策。 (三)政府為能全面性且有計畫地實施政策所採取的必要措施。 五、基本政策實施 第二章所涵蓋之第11條至第17條則規定政府應執行之基本政策實施事項,包含: (一)促進AI技術研發 依第11條規定,國家應採取措施促進AI技術研發,使AI技術可順利從基礎研究階段進展至實際應用階段,並在研發機構間建立研發成果得以互相流通之制度,同時提供研發成果資訊。 (二)提升基礎設施建置與使用 依第12條規定,國家應採取措施建置AI基礎設施,包含AI技術研發及應用所需之大規模資料處理、資通訊、電磁紀錄儲存等設備及為特定目的所收集之資料集等,並使AI基礎設施得以廣泛供研發機構或企業所使用。 (三)確保符合國際規範 依第13條規定,國家應根據國際規範制定基本方針並採取其他必要措施,以確保AI技術之研發及應用得以適當之方式進行。 (四)確保人力資源 依第14條規定,國家應與地方政府、研發機構和企業緊密合作,並採取必要措施,以確保、培訓和提升各領域人才的專業素質,使其具備AI技術從基礎研究至實際應用於民眾生活或經濟活動之各階段所需之專業知識,並提升其專業知識之廣度及深度。 (五)提升教育 依第15條規定,國家應提升與AI技術相關之教育與學習、辦理推廣活動或採取其他必要措施,以增進大眾對AI技術之認知與興趣。 (六)研究調查 依第16條規定,國家應掌握國內外AI技術研發及應用之最新趨勢,並進行有助於AI技術研發及應用發展之研究與調查,包含分析因不正當目的或不適當方法研發應用所導致國民受侵害之案例,及針對不正當使用之因應對策。 同時,國家亦應根據此類研究調查成果,向研發機構、企業和其他人員提供指導、建議和最新資訊,並採取其他必要措施。 (七)國際合作 依第17條規定,國家應進行AI技術研發及應用之國際合作,積極參與國際規範之制定過程。 六、職責 第4條至第8條分別規定國家、地方政府、研發機構、企業與國民應各司其職,其職責分述如下: (一)國家 依第4條規定,國家應依前述第二節的基本理念,制定並實施促進AI技術研發及應用之基本政策實施相關之計畫。此外,國家應在行政機關間積極應用AI技術,以提升行政效率。 (二)地方政府 依第5條規定,地方政府應依前述第二節的基本理念,在與國家進行適當分工後,結合各地方特色,制定並實施自主政策,以促進AI技術之研發及應用。 (三)研發機構 依第6條規定,大學及研發機構應依前述第二節的基本理念,積極進行AI技術之研發,推廣其成果,培育具有專業性和廣泛知識之人才,並協助國家與地方政府之政策實施,而國家與地方政府則應促進大學研究活動,尊重研究人員自主權及將各大學之特色納入考量。 此外,研發機構應進行跨領域或綜合性研發,同時為有效推動AI技術研發,應綜合考量人文科學及自然科學等領域之專業知識。 (四)企業 依第7條規定,任何企業有意開發或提供使用AI技術之產品或服務,或任何其他有意在其業務活動中使用AI技術,應依前述第二節的基本理念,提升其業務之效率和品質。 此外,上述企業應透過積極使用AI技術創造新興產業,並須配合執行國家依第4條所定之措施及地方政府依第5條所定之措施。 (五)國民 國民應依前述第二節的基本理念,加深對AI技術之認知與興趣,並盡可能配合執行國家依第4條所定之措施及地方政府依第5條所定之措施。 七、附帶決議 本次立法過程除條文本身外,5月27日內閣委員會亦通過20點附帶決議,針對政府實施本法時應採取之適當措施進行補充說明,以下摘錄重點說明 :[10] (一)政府應以「以人為本之AI社會原則」為基礎,進行AI技術研發及應用。 (二)政府制定AI基本計畫和基本方針,或執行政策措施時,應將風險降至最低,並考量推廣AI之益處。 (三)企業和國民應充分了解AI應用之注意事項及規避風險之措施,並透過教育使國民了解AI合理使用方法及其風險。 (四)政府針對AI應用導致之失業或貧富差距擴大採取必要措施。 (五)政府應透過法規打擊AI技術之濫用,特別是利用兒童圖像產生之深偽色情內容,並加強對網站管理員刪除違法內容之監管,保護受害者。 (六)政府和民間機構將合作開發以日語為基礎之大型語言模型。 (七)政府應消除新創企業等新進者之壁壘,創造公平開放之市場環境。 (八)政府應將AI定位為國家戰略重要領域。 (九)政府應考慮電力供需,策略性地建設資料中心。 (十)政府應以跨學科之觀點強化對AI人才之培養,並確保足夠有投資。 (十一)政府應積極營造有利於國家、地方政府、企業應用AI之環境,並避免因營運效率提升而出現裁員情形。 (十二)政府應執行降低AI風險之措施,並進行公私合作以確保安全。 (十三)政府於進行調查和指導時,應避免施加過重之負擔或要求過多資訊揭露,同時考慮保護企業之商業機密等智慧財產權。 (十四)政府於國民權益受害之個案進行調查和指導時,應即時自企業或服務使用者和人工取得資訊,以便迅速發現個案並因應。 (十五)針對依《廣島人工智慧進程國際行為準則》負有報告義務之企業,政府應最大限度地減少其與現行國內法規之報告義務之重複。 (十六)政府應不斷修訂本法及其他相關計畫與方針,以確保AI應用能促進國民生活改善和國民經濟發展,並及時應對新風險。 (十七)AI戰略總部之組織架構,應消除各部會、機構垂直分工造成之弊端,並積極自民間招募人才。 (十八)政府應儘早成立由AI倫理、法律和社會議題等領域專家組成的智庫機構。 (十九)如出現現行法規難以因應之新風險,政府應考慮導入風險導向之概念,依風險等級而採取不同監管措施。 (二十)因應AI應用產生之智慧財產權相關侵權行為,政府應參考其他國家之情形,探討因應措施。 參、總結 日本緊接著韓國之後,成為亞洲第二個在法律層級通過AI法規的國家,惟相較歐盟或韓國通過的AI法,日本在法律條文的訂定上,主要是針對政府與各界之職責進行規範,而缺乏對於AI技術開發或應用風險之監管。儘管附帶決議中較多具體內容,仍須待AI基本計畫訂定後,日本對於AI技術開發或應用之監管模式才會有較清晰之雛形。 考量到日本尚有通過20點附帶決議,日後仍可關注AI戰略本部如何依據AI法及附帶決議擬定AI基本計畫,未來或可成為我國人工智慧法制政策規劃之參考依據。 [1]人工知能関連技術の研究開発及び活用の推進に関する法律案(第217回閣法第29号)。 [2]〈議案情報:人工知能関連技術の研究開発及び活用の推進に関する法律案〉,参議院,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/217/meisai/m217080217029.htm(最後瀏覽日:2025年6月11日)。 [3]参議院,〈人工知能関連技術の研究開発及び活用の推進に関する法律案に対する附帯決議〉,https://www.sangiin.go.jp/japanese/gianjoho/ketsugi/current/f063_052701.pdf(最後瀏覽日:2025年6月11日)。 [4]人工知能関連技術の研究開発及び活用の推進に関する法律法律(令和7年法律第53号)。 [5]內閣府,〈人工知能関連技術の研究開発及び活用の推進に関する法律案(AI法案)概要〉,https://www.cao.go.jp/houan/pdf/217/217gaiyou_2.pdf(最後瀏覽日:2025年6月11日)。 [6]STANFORD INSTITUTE FOR HUMAN-CENTERED AI [HAI], Artificial Intelligence Index Report (2024), https://hai.stanford.edu/assets/files/hai_ai-index-report-2024-smaller2.pdf (last visited June 11, 2025) [7]総務省,〈令和6年版情報通信白書〉,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n1510000.pdf(最後瀏覽日:2025年6月11日)。 [8]総務省,〈令和6年版情報通信白書〉,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n1510000.pdf(最後瀏覽日:2025年6月11日)。 [9]KPMG, Trust Inartificial Intelligence: Country Insights on Shifting Public Perceptions of AI (2023), https://assets.kpmg.com/content/dam/kpmgsites/xx/pdf/2023/09/trust-in-ai-country-insight.pdf.coredownload.inline.pdf (last visited June 11, 2025). [10]参議院,〈人工知能関連技術の研究開発及び活用の推進に関する法律案に対する附帯決議〉,https://www.sangiin.go.jp/japanese/gianjoho/ketsugi/current/f063_052701.pdf(最後瀏覽日:2025年6月11日)。
