用ChatGPT找法院判決?從Roberto Mata v. Avianca, Inc.案淺析生成式AI之侷限
用ChatGPT找法院判決?從Roberto Mata v. Avianca, Inc.案淺析生成式AI之侷限
資訊工業策進會科技法律研究所
2023年09月08日
生成式AI是透過研究過去資料,以創造新內容和想法的AI技術,其應用領域包括文字、圖像及影音。以ChatGPT為例,OpenAI自2022年11月30日發布ChatGPT後,短短二個月內,全球月均用戶數即達到1億人,無疑成為民眾日常生活中最容易近用的AI科技。
惟,生成式AI大量使用後,其中的問題也逐漸浮現。例如,ChatGPT提供的回答僅是從所學習的資料中統整歸納,無法保證資料的正確性。Roberto Mata v. Avianca, Inc.案即是因律師利用ChatGPT撰寫訴狀,卻未重新審視其所提供判決之正確性,以致後續引發訴狀中所描述的判決不存在爭議。
壹、事件摘要
Roberto Mata v. Avianca, Inc.案[1]中,原告Roberto Mata於2019年8月搭乘哥倫比亞航空從薩爾瓦多飛往紐約,飛行過程中膝蓋遭空服員的推車撞傷,並於2022年2月向法院提起訴訟,要求哥倫比亞航空為空服員的疏失作出賠償;哥倫比亞航空則主張已超過《蒙特婁公約》(Montreal Convention)第35條所訂之航空器抵達日起兩年內向法院提出損害賠償之請求時效。
R然而,法院審理過程中發現原告訴狀內引用之六個判決無法從判決系統中查詢,進而質疑判決之真實性。原告律師Steven A. Schwartz因而坦承訴狀中引用的六個判決是ChatGPT所提供,並宣稱針對ChatGPT所提供的判決,曾多次向ChatGPT確認該判決之正確性[2]。
貳、生成式AI應用之潛在風險
雖然運用生成式AI技術並結合自身專業知識執行特定任務,可能有助於提升效率,惟,從前述Roberto Mata v. Avianca, Inc.案亦可看出,依目前生成式AI技術之發展,仍可能產生資訊正確性疑慮。以下彙整生成式AI應用之8大潛在風險[3]:
一、能源使用及對環境危害
相較於傳統機器學習,生成式AI模型訓練將耗費更多運算資源與能源。根據波士頓大學電腦科學系Kate Saenko副教授表示,OpenAI的GPT-3模型擁有1,750億個參數,約會消耗1,287兆瓦/時的電力,並排放552噸二氧化碳。亦即,每當向生成式AI下一個指令,其所消耗的能源量相較於一般搜尋引擎將可能高出4至5倍[4]。
二、能力超出預期(Capability Overhang)
運算系統的黑盒子可能發展出超乎開發人員或使用者想像的隱藏功能,此發展將會對人類帶來新的助力還是成為危險的阻力,則會隨著使用者之間的相互作用而定。
三、輸出結果有偏見
生成式AI通常是利用公開資料進行訓練,若輸入資料在訓練時未受監督,而帶有真實世界既存的刻板印象(如語言、種族、性別、性取向、能力、文化等),據此建立之AI模型輸出結果可能帶有偏見。
四、智慧財產權疑慮
生成式AI進行模型訓練時,需仰賴大量網路資料或從其他大型資料庫蒐集訓練資料。然而,若原始資料來源不明確,可能引發取得資料未經同意或違反授權條款之疑慮,導致生成的內容存在侵權風險。
五、缺乏驗證事實功能
生成式AI時常提供看似正確卻與實際情形不符的回覆,若使用者誤信該答案即可能帶來風險。另外,生成式AI屬於持續動態發展的資訊生態系統,當產出結果有偏誤時,若沒有大規模的人為干預恐難以有效解決此問題。
六、數位犯罪增加與資安攻擊
過去由人工產製的釣魚郵件或網站可能受限於技術限制而容易被識破,然而,生成式AI能夠快速建立具高度說服力的各種擬真資料,降低詐騙的進入門檻。又,駭客亦有可能在不熟悉技術的情況下,利用AI進一步找出資安弱點或攻擊方法,增加防禦難度。
七、敏感資料外洩
使用雲端服務提供商所建立的生成式AI時,由於輸入的資料存儲於外部伺服器,若要追蹤或刪除有一定難度,若遭有心人士利用而導致濫用、攻擊或竄改,將可能產生資料外洩的風險。
八、影子AI(Shadow AI)
影子AI係指開發者未知或無法控制之AI使用情境。隨著AI模型複雜性增加,若開發人員與使用者未進行充分溝通,或使用者在未經充分指導下使用 AI 工具,將可能產生無法預期之風險。
參、事件評析
在Roberto Mata v. Avianca, Inc.案中,法院關注的焦點在於律師的行為,而非對AI技術使用的批判。法院認為,隨著技術的進步,利用可信賴的AI工具作為協助用途並無不當,惟,律師應踐行其專業素養,確保所提交文件之正確性[5]。
當AI科技發展逐漸朝向自主與獨立的方向前進,仍需注意生成式AI使用上之侷限。當個人在使用生成式AI時,需具備獨立思考判斷的能力,並驗證產出結果之正確性,不宜全盤接受生成式AI提供之回答。針對企業或具高度專業領域人士使用生成式AI時,除確認結果正確性外,更需注意資料保護及治理議題,例如建立AI工具合理使用情境及加強員工使用相關工具之教育訓練。在成本能負擔的情況下,可選擇透過企業內部的基礎設施訓練AI模型,或是在訓練模型前確保敏感資料已經加密或匿名。並應注意自身行業領域相關法規之更新或頒布,以適時調整資料使用之方式。
雖目前生成式AI仍有其使用之侷限,仍應抱持開放的態度,在技術使用與風險預防之間取得平衡,以能夠在技術發展的同時,更好地學習新興科技工具之使用。
[1] Mata v. Avianca, Inc., 1:22-cv-01461, (S.D.N.Y.).
