綠不綠有關係？！－論綠色資料中心及其相關能源效率法制政策

　　歐盟執委會（European Commission）於2022年9月28日通過《人工智慧責任指令》（AI Liability Directive）之立法提案，以補充2021年4月通過之《人工智慧法》草案（Artificial Intelligence Act）。鑑於人工智慧產品之不透明性、複雜性且具自主行為等多項特徵，受損害者往往難以舉證並獲得因人工智慧所造成之損害賠償，《人工智慧責任指令》立法提案即為促使因人工智慧而受有損害者，得以更容易獲得賠償，並減輕受損害者請求損害賠償之舉證責任。 　　《人工智慧責任指令》透過引入兩個主要方式：（一）可推翻之推定（rebuttable presumptions）：人工智慧責任指令透過「因果關係推定（presumption of causality）」來減輕受損害者之舉證責任（burden of proof）。受損害者（不論是個人、企業或組織）若能證明人工智慧系統因過失或不遵守法規要求之義務，致其受有損害（包括基本權利在內之生命、健康、財產或隱私等），並且該損害與人工智慧系統之表現具有因果關係，法院即可推定該過失或不遵守義務之行為造成受損害者之損害。相對的，人工智慧之供應商或開發商等也可提供相關證據證明其過失不可能造成損害，或該損害係由其他原因所致，以推翻該損害之推定。（二）證據揭露機制（disclosure of evidence mechanism）：若受害者之損害涉及高風險人工智慧時，得要求自該供應商或開發商等處獲取證據之權利。受害者透過證據揭露機制能夠較容易地尋求法律賠償，並得以找出究責的對象。 　　歐盟執委會認為以安全為導向的《人工智慧法》，為人工智慧訂定橫向規則，旨在降低風險和防止損害，但仍需要《人工智慧責任指令》之責任規定，以確保損害風險出現時，相關賠償得以被實現。但歐盟執委會仍選擇了較小的干預手段，《人工智慧責任指令》針對過失之責任制度進行改革，並未採取舉證責任倒置（a reversal of the burden of proof）之作法，而是透過「可推翻之推定」，一方面減輕受損害者之舉證責任，使受損害者得對影響人工智慧系統並產生過失或侵害行為之人提出損害賠償；另一方面賦予人工智慧之供應商或開發商等有機會推翻前揭造成損害之推定，以避免人工智慧系統之供應商或開發商面臨更高的責任風險，可能阻礙人工智慧產品和服務創新。

　　美國白宮為因應TikTok威脅，於2020年8月6日頒布第13942號行政命令，以確保資通訊技術與供應鏈國家安全，禁止在美國管轄範圍內的任何人或相關實體，與中國大陸「字節跳動（ByteDance）」及其子公司為任何交易行為。本行政命令係依據美國《國際緊急經濟權力法》（International Emergency Economic Powers Act, IEEPA）、《國家緊急狀態法》（National Emergencies Act, NEA）及《美國法典》（United States Code, U.S.C.）第3篇第301條，以及2019年5月15日頒布的第13873號行政命令，要求國家應維護資訊、通信技術和供應鏈安全，並採取措施以應對國家緊急情況。由中國大陸企業開發及所有的行動應用程式，例如TikTok及WeChat等已威脅到美國國家安全、外交政策及經濟利益，必須採取應對措施。據查TikTok會自動從使用者方擷取大量資料，包括網際網路、定位資料及瀏覽紀錄等。此種資料蒐集行為將使外國人及政黨可以取得美國個人的專屬敏感資訊，追蹤到聯邦政府人員及政府承包廠商位置，建立個人資料檔案進行勒索和商業間諜活動。美國國土安全部、美國運輸安全管理局(Transportation Security Administration, TSA)和美國武裝部隊，已禁止在聯邦政府的通訊設備上使用TikTok，防止資料被竊取並傳輸至境外伺服器。 　　面對美國全面封殺中國大陸資通訊產品，中國大陸近來亦透過出口管制方案進行反制，2020年8月28日中國大陸商務部會同科技部，調整《中國禁止出口限制出口技術目錄》，將涉及軍民兩用的53項技術，納入出口管制清單。凡涉及向境外技術移轉，無論是採用貿易、投資或是其他方式，皆須申請省級商務主管部門的技術出口許可，獲得批准後方可對外進行實質性談判，簽訂技術出口契約。其中，因TikTok的人工智慧與演算技術，已被含蓋在目錄的管制清單內，若是TikTok要從中國大陸境內轉讓相關技術服務予境外，應暫停相關交易及實質性談判，先履行申請許可程序再為後續行動。

法國國家資訊自由委員會（CNIL）於2023年10月16日至11月16日進行「人工智慧操作指引」（AI how-to sheets）（下稱本指引）公眾諮詢，並宣布將於2024年初提出正式版本。本指引主要說明AI系統資料集建立與利用符合歐盟一般資料保護規則（GDPR）之作法，以期在支持人工智慧專業人士創新之外，同時能兼顧民眾權利。 人工智慧操作指引主要內容整理如下： 1.指引涵蓋範圍：本指引限於AI開發階段（development phase），不包含應用階段（deployment phase）。開發階段進一步可分為三階段，包括AI系統設計、資料蒐集與資料庫建立，以及AI系統學習與訓練。 2.法律適用：當資料處理過程中包含個人資料時，人工智慧系統的開發與設計都必須確定其適用的法律規範為何。 3.定義利用目的：CNIL強調蒐集及處理個資時應該遵守「明確」、「合法」、「易懂」之原則，由於資料應該是基於特定且合法的目的而蒐集的，因此不得以與最初目的不相符的方式進一步處理資料。故明確界定人工智慧系統之目的為何，方能決定GDPR與其他原則之適用。 4.系統提供者的身分：可能會是GDPR中的為資料控管者（data controller）、共同控管者（joint controller）以及資料處理者（data processor）。 5.確保資料處理之合法性：建立AI系統的組織使用的資料集若包含個人資料，必須確保資料分析與處理操作符合GDPR規定。 6.必要時進行資料保護影響評估（DIPA）。 7.在系統設計時將資料保護納入考慮：包含建立系統主要目標、技術架構、識別資料來源與嚴格篩選使用…等等。 8.資料蒐集與管理時皆須考慮資料保護：具體作法包含資料蒐集須符合GDPR、糾正錯誤、解決缺失值、整合個資保護措施、監控所蒐集之資料、蒐集之目的，以及設定明確的資料保留期限，實施適當的技術和組織措施以確保資料安全等。 對於AI相關產業從事人員來說，更新AI相關規範知識非常重要，CNIL的人工智慧操作指引將可協助增強AI產業對於個資處理複雜法律問題的理解。