美國舊金山監事會於2019年5月14日通過「Stop Secret Surveillance Ordinance」(停止秘密監察條例)的提案,為全美首例禁止舊金山市警察或其他政府機關,在公共場所使用臉部辨識技術執行公務,直接立法禁止人工智慧技術的應用,並於2019年6月底正式實施;歐盟GDPR(the EU General Data Protection Regulation)也針對個人資料制定法律,並已於2018年5月正式上路。

在隱私權的考量下,對於個人資料、數據的使用管制將日趨嚴格,而歐美的個資保護綱領規範不一,連帶影響了跨國企業經營的人工智慧應用發展。
在隱私權的考量下,對於個人資料、數據的使用管制將日趨嚴格,而歐美的個資保護綱領規範不一,連帶影響了跨國企業經營的人工智慧應用發展。

在隱私權的考量下,對於個人資料、數據的使用管制將日趨嚴格,惟人工智慧的發展卻相反地需要大量的數據,二者之間勢將需要一定程度的折衝、妥協。因此,各大科技業者在發展人工智慧相關應用時,已採取多項應對措施,調整其產品策略,以因應隱私權保護的需求。

舉例而言,Amazon出售其臉部識別工具「Rekognition」予警察部門時,即搭配指導清單以確保各部門會正確使用軟體工具外,並要求用於對抗犯罪。而Microsoft總裁於2019年4月時表示,該公司拒絕了一項未具名的加州法律執法單位提案,希望在警察車身攝影機和巡邏車中使用臉部識別犯罪嫌疑人。

Microsoft已在2019年6月初,在網站上刪除了其名為「MS Celeb」的共享人臉資料庫,其中包含10萬名英美演員、藝術家、音樂家及記者等在公開場合活躍人士,在網路上共計1,000萬張臉部圖像資料,以確保資料不至被濫用。

針對人工智慧模型判斷可能會有偏見方面,Google於2019年5月Google IO大會上,即發佈「使用概念啟動向量測試」(Testing with Concept Activation Vectors,TCAV),透過分析工具以確保人工智慧模型不會強化已經存在這世界上的偏見。

在個人資料保護方面,歐盟於1995年即制定個人資料保護綱領(Data Protection Directive),為歐盟地區提供共通的法律框架與指導原則,歐盟各會員國可依各國之情況不同,制定各國的資料保護之法規與措施。此舉雖然保留立法彈性,但也因而造成歐盟地區各會員國之間,對資料保護之程度存在極大差異。

在各國資料保護規範不一,造成跨國企業經營上的困擾下,歐盟執委會即於2012年1月提出資料保護改革草案,經各方提出修正意見及討論後,歐洲議會於2016年4月27日通過「個人資料保護規則」(GDPR),並於2018年5月25日起在歐盟國家全面施行新法。GDPR法律位階較高,將直接適用於歐盟各會員國,而不再需要透過會員國國內法的轉換,將可徹底解決成員國之間的法律制度差異問題,也降低跨國企業的法規遵循成本。

而GDPR主要用在歐盟居民的資料保障,且不論是在歐盟境內或境外,資料的使用均需要符合GDPR。相較於過去的個人資料保護綱領,GDPR擴大個人資料(Personal Data)定義範圍至生物特徵、線上辨識碼以及線上定位資料,需獲得當事人明確同意,且告知用途,才可針對個資進行蒐集與處理。GDPR也增加個資當事人之權力,增加包含「被遺忘權、資料可攜權與反對權」等,以確保當事人能依照意志處理個人資料。GDPR亦要求公司需要設立資料保護官(Data Protection Officer, DPO)職位,必須有效依法履行職責,並需擔負一定程度的法律責任。

對於企業經營來說,由於GDPR規範了個資保護設計及預設規範,需在技術上及組織內納入隱私保護措施。GDPR明訂控制管理者應採取符合「在設計層面與預設資料即需具備保護原則」之規則與措施,其措施包括但不限於個人資料處理之最小化、盡可能將個人資料予以假名化、以及個人資料之處理與作用之透明化等。

目前各國的立法方向主要是以防止政府及企業單位濫用個人資料為主,預期人工智慧演算法如何運作的控管,將會是後續監管重點方向,目前也因為監管的標準不明確,企業在擔心產生法律責任下,影響產品開發的意願。

(本文由資策會MIC葉貞秀、洪春暉共同執筆)