歐洲議會通過《人工智慧法案》朝向全球首部人工智慧監管標準邁進下一步

歐洲議會通過《人工智慧法案》
朝向全球首部人工智慧監管標準邁進下一步

資訊工業策進會科技法律研究所
2023年06月26日

觀察今年的科技盛事屬ChatGPT討論度最高,將人們從區塊鏈、元宇宙中,帶入人工智慧(AI)領域的新發展。ChatGPT於2022年11月由OpenAI開發的生成式人工智慧,透過深度學習模型,理解和生成自然語言,其功能包含回答各類型問題(如科學、歷史)、生成邏輯結構之文章(如翻譯、新聞標題)、圖形、影像等內容。然而對於人工智慧的發展,究竟如何去處理人機間互動關係,對於風險之管理及相關應用之規範又該如何,或許可從歐盟的法制發展看出端倪。

壹、事件摘要

面對人工智慧的發展及應用,歐盟執委會(European Commission)早在2018年6月成立人工智慧高級專家組(AI HLEG),並於隔年(2019)4月提出「可信賴的人工智慧倫理準則」(Ethics Guidelines for Trustworthy AI),要求人工智慧需遵守人類自主、傷害預防、公平、透明公開等倫理原則。於2021年4月21日歐盟執委會提出「人工智慧法律調和規則草案」(Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts)(以下稱人工智慧法案),於2023年內部市場委員會(Internal Market Committee)與公民自由委員會(Civil Liberties Committee)通過並交由歐洲議會審議(European Parliament),最終《人工智慧法案》於2023年6月14日通過。後續將再歐盟理事會(Council of the European Union)與辯論協商,尋求具共識的最終文本[1]

貳、重點說明

由於「歐盟議會通過」不等於「法案通過」,實際上歐盟立法機制不同於我國,以下透過法案內容說明的契機,概述一般情況下歐盟之立法流程:

一、歐盟立法過程

通常情況下,法案由歐盟執委會(下簡稱執委會)提出,送交歐盟理事會及歐洲議會,作為歐盟的「立法者」歐洲理事會(下簡稱理事會)與歐洲議會(下簡稱議會)將針對法案獨立討論並取得各自機關內之共識。大致上立法程序有可分為三階段,在一讀階段若理事會與議會對於執委會版本無修改且通過,則法案通過,若任一機關修改,則會進行到二讀階段。針對法案二讀若仍無法取得共識,則可召開調解委員會(Conciliation)協商,取得共識後進入三讀。簡單來說,法案是否能通過,取決於理事會與議會是否取得共識,並於各自機關內表決通過[2]

目前《人工智慧法案》仍處於一讀階段,由於法案具備爭議性且人工智慧發展所因應而生之爭議迫在眉睫,議會通過後將與執委會、理事會進入「三方會談」(Trilogue)的非正式會議,期望針對法案內容取得共識。

二、人工智慧法案

(一)規範客體

《人工智慧法案》依風險及危害性程度分級,其中「不可接受風險」因抵觸歐盟基本價值原則禁止(符合公益目標,如重大或特定犯罪調查、防止人身安全遭受危害等例外許可)。「高風險」則為法案規範之重點,除針對系統技術穩健、資料處理及保存訂有規範外,針對人為介入、安全性等也訂定標準。

而針對高風險之範疇,此次議會決議即擴大其適用範圍,將涉及兒童認知、情緒等教育及深度偽造技術(Deepfake)納入高風險系統,並強調應遵循歐盟個人資料保護規範。此外對於社會具有高影響力之系統或社群平臺(法案以4500萬用戶做為判斷基準),由執委會評估是否列為高風險系統。針對目前討論度高的生成式人工智慧(ChatGPT),議會針對法案增訂其系統於訓練及應用目的上,應揭露其為生成式人工智慧所產出之內容或結果,並摘要說明所涉及之智慧財產權[3]

(二)禁止項目

關於《人工智慧法案》對於高風險系統之要求,從執委會及理事會的觀點來看,原則上重點在於對弱勢的保護及生物資料辨識之權限。歐盟禁止人工智慧系統影響身理及心理,包含對於特定族群如孩童、身心障礙者等弱勢族群之不平等待遇。同時原則禁止即時遠端的生物辨識利用,包含對於人性分析、動作預測等對於人類評價、分類之應用,例外情況如犯罪調查、協尋失蹤兒童、預防恐怖攻擊、關鍵基礎設施破壞等情況時方被允許。此次議會決議提高禁止即時遠端生物辨識的標準,包含納入敏感資訊的蒐集如性別、種族、政治傾向等,及其他臉部辨識、執法、邊境管制、情緒辨識等項目[4]