[2] Benjamin Weiser, Here’s What Happens When Your Lawyer Uses ChatGPT, The New York Times, May 27, 2023, https://www.nytimes.com/2023/05/27/nyregion/avianca-airline-lawsuit-chatgpt.html (last visited Aug. 4, 2023).
[3] Boston Consulting Group [BCG], The CEO’s Roadmap on Generative AI (Mar. 2023), https://media-publications.bcg.com/BCG-Executive-Perspectives-CEOs-Roadmap-on-Generative-AI.pdf (last visited Aug. 29, 2023).
[4] Kate Saenko, Is generative AI bad for the environment? A computer scientist explains the carbon footprint of ChatGPT and its cousins, The Conversation (May 23, 2023.), https://theconversation.com/is-generative-ai-bad-for-the-environment-a-computer-scientist-explains-the-carbon-footprint-of-chatgpt-and-its-cousins-204096 (last visited Sep. 7, 2023).
[5] Robert Lufrano, ChatGPT and the Limits of AI in Legal Research, National Law Review, Volume XIII, Number 195 (Mar. 2023), https://www.natlawreview.com/article/chatgpt-and-limits-ai-legal-research (last visited Aug. 29, 2023).
資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 隨著網路科技的進步,伴隨著資安風險的提升,世界各國對於資安防護的意識逐漸升高,紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量,我國於107年5月經立法院三讀通過「資通安全管理法」(以下簡稱資安法),並於同年6月6日經總統公布,期望藉由資通安全管理法制化,有效管理資通安全風險,以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外,另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法,建置了我國資通安全管理之法制框架。然而,資安法及相關子法於108年1月1日實施後,各機關於適用上不免產生諸多疑義,故本文擬就我國資通安全管理法之規範重點為扼要說明,作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 資安法所規範之對象,主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義,指依法行使公權力之中央、地方機關(構)或公法人,但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣(市)政府機關、依公法設立之法人(如農田水利會[1]、行政法人[2])、公立學校、公立醫院等,均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊,故資安法排除軍事及情報機關之適用[3]。 特定非公務機關依資安法第3條第6款之規定,指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定,須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定,報請行政院核定,並以書面通知受核定者。須注意者為該指定行為具行政處分之性質,如受指定之特定非公務機關對此不服,則可循行政救濟程序救濟之。目前各關鍵基礎設施領域,預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 此外,政府捐助之財團法人,依該法第3條第9項之規定,指其營運及資金運用計畫應依預算法第41條第3項規定送立法院,及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人,則非屬資安法所稱特定非公務機關之範圍。公營事業之認定,則可參考公營事業移轉民營條例第3條之規定,指(一)各級政府獨資或合營者;(二)政府與人民合資經營,且政府資本超過百分之五十者;(三)政府與前二款公營事業或前二款公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 資安法之責任架構,可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段,分述如下: (一)事前規劃 就事前規劃部分,資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」,使各機關得據此落實相關之資安防護措施,各機關並應依據資通安全責任等級分級辦法之規定,依其重要性進行責任等級之分級,辦理分級辦法中所要求之應辦事項[5],並將應辦事項納入安全維護計畫中。 