英國資訊委員辦公室提出人工智慧（AI）稽核框架

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。

　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。

　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點：

一、資料側寫之公平性與透明性（fairness and transparency in profiling）；

二、準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性；

三、完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策；

四、安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險；

五、權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性；

六、資料最少化與目的限制（data minimization and purpose limitation）；

七、資料當事人之權利行使（exercise of rights）；

八、對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。

　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

相關連結

你可能會想參加

※ 英國資訊委員辦公室提出人工智慧（AI）稽核框架，資訊工業策進會科技法律研究所， https://stli.iii.org.tw/article-detail.aspx?no=67&tp=1&d=8249 （最後瀏覽日：2025/04/24）

引註此篇文章