美國商務部國家電信和資訊管理局呼籲透過第三方評測提高AI系統透明度
2024年3月27日,美國商務部國家電信和資訊管理局(National Telecommunications and Information Administration, NTIA)發布「人工智慧問責政策報告」(AI Accountability Policy Report),該報告呼籲對人工智慧系統進行獨立評估(Independent Evaluations)或是第三方評測,期待藉此提高人工智慧系統的透明度。
人工智慧問責政策報告就如何對人工智慧系統進行第三方評測提出八項建議作法,分別如下:
1.人工智慧稽核指引:聯邦政府應為稽核人員制定適合的人工智慧稽核指引,該指引須包含評估標準與合適的稽核員證書。
2.改善資訊揭露:人工智慧系統雖然已經應用在許多領域,但其運作模式尚缺乏透明度。NTIA認為未來可以透過類似營養標籤(Nutrition Label)的方式,使人工智慧模型的架構、訓練資料、限制與偏差等重要資訊更加透明。
3.責任標準(Liability Standards):聯邦政府應盡快訂定相關責任歸屬標準,以解決現行制度下,人工智慧系統造成損害的法律責任問題。
4.增加第三方評測所需資源:聯邦政府應投入必要的資源,以滿足國家對人工智慧系統獨立評估的需求。相關必要資源如:
(1)資助美國人工智慧安全研究所(U.S. Artificial Intelligence Safety Institute);
(2)嚴格評估所需的運算資源與雲端基礎設施(Cloud Infrastructure);
(3)提供獎金和研究資源,以鼓勵參與紅隊測試的個人或團隊;
(4)培養第三方評測機構的專家人才。
5.開發及使用驗證工具:NTIA呼籲聯邦機關開發及使用可靠的評測工具,以評估人工智慧系統之使用情況,例如透明度工具(Transparency Tools)、認驗證工具(Verification and Validation Tools)等。
6.獨立評估:NTIA建議聯邦機關應針對高風險的人工智慧類別進行第三方評測與監管,特別是可能侵害權利或安全的模型,應在其發布或應用前進行評測。
7.提升聯邦機關風險管控能力:NTIA建議各機關應記錄人工智慧的不良事件、建立人工智慧系統稽核的登記冊,並根據需求提供評測、認證與文件紀錄。
8.契約:透過採購契約要求政府之供應商、承包商採用符合標準的人工智慧治理方式與實踐。
NTIA將持續與利害關係各方合作,以建立人工智慧風險的問責機制,並確保該問責報告之建議得以落實。
陳郁潔
副法律研究員 編譯整理
NATIONAL TELECOMMUNICATIONS AND INFORMATION ADMINISTRATION, NTIA calls for audits and investments in trustworthy AI systems (Mar. 27, 2024), https://www.ntia.gov/press-release/2024/ntia-calls-audits-and-investments-trustworthy-ai-systems (last visited April 26, 2024).
National Telecommunications and Information Administration, FACT SHEET: NTIA Urges Policy Changes to Boost Accountability and Trustworthiness in Artificial Intelligence Systems (Mar. 27, 2024), https://www.ntia.gov/other-publication/2024/fact-sheet-ntia-artificial-intelligency-policy-accountability (last visited April 26, 2024).
