法國國家資訊自由委員會將推出符合GDPR的人工智慧操作指引(AI how-to sheets)
法國國家資訊自由委員會(CNIL)於2023年10月16日至11月16日進行「人工智慧操作指引」(AI how-to sheets)(下稱本指引)公眾諮詢,並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則(GDPR)之作法,以期在支持人工智慧專業人士創新之外,同時能兼顧民眾權利。
人工智慧操作指引主要內容整理如下:
1.指引涵蓋範圍:本指引限於AI開發階段(development phase),不包含應用階段(deployment phase)。開發階段進一步可分為三階段,包括AI系統設計、資料蒐集與資料庫建立,以及AI系統學習與訓練。
2.法律適用:當資料處理過程中包含個人資料時,人工智慧系統的開發與設計都必須確定其適用的法律規範為何。
3.定義利用目的:CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則,由於資料應該是基於特定且合法的目的而蒐集的,因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何,方能決定GDPR與其他原則之適用。
4.系統提供者的身分:可能會是GDPR中的為資料控管者(data controller)、共同控管者(joint controller)以及資料處理者(data processor)。
5.確保資料處理之合法性:建立AI系統的組織使用的資料集若包含個人資料,必須確保資料分析與處理操作符合GDPR規定。
6.必要時進行資料保護影響評估(DIPA)。
7.在系統設計時將資料保護納入考慮:包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。
8.資料蒐集與管理時皆須考慮資料保護:具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的,以及設定明確的資料保留期限,實施適當的技術和組織措施以確保資料安全等。
對於AI相關產業從事人員來說,更新AI相關規範知識非常重要,CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳郁潔
副法律研究員 編譯整理
Artificial intelligence: CNIL unveils its first answers for innovative and privacy-friendly AI, CIL, https://www.cnil.fr/en/artificial-intelligence-cnil-unveils-its-first-answers-innovative-and-privacy-friendly-ai (last visited Nov. 3, 2023).
AI how-to sheets, CNIL, https://www.cnil.fr/en/ai-how-sheets (last visited Nov. 1, 2023).
CNIL Publishes’ AI How-to sheets’ On Aligning Artificial Intelligence System With GDPR BRYAN CAVE LEIGHTON PAISNER, Oct. 25, 2023, https://www.bclplaw.com/en-US/events-insights-news/cnil-publishes-ai-how-to-sheets-on-aligning-artificial-intelligence-systems-with-gdpr.html (last visited Nov. 1, 2023).
2024年5月17日,科羅拉多州州長簽署了《人工智慧消費者保護法》(Consumer Protections for Artificial Intelligence Act,Colorado AI Act,下簡稱本法),其內容將增訂於《科羅拉多州修訂法規》(Colorado Revised Statutes,簡稱CRS)第6篇第17部分,是美國第一部廣泛對AI規範的法律,將於2026年2月1日生效。 本法旨在解決「高風險人工智慧系統」的演算法歧視(Algorithmic Discrimination)的問題 ,避免消費者權益因為演算法之偏見而受到歧視。是以,本法將高風險AI系統(High-risk Artificial Intelligence System)定義為「部署後作出關鍵決策(Consequential Decision)或在關鍵決策中起到重要作用的任何AI系統」。 而後,本法藉由要求AI系統開發者(Developers)與部署者(Deployers)遵守「透明度原則」與「禁止歧視原則」,來保護消費者免受演算法歧視。規定如下: (一)系統透明度: 1.開發者應向部署者或其他開發者提供該系統訓練所使用的資料、系統限制、預期用途、測試演算法歧視之文件以及其他風險評估文件。 2.部署者應向消費者揭露高風險人工智慧系統的預期用途,也應在高風險人工智慧系統做出決策之前向消費者提供聲明,聲明內容應該包含部署者之聯絡方式、該系統的基本介紹、部署者如何管理該系統可預見之風險等資訊。 (二)禁止歧視: 1.開發者應實施降低演算法歧視之措施,並應協助部署者理解高風險人工智慧系統。此外,開發者也應該持續測試與分析高風險人工智慧系統可能產生之演算法歧視風險。若開發者有意修改該系統,應將更新後的系統資訊更新於開發者網站,並須同步提供給部署者。 2.部署者應該實施風險管理計畫,該風險管理計畫應包含部署者用於識別、紀錄降低演算法歧視風險之措施與負責人員,且風險管理計畫應定期更新。在制定風險管理計畫時,必須參考美國商務部國家標準暨技術研究院(National Institute of Standards and Technology, NIST)的《人工智慧風險管理框架》(AI Risk Management Framework, AI RMF 2.0)與ISO/IEC 42001等風險管理文件。 美國普遍認為科羅拉多州的《人工智慧消費者保護法》為目前針對人工智慧系統最全面之監管法規,可作為其他州有關人工智慧法規的立法參考,美國各州立法情況與作法值得持續關注。