參、事件評析

有關《人工智慧法案》雖歐洲議會已一讀通過,然而後續仍要面對與歐盟理事會的協商討論,並取得共識才能規範整個歐盟市場。因此上述規範仍有變數,但仍可推敲出歐盟對於人工智慧(含生成式)的應用規範態度。在面對日新月異的新興科技發展,其立法管制措施也將隨著橫向發展,納入更多種面向並預測其走向趨勢。因人工智慧有應用多元無法一概而論及管制阻礙創新等疑慮,觀察目前國際上仍以政策或指引等文件,宣示人工智慧應用倫理原則或其風險之管理,偏重產業推動與自律。

觀察歐盟《人工智慧法案》之監管目的,似期望透過其市場規模影響國際間對於人工智慧的監管標準。倘若法案後續順利完成協商並取得共識通過,對於如OpenAI等大型人工系統開發商或社群平臺等,若經執委會評估認定為高風險系統,勢必對於未來開發、應用帶來一定衝擊。因此,歐盟對於人工智慧監管的態度及措施實則牽一髮而動全身,仍有持續觀察之必要。

本文同步刊登於TIPS網站(https://www.tips.org.tw

[1]The AI Act, Future of Life Institute, https://artificialintelligenceact.eu/developments/ (last visited Jun. 20, 2023)

[2]The ordinary legislative procedure, Council of European Union, https://www.consilium.europa.eu/en/council-eu/decision-making/ordinary-legislative-procedure/ (last visited Jun. 19, 2023)

[3]EU AI Act: first regulation on artificial intelligence, European Parliament, Jun. 14, 2023, https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence (last visited Jun. 21, 2023)

[4]MEPs ready to negotiate first-ever rules for safe and transparent AI, European Parliament, Jun. 14, 2023, https://www.europarl.europa.eu/news/en/press-room/20230609IPR96212/meps-ready-to-negotiate-first-ever-rules-for-safe-and-transparent-ai(last visited Jun. 21, 2023)

你可能會想參加
※ 歐洲議會通過《人工智慧法案》朝向全球首部人工智慧監管標準邁進下一步, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=9005 (最後瀏覽日:2024/04/24)
引註此篇文章
你可能還會想看
魔術方塊立體商標權與競爭法之交會

  今年5月26日,歐盟高等法院做出裁決,認為魔術方塊不應擁有立體商標權的保護,結束了長達十年的魔術方塊立體商標權爭議。而本案於11月10日已結束聽證會(full hearing),多數意見仍然支持法院的觀點。   歐盟高等法院認為,魔術方塊的立體造型外觀,已成為他3D多面旋轉功能不可或缺的一部分,如果賦與其商標權保護,由於商標權可無限期展延的特性,等於永久阻止所有相同或類似造型外觀的產品上市,間接妨礙了技術上的突破與創新,形成一種相同或類似技術上的獨占地位(monopoly)。裁決更指出,其應以專利權作為申請標的,以保障發明人智慧財產權,而非以商標權變相延伸專利權的保護範圍。   在類似的案例中,雀巢的四指造型巧克力被歐盟法院(CJEU)駁回,理由之一為產品形狀為達到技術結果的必須條件(該造型提供了掰開巧克力的獨特方式),與本案有異曲同工之妙。   然而,反對見解認為,如不賦與魔術方塊立體商標,等於鼓勵仿冒者用相同或類似外觀作為商標使用,而不論該仿品外觀是否確實賦與相同之技術結果,間接限縮了立體商標權的保護效力。   我國立體商標審查基準中也有類似的規定,排除具有功能性的外觀造型註冊立體商標。然而,應該思考的毋寧是,當產品技術水準無法成功申請專利權保護時,如同時駁回該產品外觀的立體商標註冊,則該如何維護該產品的智慧財產權,又該如何防止他人抄襲與仿冒,是本案遺留下的重要問題。