英國氣候過渡計畫小組公布氣候揭露報告框架與實施指南英國氣候過渡計畫工作小組(Transition Plan Taskforce, TPT)在2022年11月8日公布其氣候揭露報告框架草案(Disclosure Reporting Framework)、實施指南,以及技術性附錄,用以輔導英國企業擬定氣候過渡計畫,並在技術性附錄中提供與氣候揭露相關的指標與準則等詳細資訊,供企業參考。 氣候過渡計畫是英國淨零政策相當重要的一環。英國財政部長於2021年COP26大會上宣布成立工作小組,研擬氣候過渡計畫的規範,要求英國企業公布清晰且可交付的計畫,英國財政部在2022年4月宣布TPT成立,負責建立一套英國適用、並且可與其它國際準則進行轉換的氣候過渡計畫準則。TPT根據氣候相關財務揭露工作小組(Task Force on Climate-related Financial Disclosures, TFCD)、國際永續準則理事會(International Sustainability Standards Board, ISSB)、及格拉斯哥淨零金融聯盟(the Glasgow Financial Alliance for Net Zero, GFANZ)等現有成果,另增若干細節,在2022年11月提出此一框架草案及指南等文件。 TPT框架建議企業以企圖心、行動力和當責性為原則,分階段設定過渡計畫目標。而企業的氣候揭露應包括五大項目:基礎事項(如企業目標)、執行策略(如企業營運)、擴大參與策略(如與價值鏈的連結)、使用的指標與目標(如財務指標)以及治理(如董事會的監督與報告),這些在實施指南中都有詳細的說明。 TPT框架自公布起即公開徵求各界意見至2023年2月28日,並廣邀各界就其內容進行測試,提供意見反饋,這些都將供作TPT修訂框架之參考,預計2023年完成草案的最終版本。TPT的文件雖不具法律效力,但是其內容將成為英國金融行為管理局(Financial Conduct Authority, FCA)未來修訂上市公司及金融機構相關氣候過渡計畫揭露規則時的依據,其後續發展值得關注。
美國聯邦資料戰略〈2020年行動計畫〉美國白宮於2018年3月發布〈總統管理方案(President’s Management Agenda)〉,其中發展「聯邦資料戰略(Federal Data Strategy)」,將資料作為戰略資產,藉以發展經濟、提高聯邦政府效能、促進監督與透明度,為方案中重要之工作目標之一。「聯邦資料戰略」之架構上主要包括四個組成部分,以指導聯邦資料之管理和使用:1.使命宣言:闡明戰略之意圖與核心目的;2.原則:有十大恆定原則對於機關進行指導;3.實作規範:有四十項實作規範指導機關如何利用資料之價值;4.年度行動計畫:以可衡量之活動來實踐這些實作規範。 於2019年12月23日,〈2020年行動計畫〉之最終版正式發布,其將建立堅實之基礎,在未來十年內支持戰略之實踐。詳言之,〈2020年行動計畫〉之內涵主要包含三大部分與二十個行動: 機關行動:旨在支持機關利用其資料資產,包括六大行動:(1)行動1:確認用於回答對於機關而言具有優先性之問題所需之資料;(2)行動2:將機關之資料治理制度化;(3)行動3:評估資料與相關基礎設施之成熟度;(4)行動4:確認提高員工資料技能之機會;(5)行動5:確認用於機關開放資料計劃之優先資料資產;(6)行動6:發布與更新資料庫存。 實踐共同體之行動:由特定機關或一群機關就一共通主題所採取之行動,可加速並簡化現有要求之執行,包括下列四大活動:(1)行動7:成立聯邦首席資料官委員會;(2)行動8:改善用於AI研究與發展之資料與模型資源;(3)行動9:改善財務管理資料標準;(4)行動10:將地理空間資料實務整合至聯邦資料事業中。 共享解決方案行動:為所有機關之利益、由單一機關或委員會試行或發展之活動:(1)行動11:開發聯邦事業資料資源儲存庫;(2)行動12:創建美國預算管理局聯邦資料政策委員會;(3)行動13:制定策畫之資料技能目錄;(4)行動14:制定資料倫理框架;(5)行動15:開發資料保護工具組;(6)行動16:試行一站式之標準研究應用程序;(7)行動17:試行一種自動化之資訊收集評論工具,該工具支持資料庫存之創建與更新;(8)行動18:試行用於聯邦機構之增強型資料管理工具;(9)行動19:制定資料品質評估與報告指引;(10)行動20:發展資料標準之儲存庫。 〈2020年行動計畫〉確定機關之初步行動,其對建立流程、建立能力、調整現有工作以更好地將資料作為戰略資產至關重要。未來之年度行動計畫將會在〈2020年行動計畫〉之基礎上進一步發展出針對聯邦資料管理之協調方案。
美國衛生部門公布個人健康資訊外洩責任實施綱領美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。 本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。 HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。 HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。 值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。