歐盟通過經濟安全關鍵技術領域建議,以利會員國進行關鍵技術風險評估歐盟執委會(European Commission)於2023年10月3日公布「關於歐盟經濟安全關鍵技術領域之建議」(Recommendation on Critical Technology Areas for the EU’s Economic Security),以便與各會員國進行經濟安全關鍵技術之風險評估。該建議源自於歐盟於6月發布之「歐盟經濟安全戰略」(European Economic Security Strategy)目的在於地緣政治緊張之局勢下,將最大限度的減少經濟流動所帶來之風險,為歐盟經濟安全制定全面的戰略方針。此「建議」列出十大關鍵技術領域的清單,係根據以下標準進行風險評估: (1)技術是有促成及轉型之本質(Enabling and Transformative Nature of the Technology)。 (2)民用與軍用融合技術之風險(The Risk of Civil and Military Fusion)。 (3)科技可能被用於侵害人權之風險(The Risk the Technology Could Be Used in Violation of Human rights)。 根據上述標準所列出十個關鍵技術領域後,其中有四個領域項目被認定是最敏感之技術領域,分別有半導體、人工智慧技術、量子技術及生物技術四大類別。 歐盟積極制定此計畫,以確保先進技術不落入敵國手中,減少對於如中國等國家單一供應商之依賴;歐盟預計於今年年底與會員國進行廣泛的風險評估,以確保下一步可能所採取的措施,可能包含出口管制及對外之審查投資,預計於2024年初提案。
澳洲立法強制Google及Facebook向媒體業者支付合理費用2020年4月20日澳洲政府要求澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)草擬強制性行為準則,以解決澳洲新聞媒體業者與數位平台(特別是Google及Facebook)間不對等的議價地位問題,由於2019年ACCC曾嘗試讓Google、Facebook自願與業者議價,並訂定相關程序準則,但事後成效不彰。為因應政府要求,ACCC於同年7月31日公布一份行為準則草案,「2020年修正草案—新聞媒體與數位平台強制性議價守則」(TREASURY LAWS AMENDENT (NEWS MEDIA AND DIGITAL PLATFORMS MANDATORY BARGAINING CODE) BILL 2020)。 此行為準則允許新聞媒體業者各自或集體向數位平台協議使用新聞內容的合理費用,請求費用的媒體公司至少須符合最低的編輯專業標準,並保持編輯獨立性,且每年營收須超過15萬澳元。雖然目前草案只適用於Google及Facebook,但未來也可能有其他數位平台列入適用範圍。 澳洲財政部長Josh Frydenberg表示,此準則設立的目的,是為了保護媒體公司著作內容的原創性,並確保業者能獲得合理的報酬,若Google及Facebook三個月內,無法與媒體公司達成報酬協議,將命仲裁員做出具有約束力的決定,違反規定者將會被裁處1000萬澳元的罰款。 此草案公布後,預計於8月28日完成磋商審議程序,並向議會提出最終草案版本,經議會通過後正式生效。由ACCC負責執行並管理該準則,而新聞媒體業者的資格則由澳洲通信媒體管理局(The Australian Communications and Media Authority)認定之。
歐盟發布《歐洲資料治理規則》草案歐盟執委會於2020年11月25日公布「歐洲資料治理規則」(Proposal for a Regulation on European data governance (Data Governance Act))草案。本立法草案係延續同年2月發布「歐洲資料戰略」(European data strategy)所提出之立法規劃,針對該戰略所揭示的資料治理政策願景,於制度面予以明文化。而本草案亦為該戰略發布後,首次提出的具體性措施。其制定的主要目的,在於透過強化資料中介機構(data intermediaries)的公信力、以及優化歐盟整體的資料共享機制,來提升資料的可取得性(availability)。 依草案條文內容,其主要立法面向如下: (1)界定本法的立法目的,在於規範歐盟內部再利用公部門所持有之特定類型資料的條件,確立資料共享服務的通報與監督框架,並針對基於利他(altruistic)目的蒐集處理資料之實體(entities),建構自願註冊的制度;另一方面則進行本法的名詞定義。 (2)公部門資料再利用機制:整體性規範由公部門所持有、但涉及商業機密、智慧財產權、個資等之資料再利用的一致性標準。其以保護既有的營業秘密、個資、智財權等為前提,確立該些資料再利用的標準作法(如原則以非專屬形式再利用、可收取合理費用)。有意再利用上述資料的公部門,應於技術面保護其隱私與機密性。 (3)針對資料共享服務供應商的通報機制:要求提供資料共享服務的供應商,於正式對外提供其服務前,應先向各成員國的權責機關通報其業務,藉以增加外界對共享個資與非個資之資料機制的信賴度,同時降低資料共享的交易成本。同時,資料共享服務供應商於資料交換應保持中立,不能為其他目的使用資料;其共享服務應以開放及協作的方式進行,並優化自然人或法人查閱與控制其資料的環境,藉以強化個資自主權。 (4)資料利他主義(data altruism)的明文化:定義非營利、具普遍性共同目標之組織,得向歐盟註冊成為資料利他主義組織。透過此認證制度,增加組織公信力,以推動個人或公司出於公共利益,自願提供資料。同時,授權歐盟執委會可制定通用之歐洲資料利他主義同意書(European data altruism consent form),減少個別收集資料使用同意書之成本。 (5)成員國資料共享權責機關之職責:其應公正、透明、一致、及時履行其職責,監督與實施資料共享服務供應商與資料利他主義組織的通報與註冊機制。例如,其有權要求資料共享服務供應商提交必要訊息,以確保其作為是否符合本法要求。同時,權責機關成員不得為資料共享服務的供應商。 (6)歐洲資料創新委員會(European Data Innovation Board):此為一專家小組之設置要求,負責協助成員國權責機關之作法,遵循資料治理法所訂標準。