此外,在機關所擁有之資通系統[6]部分,各機關如有自行或委外開發資通系統,尚應依據分級辦法就資通系統進行分級(分為高、中、普三級),並就系統之等級採取相應之防護基準措施,以高級為例,從7大構面中,共須採取75項控制措施。 (二)事中維運 事中維運部分,資安法要求各機關應定期提出資通安全維護計畫之實施情形,上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件,應於機關知悉資通安全事件發生時,於規定時間內[7],依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施,以避免資通安全事件之擴大。 (三)事後改善 在事後改善部分,如各機關發生資通安全事件或於稽核時發現缺失,則均應進行相關缺失之改善,提出改善報告,並應針對缺失進行追蹤評估,以確認缺失改善之情形。 三、情資分享 為使資通安全情資流通,並考量網路威脅可能來自於全球各地,資安法第8條規定主管機關應建立情資分享機制,進行情資之國際合作。情資分享義務原則於公務機關間,就特定非公務機關部分,為鼓勵公私間之協力合作,故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 我國已於107年1月將政府資安資訊分享與分析中心(G-ISAC)調整提升至國家層級並更名為「國家資安資訊分享與分析中心」(National Information Sharing and Analysis Center, N-ISAC)。透過情資格式標準化與系統自動化之分享機制,提升情資分享之即時性、正確性及完整性,建立縱向與橫向跨領域之資安威脅與訊息交流,以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 為使資安法之相關規範得以落實,資安法就公務機關部分,訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容,配合機關內部之人事考評規定訂定獎懲基準,而獎懲辦法適用之人員,除公務人員外,尚包含機關內部之約聘僱人員。就特定非公務機關部分,資安法則另訂有相關之罰則,針對未依資安法及相關規定辦理應辦事項之特定非公務機關,中央目的事業主管機關得令限期改正,並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分,因考量其影響範圍層面較廣,故規定特定非公務機關如未依規定進行通報,則可處以30萬元至500萬元之罰鍰。 參、事件評析 公務機關及特定非公務機關為落實資安法之相關規範,勢必投入相關之資源及人力,以符合資安法之要求。考量公務機關或特定非公務機關之資源有限,故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌,以避免資源或相關措施重複建置,以下則列舉幾點建議: 一、風險評估與安全措施 資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制,與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似,故各機關於適用上可協調內部之資安與隱私保護機制,共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 資安法第18條要求機關應訂定資通安全事件通報應變機制,而個人資料保護法第12條亦規定有向當事人通知之義務,兩者規定雖不盡相同,惟各機關於訂定通報應變機制上,可將兩者通報應變程序進行整合,以簡化通報流程。 三、委外管理監督 資安法第9條要求機關負有對於委外廠商之監管義務,個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同,惟均著重對於資料安全及隱私之保護,故各機關可從資料保護層面著手,訂定資安與個人資料保護共同之檢核項目,來進行委外廠商資格之檢視,並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 資安法施行細則第6條要求於建置安全維護計畫時,須先進行內部之資產盤點及分級,而個人資料保護法施行細則第12條中,則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時,可建立內部共同之資料盤點清單及資料管理措施,並增加資料使用軌跡紀錄,建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定,軍事機關指國防部及其所屬機關(構)、部隊、學校;情報機關指國家情報工作法第3條第1項第1款(包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊)及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定,行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關(構),於其主管之有關國家情報事項範圍內,視同情報機關。 [4] 羅正漢,〈臺灣資通安全管理法上路一個月,行政院資安處公布實施現況〉,iThome, 2019/02/15,https://www.ithome.com.tw/news/128789 (最後瀏覽日:2019/5/13)。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級,各機關應依據其責任等級應從管理面、技術面及認知與訓練面向,辦理相應之事項。 [6] 資通系統之定義,依資通安全管理法第3條第1款之規定,指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後,應於1小時內依規定進行資通安全事件之通報;如為第一、二級資通安全事件,並應於知悉事件後72小時內完成損害控制或復原作業,第三、四級資通安全事件,則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉,行政院國家資通安全會報技術服務中心,https://www.nccst.nat.gov.tw/NISAC(最後瀏覽日:2019/5/14)。