菲律賓最高法院延長網路犯罪法適用限制之時間

  菲律賓最高法院於2013年2月5日延長了之前(2012年10月9日)對於網路犯罪防制法(Cybercrime Prevention Act of 2012),所做出的120日暫時限制適用令(Temporary Restraining Order),表示此一法令暫時尚無法正式施行。對此,菲國參議員多表示贊成,而對於該法主要的批評包括過度侵害言論自由、違反程序正義、比例原則以及一事不兩罰原則,並可能導致「寒蟬效應」,先前聲請停止該法施行的相關人士則認為該法過於模糊且規範範圍過廣。   該法之具體適用爭議如:(1)ISP業者僅因刊登誹謗性言論,即可能遭致處罰。(2)該法12條授權主管機關可即時蒐集利用電腦系統之特定通訊資料。(3)網路使用者可能被認定為網路犯罪之幫助或教唆者而被處罰。(4)政府可能依據此法蒐集網路使用者之各種資料。   不過,菲國檢察總長Francis Jardeleza 對此則表示,此法雖有缺陷,但亦尚未至完全可廢止之程度。另外,尚有菲律賓全國記者聯盟(National Union of Journalists of the Philippines, NUJP)與菲律賓網路自由聯盟(Philippine Internet Freedom Alliance, PIFA)對此限制適用令表示支持,並認為對於法令與自由衝突爭議正方興未艾。

韓國提出一系列新創支援措施,以躋身全球四大新創強國為目標

  韓國中小企業暨新創事業部(Ministry of SMEs and Startups)於2021年8月30日發布「使韓國躋身全球四大新創強國之新創支持措施」(Venture Complementary Measures for Korea to Become One of the Top 4 Global Venture Powerhouses)。韓國總統文在寅指出,第二波創業爆發期為立基於西元2000年的第一波創業爆發期之上,如今韓國企業數量較當時已增加四倍,創投投資額更突破4兆韓元,顯示韓國新創的蓬勃發展潛力。為了能在政策面有效支持韓國新創能在第二波創業爆發期(Second Venture Boom)獲得所需的人才與資金,韓國中小企業暨新創事業部規劃三大面向、十二項任務作為推動韓國躋身全球四大新創強國之新創支持措施:   在打造韓國新創國際競爭力面向,推動股票選擇權改革、全面修正《促進新創事業發展特別措施法》並廢除落日條款、提高由政府對高科技新創公司貸款提供擔保的技術擔保(technology guarantee)額度上限至200億韓元、安排國際創投媒合價值1兆韓元的全球創投資金,以及配合全球關注ESG趨勢,以碳價值(carbon value)評估為基礎,提供價值5000億韓元的氣候應對保證(climate response surety)。   在擴大創業投資市場面向,包含創造私人基金投資的誘因及允許對特定智慧財產權進行投資、進行矽谷式的(Silicon Valley-type)創投基金監管、為早期新創公司引進一兆韓元的創投資金,以及提供創業加速器租稅減免等措施。而在多元化新創出場措施面向,則規劃新增技術創新併購擔保以及增加新創併購基金、給予更多併購租稅優惠,以及提供價值1000億韓元的出場基金等。   韓國中小企業暨新創事業部指出,在第一波創業爆發期中,韓國新創打下了良好基礎,為了把握第二波創業爆發期的發展機會,韓國政府將加強與民間合作,以發展新創來創造就業機會並作為國家發展動能。為了達成躋身全球四大新創強國的目標,中小企業暨新創事業部將全力協助人才與資金的募集,從而完善韓國的新創生態系資源。

