美国旧金山监事会於2019年5月14日通过「Stop Secret Surveillance Ordinance」(停止秘密监察条例)的提案,为全美首例禁止旧金山市警察或其他政府机关,在公共场所使用脸部辨识技术执行公务,直接立法禁止人工智慧技术的应用,并於2019年6月底正式实施;欧盟GDPR(the EU General Data Protection Regulation)也针对个人资料制定法律,并已於2018年5月正式上路。

在隐私权的考量下,对於个人资料、数据的使用管制将日趋严格,而欧美的个资保护纲领规范不一,连带影响了跨国企业经营的人工智慧应用发展。
在隐私权的考量下,对於个人资料、数据的使用管制将日趋严格,而欧美的个资保护纲领规范不一,连带影响了跨国企业经营的人工智慧应用发展。

在隐私权的考量下,对於个人资料、数据的使用管制将日趋严格,惟人工智慧的发展却相反地需要大量的数据,二者之间势将需要一定程度的折冲、妥协。因此,各大科技业者在发展人工智慧相关应用时,已采取多项应对措施,调整其产品策略,以因应隐私权保护的需求。

举例而言,Amazon出售其脸部识别工具「Rekognition」予警察部门时,即搭配指导清单以确保各部门会正确使用软体工具外,并要求用於对抗犯罪。而Microsoft总裁於2019年4月时表示,该公司拒绝了一项未具名的加州法律执法单位提案,希??在警察车身摄影机和巡逻车中使用脸部识别犯罪嫌疑人。

Microsoft已在2019年6月初,在网站上删除了其名为「MS Celeb」的共享人脸资料库,其中包含10万名英美演员、艺术家、音乐家及记者等在公开场合活跃人士,在网路上共计1,000万张脸部图像资料,以确保资料不至被滥用。

针对人工智慧模型判断可能会有偏见方面,Google於2019年5月Google IO大会上,即发布「使用概念启动向量测试」(Testing with Concept Activation Vectors,TCAV),透过分析工具以确保人工智慧模型不会强化已经存在这世界上的偏见。

在个人资料保护方面,欧盟於1995年即制定个人资料保护纲领(Data Protection Directive),为欧盟地区提供共通的法律框架与指导原则,欧盟各会员国可依各国之情况不同,制定各国的资料保护之法规与措施。此举虽然保留立法弹性,但也因而造成欧盟地区各会员国之间,对资料保护之程度存在极大差异。

在各国资料保护规范不一,造成跨国企业经营上的困扰下,欧盟执委会即於2012年1月提出资料保护改革草案,经各方提出修正意见及讨论後,欧洲议会於2016年4月27日通过「个人资料保护规则」(GDPR),并於2018年5月25日起在欧盟国家全面施行新法。GDPR法律位阶较高,将直接适用於欧盟各会员国,而不再需要透过会员国国内法的转换,将可彻底解决成员国之间的法律制度差异问题,也降低跨国企业的法规遵循成本。

而GDPR主要用在欧盟居民的资料保障,且不论是在欧盟境内或境外,资料的使用均需要符合GDPR。相较於过去的个人资料保护纲领,GDPR扩大个人资料(Personal Data)定义范围至生物特徵、线上辨识码以及线上定位资料,需获得当事人明确同意,且告知用途,才可针对个资进行搜集与处理。GDPR也增加个资当事人之权力,增加包含「被遗忘权、资料可携权与反对权」等,以确保当事人能依照意志处理个人资料。GDPR亦要求公司需要设立资料保护官(Data Protection Officer, DPO)职位,必须有效依法履行职责,并需担负一定程度的法律责任。

对於企业经营来说,由於GDPR规范了个资保护设计及预设规范,需在技术上及组织内纳入隐私保护措施。GDPR明订控制管理者应采取符合「在设计层面与预设资料即需具备保护原则」之规则与措施,其措施包括但不限於个人资料处理之最小化、尽可能将个人资料予以假名化、以及个人资料之处理与作用之透明化等。

目前各国的立法方向主要是以防止政府及企业单位滥用个人资料为主,预期人工智慧演算法如何运作的控管,将会是後续监管重点方向,目前也因为监管的标准不明确,企业在担心产生法律责任下,影响产品开发的意愿。

(本文由资策会MIC叶贞秀、洪春晖共同执笔)