日本經產省和總務省共同發布AI業者指引草案,公開徵集意見
因應生成式AI(Generative AI)快速發展,日本經產省和總務省彙整及更新自2017年起陸續發布之各項AI指引,於2024年1月19日共同公布「AI業者指引草案」(AI事業者ガイドライン案,以下簡稱指引),公開向民眾徵集意見。上述草案除提出AI業者應遵守以人為本、安全性、公平性、隱私保護、透明性、問責性、公平競爭、創新等共通性原則外,並進一步針對AI開發者(AI Developer)、AI提供者(AI Provider)及AI利用者(AI Business User)提出具體注意事項,簡述如下:
(1)AI開發者:研發AI系統之業者。由於在開發階段設計或變更AI模型將影響後續使用,故指引認為開發者應事先採取可能對策,並在倫理和風險之間進行權衡,避免因重視正確性而侵害隱私或公平性,或因過度在意隱私保護而影響透明性。此外,開發者應盡量保留紀錄,以便於預期外事故發生時可以進行說明。
(2)AI提供者:向AI使用者或非業務上使用者提供AI系統、產品或服務之業者。提供者應以系統順利運作及正常使用為前提,提供AI系統和服務,並避免侵害利害關係人之利益。
(3)AI使用者:基於商業活動使用AI系統或服務之業者。使用者應於提供者所設定之範圍內使用AI,以最大限度發揮AI效益,提高業務效率及生產力。
本文為「經濟部產業技術司科技專案成果」
周晨蕙
組長 編譯整理
〈AI事業者ガイドライン案」の意見公募手続(パブリックコメント)を開始します〉,経済産業省,https://www.meti.go.jp/press/2023/01/20240119002/20240119002.html (最後瀏覽日:2024/03/23).
沈娟娟,〈OECD發布「促進人工智慧風險管理互通性的通用指引」研究報告〉,資訊工業策進會科技法律研究所,2024年3月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9134&no=64 (最後瀏覽日:2024/03/23)。
毛定瑜,〈以色列發布人工智慧監管與道德政策〉,資訊工業策進會科技法律研究所,2024年3月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9133&no=64(最後瀏覽日:2024/03/23)。
陳郁潔,〈法國國家資訊自由委員會將推出符合GDPR的人工智慧操作指引(AI how-to sheets)〉,資訊工業策進會科技法律研究所,2024年1月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9109&no=64 (最後瀏覽日:2024/03/23)。
歐盟資料隱私保護監督官(European Data Protection Supervisor, EDPS)Peter Hustinx呼籲歐盟,儘速建立專家小組,制定指導原則,將資料保護以及隱私原則納入網路中立原則中(Network Neutrality)。 網路中立原則原係要求對於網路服務提供者之間不應有所歧視,應平等對待所有資料。但是,在符合歐盟法規下,ISP業者亦得針對網路內容提供者或終端使用者,以不同收費方式管制網路流量。判斷的準據,則以使用者在網路上傳遞的個人訊息為主。調查官Hustinx在其意見書中指出,調查使用者傳遞的訊息可能會背離歐盟資料與隱私保護相關法律。 根據歐盟的隱私及電子通訊指令(Privacy and Electronic Communication Directive),ISP業者在某些條件下,得以促進通訊傳輸為目的,處理個人資料,但是必須取得使用人同意。這項指令亦要求ISP業者必須採取適當的技術、組織措施以確保資料的安全。承此,Hustinx就網路中立性所提出的意見,即為前述指令之例外,亦即ISP業者在確保網路順暢及監督是否有干擾時,其監控行為無須使用者同意。但若為限制某些服務,例如檔案交換,而進行的監控行為,則不在此限。再者,該同意必須免費的、明確的並且使用者得了解的。Hustinx提出的指導原則強調確保網路使用者被適當的告知,進而了解該項個人資料監控的意義而做出同意與否的決定。同時,ISP業者在進行調查時,亦應謹慎為之,不違反比例性原則。