簡介〈歐盟提供合格信任服務者依循標準建議〉

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要   歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」(簡稱eIDAS規章)[1],並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上,進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架,以促進整個歐盟跨境間的電子交易環境,進而達到歐盟數位單一市場的目標[3]。   eIDAS規章共有六章,其核心包含兩大部分[4],在第二章中規範了電子識別機制(Electronic Identification),並於第三章中建構一系列電子交易中相關信任服務(Trust Services, TS)的法律架構,包含電子簽章(Electronic signatures)、電子封條(Electronic seals)、電子時戳(Electronic time stamps)、電子註冊傳輸服務(Electronic registered delivery services)、網站認證(Website authentication)。每種信任服務,又可以區分由一般的信任服務提供者(Trust Service Provider, TSP)或由合格信任服務提供者(Qualified Trust Service Provider, QTSP)提供,要成為QTSP必須經各成員國的監督機關授予合格地位後,才能提供該類合格信任服務(Qualified Trust Service, QTS),在eIDAS規章中合格信任服務具有更高的法律效力。譬如,根據eIDAS規章第25條第2項規定,合格電子簽章(qualified electronic signature)與手寫簽章具有同等的法律效力。   歐盟網路安全局(European Union Agency for Cybersecurity, ENISA[5])於2021年3月發布一份報告,提供合格信任服務者依循標準的建議(Recommendations For QTSPs Based On Standards) [6],給想要申請成為QTSP的業者參考。 貳、重點說明   承前所述,eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境,為弭平各會員國對於電子識別服務的落差,報告中指出,必須透過法律框架(Legal framework)、信賴框架(Trust framework)、標準化框架(Standardisation framework)共同達成,以提升歐盟數位單一市場中企業和消費者的信任,並促進信任服務和產品的使用。 (一)法律框架   eIDAS規章中規定了9種QTS的安全要求及其提供者的義務,包括: 1.電子簽章的合格憑證; 2.電子封條的合格憑證; 3.網站認證的合格憑證; 4.合格電子時戳服務; 5.合格電子簽章的合格驗證服務; 6.合格電子封條的合格驗證服務; 7.合格電子簽章的合格維護服務; 8.合格電子封條的合格維護服務; 9.合格電子註冊傳輸服務。 (二)信賴框架   其次,eIDAS規章透過事前(ex ante)和事後(ex post)監督的方式,來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構(Conformity Assessment Body, CAB)的評估,由其出具評估報告後,再由各成員國的監督機關決定是否授予QTSP資格;取得QTSP資格後會受到不定期稽核,且至少每24 個月須再次自費通過CAB評估審核[7]。 (三)標準化框架   eIDAS規章中對各項TS的安全要求是採取技術中立(technology-neutral)的態度,並未限定要採用何種特定技術。換言之,TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上,歐盟希望在eIDAS規章所建構的法律框架和信賴框架中,透過產業自律,慢慢形成相關的標準共識。   歐盟從2009年開始,就由歐洲標準化委員會(European Committee for Standardization, CEN)、歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)等歐盟標準化組織協助擬定和更新電子簽章的相關標準,希望可以建立一個更完整的標準化框架,以解決歐盟跨境使用電子簽章遭遇的問題,至今已經建構出一系列電子簽章和相關信任服務的標準,以滿足國際及eIDAS規章的要求,ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性   此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證   此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪(Protection Profiles, PP)[8]。 3.簽章建立和其他相關設備   此類標準主要是與電子簽章產生的設備,以及其他與數位簽章相關服務的設備有關。 4.加密   此類標準主要是與簽章的加密有關,譬如金鑰產生演算法(key generation algorithms)和雜湊函數(hash functions)等。 5.支持數位簽章及相關服務的TSP   此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者   此類標準主要與應用電子簽章提供加值服務的TSP有關,如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者   此類標準主要與eIDAS規章中信任名單(trusted lists)相關的程序和格式有關[9]。   其中,在ETSI/CEN關於數位簽章的標準中,主要與QTSP有關的標準如下: 1.電子簽章的合格憑證(eIDAS規章第28條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5)。 2.電子封條的合格憑證(eIDAS規章第38條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5)。 3.網站認證的合格憑證(eIDAS規章第45條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5)。 4.合格電子時戳(eIDAS規章第42條)   ETSI EN 319 421(且要符合EN 319 401)、EN 319 422。 5.合格電子簽章的合格驗證服務(eIDAS規章第33條)   ETSI TS 119 441(且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務(eIDAS規章第40條)   ETSI TS 119 441(且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務(eIDAS規章第34條)   ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務(eIDAS規章第40條)   ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務(eIDAS規章第44條)   ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析   從歐盟ENISA的建議可以瞭解,歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準,來引導資通訊廠商申請成為QTSP,提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務,以強化使用者的信心,進而促進整個歐盟電子交易的蓬勃發展。   近年來,我國企業也積極投入數位轉型,在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而,由於企業對於資通訊技術不熟悉,因此在選擇資通訊廠商時,往往不知道如何判斷其專業能力,或許企業可以參考上述的介紹,以該廠商是否符合歐盟相關標準的要求,作為選擇資通訊廠商的參考依據,以確保資通訊廠商的能力具有一定水準,這樣對於企業數位轉型及進軍歐盟市場會相當有助益。    [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1,eIDAS前言(3). [4]中文介紹可參考李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月)。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security),2019年更改為現名,但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1,eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章(common criteria, CC)製作之資通安全產品安全基本需求文件,可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉,國家通訊傳播委員會,https://ise.ncc.gov.tw/faq(最後瀏覽日:2021/06/24)。 [9]參前註1,eIDAS規章第22條第2項、第4項。

TOP