強化AI安全防線：八國連署AI與機器學習供應鏈風險管理指南

　　美國《現在行動法》（MOBILE NOW Act）全名為《創造無線寬頻投資機會暨減少過度且不必要之障礙法》（Making Opportunities for Broadband Investment and Limiting Excessive and Needless Obstacles to Wireless Act），於2018年3月23日由美國總統簽署生效。《現在行動法》（以下簡稱本法）立法目的在於確保頻譜資源有效利用與建構未來無線通訊基礎建設的法制框架，具體措施包含訂定頻譜釋出目標、確認毫米波（millimeter wave，對應頻率為30至300GHz）頻譜商用可能性、訂定頻譜釋照政策規劃、簡化通訊基礎建設流程，以及確保鄉村無線通訊技術的發展等。 　　依據本法要求頻譜主管機關應完成三大任務，包含：一、依本法第603(a)條第1項，在2022年12月31日前，主管機關應釋出至少255MHz的頻譜提供予固定與行動無線寬頻使用。二、依本法第604(a)條，聯邦通訊委員會（Federal Communications Commission, FCC）應在本法施行後兩年內完成在42000至42500MHz間的毫米波進階無線通訊服務及操作規範。三、針對當前已高度使用的3GHz頻段，主管機關應在本法施行後24個月內完成3100MHz至3550MHz間頻段的影響分析及商用可能性報告，以及在本法施行後18個月內完成3700MHz至4200MHz間頻段的公眾意見徵詢，並提交對聯邦機構影響分析及商用可能性報告。透過上述三大任務完成頻譜規劃與商用可能性評估，輔以完善頻譜釋照政策及簡化流程，創造吸引電信業者投資次世代通訊技術之誘因。 　　美國參議院於2019年12月5日針對本法施行後的辦理情形，召開「次世代通訊技術革新：《現在行動法》落實情形」聽證會，會議中強調《現在行動法》的落實與確保美國次世代通訊技術的領先有密切相關，因此透過本法移除頻譜規劃與分配產業商用過程中的障礙至關重要，本法使美國得以在全球5G通訊技術競賽中處於領先地位；在聽證會中肯定FCC在毫米波頻譜拍賣中的貢獻，並期許FCC與國家電信暨資訊管理局（National Telecommunications and Information Administration, NTIA）能夠藉由落實本法來確保頻譜的有效規劃與分配，進一步維持美國在5G通訊技術發展的領先地位。

　　高科技人才缺口逐年擴大，據經濟部統計，三年總計僅有一九二二位海外人才來台，政府延攬海外人才績效不及新加波、韓國。新加坡為鼓勵企業延攬國際人才，企業招聘的支出可減稅，並提供人才高薪和住房，在新加坡工作的外籍人員還可參加星政府資助的國內外培訓等獎勵措施。韓國在二○○三年更擴大辦理延攬海外科技人才，除延長外籍人士居留時間、優先核准簽證，外籍技術人員薪資所得並可五年免稅，一年延攬之科技人才高達一萬多人。除此，大陸人才濟濟，新加坡與韓國也主動延攬，新加坡對大陸人才更提供「落地永久居民批准信」。 　　相較於星、韓的積極態度，我國政府對延攬海外人才趨向被動，我國高科技人才需求是由產業提出，政府配合提供誘因，我國以補助外籍人員的來回程機票、保險費，及薪給差額等為主。另礙於兩岸關係，國內並不開放引進大陸人士，大陸碩士以上人才來台每年僅兩位數，主要從事研究活動相關，而非長期工作。 　　針對目前國內科技人才需求緊迫，立委質疑國內科技人才缺乏，政府禁止大陸人才來台，卻不限制科技人才前往大陸，形成不平衡。經濟部表示，將彙整各界意見，再思索推動政策協助；陸委會則擬在六月底前提出積極管理科技人才前往大陸的辦法。

　　依日本2017年5月30日修正施行之個人資料保護法的最新規定，家長會、同學會、管委會等，就個人資料的蒐集、處理、利用，應與以蒐集、處理、利用個人資料為業之公司行號，在法律上承擔相當之責任、義務。 　　因此自2017年5月30日起，家長會蒐集、處理、利用個人資料，需要注意以下四點： 　　一、經當事人請求，應刪除其個人資料。 　　 　　修正後的個人資料保護法施行後，明知未經或不確定是否經學生監護人同意，而取得其個人資料，都是違法的行為。但目前已經取得的個人資料，即使明知未經或不確定是否經學生監護人同意，也不需要立即刪除。惟若當事人請求刪除，則必須立即刪除。 　　二、學校應善盡告知之義務，取得學生監護人之同意後，方得將其個人資料轉交家長會蒐集、利用、處理，。 　　修正後的個人資料保護法允許由學校取得學生監護人之同意後，將其個人資料轉交家長會蒐集、利用、處理。但如果校方未充分盡到告知義務，則有違法之虞。實務上在九州的熊本曾經發生過這樣的案例，由於家長會未依法蒐集、處理、利用其個人資料，監護人提起告訴，最後雙方在二審達成和解。 　　三、經過監護人同意，方得將其個人資料造冊並刊登照片 　　由於須明確取得學生監護人之同意，方得將其個人資料造冊並刊登照片。因此為避免學校未善盡告知義務，建議家長會直接請監護人填妥加入家長會之同意書，並於同意書上載明授權蒐集、處理、利用其個人資料之範圍。 　　四、遵從個人情報保護委員會的指導 　　若家長會有非法蒐集、利用、處理個人資料之虞，個人情報保護委員會可以檢查並限期改正。屆期如未改正，可裁處罰金或懲役。