澳洲政府考量開放民事訴訟領域查閱網路服務商所保存之通訊資料澳洲政府於2014年推動電信(監察及查閱)法修正(資料保存)案(Telecommunications (Interception and Access)Amendment (Data Retention) Bill 2014),增訂資料保存規範,其目的在於打擊重大犯罪、恐怖主義、國際組織犯罪等,其措施為要求國內網路服務商須保留用戶之通訊資料,並保存期間至少2年,對此,當時情報及保安事務議會聯合委員會(下稱委員會)於評估該修正案時,卻發現一項爭議問題,即民事訴訟當事人亦得查閱通訊資料,但資料保存行為之正當性乃立基於維護國家安全,實與民事訴訟制度意義相悖,故委員會提出應排除民事訴訟領域得以查閱通訊資料之建議。 澳洲政府對於委員會所提出之建議採取全盤接受之態度,進而重新修訂2014年電信(監察及查閱)法修正(資料保存)案,且併同修正刪除1997年電信法令第280條,有關得以民事訴訟傳票或命令,向網路服務商查閱其所保存之通訊資料;至於網路服務商之通訊資料保存義務方面,仍須依1979年電信(監察及查閱)法為之。前述修正於2017年4月13日生效。 然而,澳洲政府方面時至今日卻有態度轉變之趨勢,起因於通訊部長與檢察總長於2016年12月20日公告,其認為資料保存措施對於特定類型之民事訴訟並非沒有實益,如:維護智慧財產權事件、家庭事件(如:離婚)或勞工權益事件(如:公司起訴勞工)等,故應視類型或個案情形予以開放查閱;因此,主管機關提出三項問題向社會大眾徵求意見:1、民事訴訟當事人在何種情形下可查閱通訊資料;2、倘若民事訴訟當事人不得查閱通訊資料者,對於民事訴訟會產生何種影響;3、是否有特定之民事訴訟類型,是排除1997年電信法第280條(1B)不適用。 實際觀察澳洲政府所推動之該項公告,在其國內爭議相當大,不僅該項公告已臨近前述修正生效日,且開放民事訴訟當事人得以查閱通訊資料之正當性疑慮仍未解除,甚且,亦與近期國際上國家安全與人民隱私權保障間之衝突日趨顯著,如:英國之調查權力法案(Investigatory Powers Act. 2016)不無關聯,因此,澳洲政府是否願意在社會輿論反對聲浪中,仍維持該項公告修正意向,值得後續觀察。
新加坡個人資料保護法修正草案新加坡通訊及新聞部(Ministry of Communications and Information, MCI)與新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於西元2020年5月14日至28日間針對其「個人資料保護法修正草案」進行民眾意見諮詢,總共收到87份回覆。綜合民眾回覆之意見後,同年10月5日,於議會提出了「個人資料保護法修正草案」,修正重點如下: 提高外洩個人資料者罰鍰金額,至該公司在新加坡年營業額10%或1000萬美元。MCI / PDPC說明,實際上於裁罰前會綜合考量個案事實與相關因素(如:嚴重性、可歸責性、影響狀況、組織有無採取任何措施減輕個資外洩造成的影響等),作為裁罰金額的判斷依據。此外,新加坡的個人資料保護法也加入了個資外洩通知義務,但與歐盟一般資料保護規範(General Data Protection Regulation, GDPR)仍有不同,例如:其多了評估是否通知的機制。 組織基於商業改善之目的,且遵守法定條件下,得未經同意使用個人資料,此處商業改善目的包含:(1)改善或加強提供之商品或服務,或開發新的商品或服務;(2)改善或發展新的營運方式;(3)瞭解客戶喜好;(4)客製化商品或服務所需。 在公司併購、重組、出售股份以及經營權轉讓等關於公司資產處置情形,得例外無需經當事人同意而蒐集、處理與利用個人資料。 新增資料可攜權相關規定。 處罰未經授權者處理個人資料之行為。針對民眾回覆之疑慮(認為草案內容不明確),MCI / PDPC說明預計在《法規與諮詢指南》中闡明有關授權行為的細節性規定,包含採取的形式。