英國國家標準組織(British Standard Institution)於2009年1月8日公布個人資料保護管理系統標準(標準標號為DPC BS 10012)之草案,使組織在個人資料儲存管理工作上符合個人資料保護法(Data Protection Act 1998,DPA)之要求。 有鑑於利用個人資料管理系統(personal information management system,PIMS)管理業務上取得之資料之情形日益增多,而觀諸該資料之性質,通常多為DPA所規範定義的「個人資料」。因此,為使個人資料管理有其標準規範,並得以運用在任何規模之公私部門,使組織內之個人資料管理系統符合DPA之規範且具有一定程度之安全性,BSI試圖提出有關個人資料管理一致性之標準規範,以供組織在個人資料處理程序工作上之遵循。該標準規範如同BS EN ISO 9001:2000之品質管理系統(Quality Management System)及BS ISO/EC 27001:2005之資訊安全管理系統標準,以PDCA週期(Plan-Do-Check-Act)進行規劃,並透過執行所規範之流程落實個人資料之保護。 目前該草案已經公布,BSI於2009年3月31日前將接受各界對於該草案之諮詢及舉辦公聽會,以求標準規範之完善。
歐盟電信法規改革案將於2008年09月完成最終投票對於歐盟執委會(European Commission)所提出的「歐盟電信法規改革案」,歐洲議會(European Parliament)下之歐盟產業、研究暨能源委員會(Industry, Research and Energy Committee ,ITRE)及內部市場消費者保護委員會(Internal Market and Consumer Protection Committee ,IMCO)已於2008年7月9日對相關議題進行投票,此兩委員會之投票對於該案內容之修整具有重大意義,惟須至9月3日歐洲議會完成全員的最終投票,屆時始揭曉此改革案內容之全貌。 由於歐洲目前具有支配力的通訊公司仍支配主要通訊市場,市場競爭面臨瓶頸,消費者的選擇也隨之下降;此外,各國間欠缺一致性規範,阻礙跨國經營及泛歐普及服務,業者亦無法面對來自歐洲外的競爭勢力,因此本改革案旨在建構通訊無國界之歐洲單一市場,歐盟執委會提出建議的主要內容包括:(一)通信費率及合約透明化,使消費者能充分選擇,縱使在一日間亦得自由轉換服務,也能在不同地點依較便宜價格選擇通訊業者,;(二)為促進競爭,對於具市場支配力量之業者,得採取「功能分離」(functional separation)措施,即將網路基礎設施與提供服務兩者分離;(三)利用新的通訊裝備來阻擋垃圾郵件及電腦病毒;(四)增加對網路基礎設施的投資,擴大能利用寬頻的區域,尤其是加強農業區域的通訊建設;(五)設置歐洲獨立的通訊管制機關,以強化各國通訊管制機構的合作。
美國加密法案隨潮流再起緣起於2016年的加密法案(ENCRYPT Act),由於今年發生了臉書劍橋分析事件,以及歐盟GDPR的影響,本此法案再提的聲勢如浪潮襲來,不僅眾多議員附和,連企業(如:電子前線基金會Electronic Frontier Foundation,EFF)都予以支持。 加密法案的主要內容係以兩方面進行加密應用之保護, 各州州政府不得授權或要求產品或服務的製造商、開發商、銷售商或供應商,(A)設計或更改產品或服務中的安全功能,以供其進行監視或允許其進行實體搜索;(B)使其有能力解密或便於理解加密應用後的內容。 各州州政府不得禁止加密或類似安全功能的產品或服務,進行製造、銷售或租賃、提供銷售或租賃, 或向公眾提供覆蓋的產品或服務。此外,法案亦針對相關服務或產品的定義作了明確的說明。 本法案的主要提案者美國眾議員Ted Lieu指出,與加密或資料存取相關的問題,皆應在聯邦政府的層級進行討論,而就其本身電腦科學的專業,指出在各州間保有不同的加密應用執法標準,對資安、消費者、創新,以及執法本身都是不利的,引此本法案的推動旨在強化州際商業和經濟安全,以及網路安全問題,希望能對加密應用議題作全國性的討論,而不會損害使用者在過程中的安全性。
英國生物資訊身分證法將納入醫療及犯罪紀錄 引發侵犯個人隱私爭議英國為了 減少受到恐怖威脅和犯罪攻擊,於去年底在一讀通過 英國身分證法,預計2008年實施。該法案最具爭議之處是記載資料,包含一些生物辨識 (biometrics) 資料,如指紋、容貌辨識和虹膜掃描等,這些資料將會儲存在國家身分辨識註冊資料庫中。反對身分證法案者認為,儲存這些資料已侵犯個人隱私權。保守黨議員表示,除非內閣能「確實證明」有其必要性,否則將反對身分證法案到底。 現行持有英國護照並不需要更新,但在2008年後想要申請更新或換發護照時,就必須遵守新的規定,也引發另一爭議問題~費用過高。倫敦政經學院的報告認為,每個人的新版身分證所需的技術成本,實際需要約 300英鎊;而登錄生物辨識資訊所需要的掃描器,就需要花4000英鎊;另外,所登錄的資訊判讀性會隨著時間而降低,至少得每五年重新掃描換發。