落實完善數位資料管理機制， 有助於降低AI歧視及資料外洩風險 資訊工業策進會科技法律研究所 2023年07月07日 近年來，科技快速發展，AI(人工智慧)等技術日新月異，在公私部門的應用日益廣泛，而且根據美國資訊科技研究與顧問公司Gartner在2023年5月發布的調查指出，隨著由OpenAI開發的ChatGPT取得成功，更促使各領域對於AI應用的高度重視與投入[1]，與此同時，AI歧視及資料外洩等問題，亦成為社會各界的重大關切議題。 壹、事件摘要 目前AI科技發展已牽動全球經濟發展，根據麥肯錫公司近期發布的《生成式人工智慧的經濟潛力：下一個生產力前沿(The next productivity frontier)》研究報告指出，預測生成式AI(Generative AI)有望每年為全球經濟增加2.6兆至4.4兆的經濟價值[2]。同時在美國資訊科技研究與顧問公司Gartner對於超過2500名高階主管的調查中，45%受訪者認為ChatGPT問世，增加其對於AI的投資。而且68%受訪者認為AI的好處大於風險，僅有5%受訪者認為風險大於好處[3]。然而有社會輿論認為AI的判斷依賴訓練資料，將可能複製人類偏見，造成AI歧視問題，而且若程式碼有漏洞或帳戶被盜用時，亦會造成資料外洩問題。 貳、重點說明 首先，關於AI歧視問題，以金融領域為例，近期歐盟委員會副主席Margrethe Vestager強調若AI用於可能影響他人生計的關鍵決策時，如決定是否能取得貸款，應確保申請人不受性別或膚色等歧視[4]，同時亦有論者認為若用於訓練AI的歷史資料，本身存有偏見問題，則可能導致系統自動拒絕向邊緣化族群貸款，在無形之中加劇，甚至永久化對於特定種族或性別的歧視[5]。 其次，關於資料外洩問題，資安公司Group-IB指出因目前在預設情況下，ChatGPT將保存使用者查詢及AI回應的訊息紀錄，若帳戶被盜，則可能洩露機敏資訊。據統計在2022年6月至2023年5月間，在亞太地區有近41000個帳戶被盜，而在中東和非洲地區有近25000個帳戶被盜，甚至在歐洲地區也有近17000個帳戶被盜[6]。另外在2023年3月時，ChatGPT除了發生部分用戶能夠檢視他人聊天紀錄標題的問題外，甚至發生個人資料外洩問題，即用戶可能知悉他人的姓名、電子郵件，付款地址，信用卡到期日及號碼末四碼等資料[7]。 參、事件評析 對於AI歧視及資料外洩等問題，應透過落實完善數位資料治理與管理機制，以降低問題發生的風險。首先，在收集訓練資料時，為篩選適合作為模型或演算法基礎的資料，應建立資料評估或審查機制，減少或避免使用有潛在歧視問題的資料，以確保分析結果之精確性。 其次，不論對於訓練資料、分析所得資料或用戶個人資料等，均應落實嚴謹的資料保密措施，避免資料外洩，如必須對於資料進行標示或分類，並依照不同標示或分類，評估及採取適當程度的保密措施。同時應對於資料進行格式轉換，以無法直接開啟的檔案格式進行留存，縱使未來可能不慎發生資料外洩，任意第三人仍難以直接開啟或解析資料內容。甚至在傳送帳戶登入訊息時，亦應採取適當加密傳送機制，避免遭他人竊取，盜取帳戶或個人資料。 財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境完善，於2021年7月發布「重要數位資料治理暨管理制度規範（Essential Data Governance and Management System，簡稱EDGS）」，完整涵蓋數位資料的生成、保護與維護，以及存證資訊的取得、維護與驗證的流程化管理機制，故對於不同公私部門的AI相關資料，均可參考EDGS，建立系統性數位資料管理機制或強化既有機制。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Gartner, Gartner Poll Finds 45% of Executives Say ChatGPT Has Prompted an Increase in AI Investment (May 3, 2023), https://www.gartner.com/en/newsroom/press-releases/2023-05-03-gartner-poll-finds-45-percent-of-executives-say-chatgpt-has-prompted-an-increase-in-ai-investment (last visited June 30, 2023). [2]McKinsey, The economic potential of generative AI: The next productivity frontier (June 14, 2023), https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-economic-potential-of-generative-AI-the-next-productivity-frontier#introduction (last visited June 30, 2023). [3]Gartner, supra note 1. [4]Zoe Kleinman, Philippa Wain & Ashleigh Swan, Using AI for loans and mortgages is big risk, warns EU boss (June 14, 2023), https://www.bbc.com/news/technology-65881389 (last visited June 30, 2023). [5]Ryan Browne & MacKenzie Sigalos, A.I. has a discrimination problem. In banking, the consequences can be severe (June 23, 2023), https://www.cnbc.com/2023/06/23/ai-has-a-discrimination-problem-in-banking-that-can-be-devastating.html (last visited June 30, 2023). [6]Group-IB, Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list (June 20, 2023), https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ (last visited June 30, 2023). [7]OpenAI, March 20 ChatGPT outage: Here’s what happened (Mar. 24, 2023),https://openai.com/blog/march-20-chatgpt-outage (last visited June 30, 2023).