放寬視障者及閱讀障礙者著作權合理使用之範圍2009年5月,巴西、厄瓜多爾及巴拉圭於世界智慧財產權組織(The World Intellectual Property Organization,以下簡稱WIPO)之著作權及其相關權利常務理事會(Standing Committee on Copyright and Related Right, 以下簡稱SCCR)中,根據世界盲人聯盟(World Blind Union ,以下簡稱WBU)所草擬的一份關於「促進視障者(Visually Impaired Persons,以下簡稱VIPs)及閱讀障礙者接觸受著作權保護之資訊」國際性公約,內容為提出增訂著作權的限制及例外(limitations and exceptions)條款的相關主張,亦即針對視障者及閱讀障礙者放寬著作權合理使用範圍。 SCCR的會員,將就此草擬公約於2010年5月26日至28日進行協商討論,其協商結果亦將於日內瓦下一屆會議中提出討論。 另外,WIPO也透過網路開放之平台,開放各界參與本議題之討論(https://www3.wipo.int/forum/),該網路論壇將持續開放討論至2010年6月20日,並決定加快有利於視障者接觸資訊之相關問題。 目前全球有超過3億1千4百萬盲人或視障者,但目前於全球各地,供給視障者及閱讀障礙者閱讀或收聽資訊的工具很少,在多數國家中,尤其是發展中國家,此將影響其教育及就業機會,甚至使其更陷於弱勢地位。而為促進保障視障者及閱讀障礙者接觸資訊的權利,例如藉由點字書(Braille)、大字本(large print)等科技產品,俾利提供給視障者及閱讀障礙者閱讀或收聽的工具。但如何結合現代科技、增進其接取資訊的機會與放寬著作權相關規定;亦即如何讓著作權所有人的權利受到保護,以及有利於盲人或視障者接觸資訊,兩者間如何取得平衡,其著作權合理使用範圍是需要再思考的問題。
日本制定綠色轉型基本方針草案,規劃未來10年政策藍圖在美中對抗、烏俄戰爭等地緣政治背景下,世界各國開始重視供應鏈穩定問題。日本在過去幾次供應危機中,逐漸從以化石能源為中心之產業結構,轉向以綠能為主之產業結構,為讓自身能最大限度地利用脫碳相關技術,並在維持能源穩定供應的同時,強化日本產業競爭力,日本經濟產業省於2022年12月23日公布「實現綠色轉型基本方針(草案)」(GX実現に向けた基本方針),提出未來10年政策藍圖,目前正於全國各地辦理意見交流會,徵集民眾意見。 根據上述方針草案,日本未來將採取之措施包括:(1)透過《能源使用合理化法》(エネルギーの使用の合理化に関する法律)徹底推動節能、製造業結構轉型為碳循環型生產體制,並導入蓄電池和控制系統;(2)再生能源成為主力電源,2030年再生能源占比達到36-38%;(3)2030年核能占比達到20-22%;(4)導入氫能、尿素等新能源,於2025年大阪萬博將進行實驗,並參酌外國實際案例,以安全為前提,制定合理之氫能安全戰略及國際標準;(5)整備電力及瓦斯市場,以確保供應穩定;(6)強化資源外交及國際合作,避免因依賴外國資源而產生斷鏈危機;(7)推動蓄電池產業;(8)促進資源循環;(9)運輸部門綠色轉型,包括下一世代汽車、飛機、船舶、鐵路、人物流等;(10)以脫碳為目的之數位投資;(11)住宅、建築物節能;(12)基礎設施投資;(13)碳捕捉技術;(14)食材、農林水產業轉型等。 除上述措施外,日本亦將運用綠色經濟轉型債券(暫定)及各種金融手段,支援綠色轉型前期投資。相關法案預計於下次國會提出,並於兩年內檢討具體措施。
多層次營銷公司即使向數千名人員發布屬於其營業秘密之培訓教材,仍能主張已採取合理保密措施2022年3月7日華盛頓西區地方法院針對原告多層次營銷(直銷)美容公司Tori Belle Cosmetics LLC(下稱原告)向數千名人員發布屬於營業秘密之培訓教材,能主張有採取合理保密措施做出結論。原告行銷Belle Cosmetics產品之方式是以銷售人員的個人 Facebook 帳號來販售化妝品和假睫毛產品,並將公司培訓教材上傳到由數千名成員組成的 Facebook 群組“Team Lash Out”中,且設定帳號公開權限維護其所提供之培訓教材、銷售人員及客戶之聯繫清單,故華盛頓西區地方法院仍認定其主張有理由。 被告(Belle Cosmetics的五名前網路銷售人員)雖主張銷售人員因持有Facebook個人帳號之所有權,認為與個人帳號有關之銷售人員及客戶的聯繫清單皆屬被告所有。並且,由於每個被告的 Facebook 朋友都可以看到他們的朋友清單,而主張聯繫清單不具秘密性。法院不採納被告之主張,認為原告已有設定權限限制Facebook 群組中的朋友僅可以看到其他朋友的姓名和頭像,涉及電話及地址等聯繫資訊則設定不公開,故銷售人員及客戶之聯繫清單仍具秘密性。 此外,被告亦主張原告將培訓教材上傳至「世界最大社交媒體網站Facebook」,並向數千名銷售人員公開,應判定該培訓教材已不具秘密性。法院則駁回指出Facebook之用戶可以設定權限,指定特定人加入群組中讀取培訓教材,故認為仍培訓教材具有秘密性。 本案最值得關注的是後續法院會以何種方式評估上傳至Facebook群組之培訓教材有採取合理保密措施,例如法院如何評估原告與銷售人員間的合約有約定針對教材內容具有保密義務、群組管理員如何驗證請求加入群組之用戶是該公司之網路銷售人員,或法院如何判定在營業秘密解密前Facebook 群組中有多少用戶不具備網絡銷售人員身分。 本文同步刊登於TIPS網站(https://www.tips.org.tw)