本文發表於會計研究月刊2019年6月號
三、嚴格的個資保護立法對於AI發展的衝擊
個人資料蒐集、處理及利用,原則上採取「告知後同意」的原則,蒐集者必須充分告知當事人其蒐集的「特定目的」,須其後的處理及利用必須在蒐集的「特定目的」之「必要範圍」內始得合法為之。近年將個資明確權利化的立法方向,就產業面而言,其實對於人工智慧的發展造成極大的衝擊。
以Facebook的人臉識別的功能為例,Facebook利用網路使用者上傳於Facebook的大量照片、標記去訓練其人臉識別的AI,這樣的訓練行為雖然是Facebook自行為之,但這有在「告知後同意」的範圍嗎?有符合Facebook蒐集之「特定目的」之「必要範圍」內嗎?即令Facebook說明使用者可以關閉自動標記的功能,但我們能禁止Facebook拿我們上傳至Facebook的照片作為訓練其人臉識別的AI嗎?而隨著AI應用的範圍愈來愈廣,Facebook將人臉辨識的AI在Facebook既有服務以外加以應用,這也在使用者原先認知或同意的範圍嗎?
然而,手機的Face ID、Amazon的無人商店都很酷炫,這些服務的基礎都在大量人臉圖像的辨識AI,沒有前期大量照片、個人標記的訓練,就沒有這些服務。但相同的功能也被應用於中國的「天網」系統,只不過是張學友的演唱會,就抓了不少通緝犯,更不用說是被重點「關注」的人士。個人資料的利用不是只有個人資料保護的問題,也涉及AI發展倫理的議題。
以Google收購英國DeepMind機器學習公司與英國皇家免費醫療體系(The Royal Free NHS),依據NHS原有之「急性腎損傷」(AKI)檢測標準化流程,研發Streams程式並搭配資料分析功能,將可能罹患AKI的病患資訊,發送早期預警通知給醫護人員,並可支援醫院相關檢測、醫療等資源配置,經英國個資主管機關ICO(Information Commissioner’s Office)認定為違反個資法。姑不論DeepMind與NHS在個資利用、移轉評估等程序上的違法,違法的理由之一即因Streams的功能擴及到醫院的人力管理,即被認定為超出「特定目的」,ICO的新聞稿中並明確表示「創新不需要以犧牲患者最基本的隱私權為代價。」。然而,人工智慧的發展本即需要多方面地探詢可能的應用場景,要求個人資料的蒐集者在一開始即明確地告知「特定的利用目的」,並在當事人充分理解的情形下取得當事人同意,無疑是人工智慧發展初期最難克服的問題,因為往往真實的狀況是蒐集資料時並無法完全預期到會將資料作什麼樣的利用,而沒有巨量的資料、多方向的探索,也無法確立可行的應用。
四、個資大規模蒐集與利用有賴政府監管
歐盟GDPR的施行,更是宣告對於人工智慧時代採取更嚴格的個資保護立法已成為國際趨勢,例如:自動化決定(automated decision-making),包括:資料剖析(profiling)與自動化決定邏輯有關具有意義的事項(meaningful information about the logic involved),需要告知當事人或依當事人要求提供;而第22條第1項更明確地規定,「當事人有權不受一個僅依自動化處理(包括資料剖析)決定的拘束,而該決定可能對其產生法律效果或類似之重大影響。」絕大多數具有「黑盒子」的AI,如涉及個人資料的剖析及決定之作成,恐怕都很困難通過GDPR的檢驗。
然而,誠如歐盟關於資料經濟所提出的政策所述,只有在GDPR所追求建立社會有關「數位信任」的基礎上,才可能促進歐盟境內資料經濟的發展,而人工智慧自然也不例外。歐盟執委會人工智慧高級專家組(High-Level Expert Group on Artificial Intelligence)在2019年4月8日發布「建立可信任以人類為核心的人工智慧(Building Trust in Human-Centric Artificial Intelligence)」通報,同步發布給產業業參考的「值得信任的人工智慧倫理指南(Ethics Guidelines for Trustworthy AI)」,提出企業發展AI應遵守的7點倫理準則[3]。其中除了第3點隱私及資料監管(Privacy and data governance),強調確保資料取得的合法性以及不會被用於不公平歧視的使用外,第4點有關AI透明度(Transparency,包含可追溯性、可解釋性等)、第5點多元化、無歧視和公平(Diversity, non-discrimination and fairness)、第6點社會及環境幸福(Societal and environmental well-being)、第7點問責制度(Accountability)都與個人資料「公平」利用息息相關。
人工智慧發展所需的資料,原則是愈多、愈細、愈真實、愈好,亦導致產業對於資料的需求彷彿無底洞般地企圖吸納所有可能用得上的資料,這從各大網路巨頭以其對於民眾個人資料的掌握,取得在人工智慧領域的領先地位即足以證明。因此,單純地將「個人資料」權利化,其實難以真正賦予人民相應的「對等地位」,此由絕大多數的民眾都對網路隱私問題高度憂心,但仍持續「以個資換服務」的現狀即可知悉。然而,這恐怕不僅是民眾長期使用免費網路服務「被」養成的慣習而已,亦有民眾難以取得替代服務的現實困境。政府監管的介入,即成為維繫民眾「數位信任」的關鍵。
以發展醫療AI為例,所有人都知道醫療機構、健康保險機構所握有之龐大資料乃是「金礦」,卻往往礙於個資保護的法規而無法採崛,希冀透過如個資法第20條「為增進公共利益所必要」,又往往淪於學者與產業代表間各說各話,難以達成共識,而長期遲滯不前。筆者認為如果要解決這類特定領域的重大議題,可參考如美國1996年「醫療保險可攜與責任法案(Health Insurance Portability and Accountability Act, HIPAA Act)」,授權衛生及公共服務部(Department of Human and Health Services, HHS)制定個人健康醫療資訊相關規範(包括:隱私規則、資安規則、電子病歷應用等),允許在一定條件下可在當事人未同意的情形,使用或分享健康醫療資訊。人工智慧醫療亦可在這樣政府監管介入的框架下,取得發展的機會。
五、結語
由人工智慧發展的角度,似乎無論著作權或個人資料保護都是一種「障礙」,但這其實是一種不同權利間的「衡平」,也是體現人工智慧對於當前社會改變的最佳「櫥窗」。身處於「資料驅動」經濟的時代,我們除了思考個體對於其「資料」(著作或個人資料)的保護,應該要弱化或強化之外,也應當思考「資料」作為生產要素,過高的「資料」取得與利用的門檻對於經濟發展的影響。除了透過反托拉斯法處理數位世界網路巨頭在資料及人工智慧領域的壟斷之外,降低資料取得與利用的門檻,例如:政府資料Open Data或是法規遵循的協助,以協助中小企業參與AI的發展,也是AI立法政策值得留意的方向。
當自動駕駛時代來臨 AI立法的核心—責任釐清與分配(上)、(下)
如何促進AI的發展—從Data Driven談資料應用的法律(上)、(下)