法國國家資訊自由委員會將推出符合GDPR的人工智慧操作指引(AI how-to sheets)
法國國家資訊自由委員會(CNIL)於2023年10月16日至11月16日進行「人工智慧操作指引」(AI how-to sheets)(下稱本指引)公眾諮詢,並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則(GDPR)之作法,以期在支持人工智慧專業人士創新之外,同時能兼顧民眾權利。
人工智慧操作指引主要內容整理如下:
1.指引涵蓋範圍:本指引限於AI開發階段(development phase),不包含應用階段(deployment phase)。開發階段進一步可分為三階段,包括AI系統設計、資料蒐集與資料庫建立,以及AI系統學習與訓練。
2.法律適用:當資料處理過程中包含個人資料時,人工智慧系統的開發與設計都必須確定其適用的法律規範為何。
3.定義利用目的:CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則,由於資料應該是基於特定且合法的目的而蒐集的,因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何,方能決定GDPR與其他原則之適用。
4.系統提供者的身分:可能會是GDPR中的為資料控管者(data controller)、共同控管者(joint controller)以及資料處理者(data processor)。
5.確保資料處理之合法性:建立AI系統的組織使用的資料集若包含個人資料,必須確保資料分析與處理操作符合GDPR規定。
6.必要時進行資料保護影響評估(DIPA)。
7.在系統設計時將資料保護納入考慮:包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。
8.資料蒐集與管理時皆須考慮資料保護:具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的,以及設定明確的資料保留期限,實施適當的技術和組織措施以確保資料安全等。
對於AI相關產業從事人員來說,更新AI相關規範知識非常重要,CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳郁潔
副法律研究員 編譯整理
Artificial intelligence: CNIL unveils its first answers for innovative and privacy-friendly AI, CIL, https://www.cnil.fr/en/artificial-intelligence-cnil-unveils-its-first-answers-innovative-and-privacy-friendly-ai (last visited Nov. 3, 2023).
AI how-to sheets, CNIL, https://www.cnil.fr/en/ai-how-sheets (last visited Nov. 1, 2023).
CNIL Publishes’ AI How-to sheets’ On Aligning Artificial Intelligence System With GDPR BRYAN CAVE LEIGHTON PAISNER, Oct. 25, 2023, https://www.bclplaw.com/en-US/events-insights-news/cnil-publishes-ai-how-to-sheets-on-aligning-artificial-intelligence-systems-with-gdpr.html (last visited Nov. 1, 2023).
新加坡個人資料保護委員會(PDPC)為讓企業能妥適的遵循2012年發布的個人資料保護法(Personal Data Protection Act/PDPA),於2013年9月發布個人資料保護法(PDPA)的執行指引文件:「PDPA關鍵概念指導方針(Advisory Guidelines on Key Concepts in the PDPA)」,針對各項如何蒐集、處理及利用個人資料的要求與義務,提供細節性說明及應用範例。執行指引文件的發布,是源自於公眾在實際操作法遵要求時,所發生的執行困難、疑義和衍生的建議和意見,彙整後進行法規釋疑和舉例。此份文件的要求係立基於實用主義及「企業友善(business-friendly)」的理念,幫助機構調整業務運作流程以及妥善的遵守法律的規定。 執行指引文件提供關鍵名詞的詮釋,例如「個人資料」在PDPA裡的定義為:任何可以識別個人、不拘形式及真實性的資訊;針對「謝絕來電條款(Do not call)」的遵循方式亦有細緻化的說明;就各項不同的具體子議題,清楚的提供常識性的措施(Common-Sense Approach)供機構採用,讓法規要求合乎常理,使個人資料保護與企業因需求而對個人資料進行蒐集、利用和揭露之行為間取得衡平。 新加坡個人資料保護法(PDPA)兩大立法目的:強化個人對自己個人資料的資訊控制權;使新加坡因提供充分的安全維護機制而受企業信任,強化新加坡的經濟競爭力與地位。另外,相較於其他國家在國際傳輸上有較嚴格的限制(必須有相同等級的個人資料保護立法為傳輸前提),新加坡的法制理念是僅讓企業遵守最低限度的安全維護要求後,便能將個人資料進行國際傳輸,這樣較彈性的法制設計讓新加坡有望成為亞太地區的資料與研究中心樞紐。
