歐盟執委會於2020年2月發布兩份資料,分別是《人工智慧白皮書(White Paper on Artificial Intelligence)》以及《歐盟資料策略(European Data Strategy)》,計畫在人工智慧與數據經濟的國際法規標準的競爭搶占先機的企圖非常明顯。AI與Big Data相關產業的發展,從最開始大量原始資料的取得,到後續轉化為產品或服務對公眾提供,法規管制是無可避免的議題。
然而,就政府機關而言,「捉得緊怕捏死,捉得鬆怕飛走」,應該如何規劃未來的AI發展法律管理框架?對現況的了解與問題的分析,是非常重要的基本功,本文以下就和讀者們一起分享前述歐盟《人工智慧白皮書》以及《歐盟資料策略》有關法規議題的重要內容。
一、強調促成資料近用的《歐盟資料策略》
歐盟執委會透過《歐盟資料策略》提出,希望能建立一個吸引人的政策環境,並且創造單一的歐盟資料空間,一個真正的單一資料市場,包含世界上所有個資、非個資甚或敏感商業資訊等資料,讓企業得容易近用(access)資料進而創造價值的願景。
就法規的管理框架而言,如何達到前述願景?《歐盟資料策略》提出,需確保在歐盟資料空間中歐盟法律能有效執行,且所有資料驅動(data driven)的商品與服務皆須遵循歐盟單一市場的相關法規。在制定共同歐洲規則及執行機制時,應確保以下幾點:1.資料得以在歐盟及各領域中流通;2.歐盟價值及規則,尤其是個人資料保護、消費者保護,以及競爭法相關規定;3.接近及使用資料的法規應公平、可操作且明確,並須有清楚且值得信賴的資料監管政策存在。整體而言,《歐盟資料策略》是在強調遵守相關歐盟法規的前提下,盡力促成資料近用,以爭取在資料經濟的未來,歐盟能夠占有一席之地,甚至取得領先的地位。
《歐盟資料策略》對於現況問題的分析,有不少與台灣目前面臨的情形相同,茲摘錄說明如下:
(一)資料可取得性(availability of data)
資料的價值在於其利用及可重複利用性。執委會認為歐盟現行可使用的資料不足以作為創新之再利用,其面臨的問題包括:1.就開放政府資料(G2B資料分享)方面,高價值資料集難以取得,且欠缺為特定研究目的而符合個資法規例外准許能力與機制;2.就企業間B2B資料分享而言,因為企業間對彼此不信任、缺乏經濟誘因、協商實力不平衡及欠缺對資料權利的法律明確性,B2B資料分享亦未達到足夠的規模;3.政府機關如何在法規監管下,利用企業資料(B2G資料分享)作為公共政策決定及提供公共服務等,亦有待改善。
(二)市場力量不平衡(Imbalances in market power)
大型平台擁有較多資料,進而影響市場的競爭力,且非僅指平台間之競爭,更及於對不同特定商品市場,因為大型平台得以運用其資料優勢設置存取資料的門檻,或運用該等優勢開發其他產品及市場。《歐盟資料策略》亦提及需考量不同平台、領域間資料互通性與品質,以及歐盟境內雲端技術多為境外跨國網路業者提供等因素,對於中小企業而言,取得創新服務所需之基礎資料集或營運基礎的雲端運算等服務之成本頗高,其創新與市場競爭力將受到相當的限制。事實上,台灣廠商也面臨類似的困境,需要政府在思考人工智慧及資料經濟相關政策時審慎考量。
(三)民眾實現其權利之賦權(empowering individuals to exercise their right)
目前歐盟民眾享有GDPR高度的保護,但卻缺乏工具及標準來減輕行使權利之困難度及複雜性。由於消費者在使用網際網路時產生之資料量逐漸上升,消費者可能面臨歧視、不公平及鎖定效應(lock-in effect),資料可攜權能否透過單一的歐盟資料空間,同時實現民眾得行使其個人資料的權利,以及允許他人存取或再利用與個人相關的資料,降低企業取得真實、完整資料之門檻等,都是值得評估的方向。
二、採取風險基礎方法的歐盟《人工智慧白皮書》
歐盟執委會人工智慧高級專家組(High-Level Expert Group on Artificial Intelligence)在2019年4月8日發布給產業參考的「值得信任的人工智慧倫理指南(Ethics Guidelines for Trustworthy AI)」,提出企業發展AI應遵守的7點倫理準則,包括:人類自主與監管、技術穩健及安全性、隱私及資料監管、透明性、多元化、不歧視及公平性、社會環境福祉、問責機制。
《人工智慧白皮書》延續著前述倫理準則,重申應用AI主要考量的風險是避免對基本權的侵害,包含個人資料、隱私及歧視問題。這樣的風險可能來自於諸如:1.整體AI系統設計的缺失或來自於使用未修正的具有偏見的資料;2.AI具追蹤及分析資料的能力,可能導致資訊的可追溯性提高,並造成去匿名化的效果;3.AI技術的特性,包含模糊性(黑箱效應)、複雜性、不可預測性及部分自動化行為,可能導致難以檢驗其是否遵循歐盟對基本權保護相關法規4.目前尚未建立處理機器學習所生關於資訊可使用性及品質之問題的安全性機制,法律如何適用並不明確(現行產品責任指令可能因難以證明商品本身存有瑕疵或損害發生與瑕疵間之因果關係,而無法適用於AI領域),將導致市場監管或執行單位無法判定是否有權責或能力介入管理。
但如何讓人工智慧合法上路呢?歐盟執委提出以風險為基礎的方法(risk-based approach),作為日後法規管理框架,人工智慧在高風險領域的應用原則受法律較高度的監管,以確保政府監理干預合乎比例。當然,對企業來說,最關心的就是如何判斷哪些AI的應用會被認定是高風險?執委會提出主要應從安全性保護及消費者權利與基本權的觀點來看待,並可以下述二個標準依序檢視:
- 首先是判斷AI是否被應用於風險較可能發生的行業,如健康、交通、能源及部分公共領域。上述行業清單應隨實務上相關發展而定期被重新檢討及修正。
- 其次則是當在特定行業中以特定方式應用AI時,將有極高的機率發生風險。
亦即,未來歐盟新AI監理架構中,只有符合前述二個標準時,該AI應用才會被認為具高風險性,並非所有AI應用於前述特定行業皆會產生監管的必要,風險高低應該取決於受影響之當事人是否涉及其重要權益、是否有較高發生損害的風險,或產生無法由當事人合理迴避的影響。但執委會也提出例外對個人或就業公平具重大性的招募程序中應用AI時、AI應用涉及消費者權利時、AI運用於遠端生物辨識及其他侵入性的監管科技時等,因這些特定目的使用也通常被認為具高風險特性,也會被納入法規監管框架處理。
作者賴文智律師為益思科技法律事務所律師、台大法律研究所碩士
作者賴佳宜律師為益思科技法律事務所律師、政大法律研究所碩士班