瑞典法院就iPhone 是否屬於著作權法上「私人重製工具」之實務見解瑞典最高法院(Högsta domstolen)於2015/11/18 針對集管團體Copyswede 與瑞典電信公司Telia Sonera 之訴訟案發出審查允許(prövningstillstånd)之決定。此案之爭點在iPhone手機若屬於瑞典著作權法 § 26 k上之為私人重製之工具(en produkt som är särskilt ägnad för privatkopiering),則應納入私人重製補償金之對象。 Copyswede是依瑞典著作權法管理私人重製補償金之團體,於本案中向Telia Sonera 請求繳納補償金,理由在於瑞典電信公司Telia Sonera自2009/01/01進口iPhone各型式手機,Copyswede主張iPhone手機型式為一種適合用於私人重製之工具,故Telia Sonera應繳納補償金,於是向此案一審法院Södertörns tingsrätt提出訴訟。一審法院以iPhone手機之功能及其實際使用情形為判斷基準,以中間裁定方式(Mellamdom)認定iPhone手機確屬瑞典著作權法上之「私人重製之工具」,二審法院Svea hovrätt亦採相同見解。不服此一認定之Telia Sonera於是請求瑞典最高法院進行審查。
美國聯邦最高法院認定多方複審程序並不違憲美國聯邦最高法院於2018年4月24日針對OIL STATES ENERGY SERVICES, LLC v. GREENE’S ENERGY GROUP, LLC, ET AL.ㄧ案作成判決。大法官以 7-2 投票表決通過,認定美國專利商標局(United States Patent and Trademark Office,USPTO)所屬專利審查暨上訴委員會(Patent Trial and Appeal Board,PTAB)進行內部專利審查「多方複審 (Inter Partes Review,IPR)」程序並未違憲。多方複審程序係國會在制度設計上針對專利獲證許可後,授權行政機關可經由實質利害關係人提出申請後,得有機會再次檢視其原先核發專利獲證許可的權限。因此被告經由行政機關專利審查獲得之權利,與被告在美國憲法下只能經由聯邦法院和陪審團裁決所保障權利不同。 本案自去年聯邦最高法院受理後,即成為美國發明法(Leahy-Smith America Invents Act)施行後備受矚目的重大案例之一。主要因為本案凸顯出各產業對多方複審程序實質影響的反應。若多方複審程序被判無效的話,將導致大部分專利紛爭從專利審查暨上訴委員會移回聯邦法院。導致美國發明法欲藉由行政審查改善並減輕司法體系負擔之目的難以達成,且導致專利訴訟更為耗時且昂貴,恐造成「非實施專利事業體」(Non-Practicing Entity, NPE)更加猖獗。因此,資通訊產業等普遍受到專利侵權訴訟困擾的企業大多贊同多方複審程序的合憲性。然而,大法官 John Roberts 和 Neil Gorsuch 對此一保守的決定表示異議,認為辛苦研發之專利僅因為第三人提起申請就受到行政機關撤銷,而非經由司法體系裁決仍有其疑義之處。仔細檢視多方複審程序的進行,似有違背於司法審查中要求獨立性的種種目的和精神。從歷史上來看,縱使行政機關具有核發專利獲證許可的權限,但不代表這可以導出行政機關就有撤銷專利的權限。因此,不同意見之大法官認為藉由行政機關的審議程序取代司法審查對專利可以做出撤銷的決定並不合憲。
美國聯邦貿易委員會插手企業資訊安全引起爭議美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴,指控LabMD怠於以合理的保護措施保障消費者的資訊(包括醫療資訊)安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查,並要求LabMD需強化其資安防護機制(In the Matter of LabMD, Inc., a corporation, Docket No. 9357)。 根據FTC網站揭示的資訊,LabMD因為使用了點對點(Peer to Peer)資料分享軟體,讓客戶的資料暴露於資訊安全風險中;有將近10,000名客戶的醫療及其他敏感性資料因此被外洩,至少500名消費者被身份盜用。 不過,LabMD反指控FTC,認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題,FTC的調查屬濫權,無理由擴張了聯邦貿易委員會法第5條的授權。 本案的癥結聚焦於,FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋,涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到(正當商業行為)「法規與標準制訂者」的角色,逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司(如google)提出類似的控訴,許多公司都在關注本案後續的發展。