從歐盟的AI白皮書與資料策略看AI發展的管理框架(下)

三、歐盟《人工智慧白皮書》對於高風險AI未來管理的可能方向

歐盟《人工智慧白皮書》對高風險性AI應該如何以法律規範，除再次強調歐盟對於基本權的基本價值與規範之外，也具體提出幾個不同面向的考量，相當值得台灣AI產業留意：

(一)訓練資料(Training data)：

由於多數AI系統的功能、運作及決定依賴該系統訓練所使用的資料集，因此，訓練資料應合理確保運用AI系統的商品或服務，符合相關歐盟安全規範。例如，AI系統應經足夠廣泛的資料集訓練，而可含蓋所有相關需要避免的危險情境；應採取必要步驟，確保應用AI系統的使用不會導致法規所禁止的歧視；確保在使用運用AI之商品或服務時，已遵循GDPR妥善保護隱私及個人資料。

(二)保留紀錄及資料(Keeping of records and data)：

AI系統難以有效地確認其是否遵循相關法規，為追蹤並查證AI可能有問題的行為或決定。因此，對於演算法的程式設計、訓練方法、建置、測試、使AI有效運作之程序與技術之文件，包含安全性及避免偏見(bias)之相關資訊、用以訓練高風險AI系統所使用的資料集(data set)、該資料之特徵與選擇該資料的方式，甚至在特定情形保留訓練之原始資料本身，以及要求上述資料依法保留一定期間，以供主管機關測試或監管，都是未來AI監管法規制定時可考慮的選項。

(三)資訊條款(Information provision)：

除前述保留紀錄及資料外，法規落實AI倫理準則「透明性」要求，亦將規範應確保對外提供服務時，針對AI系統的能力與限制，應提供清楚的資訊，包括：該系統預期目標、使其能按預期運作之條件及達到特定目標的預期準確度等，以供使用者在清楚的認知下選擇是否使用該AI系統。當然，這也包括當可能接觸或使用AI系統時，應清楚告知民眾其互動對象為AI系統而非人類，以避免誤判。

(四)穩健性及準確性(Robustness and accuracy)：

未來AI管理規範，將要求對於AI可能造成的風險須事前進行正當及適當的評估，並確保AI系統按預期的可信賴的方式運作，包括：應確保AI系統在其生命週期中穩健且正確運作，或至少應反映其所屬等級應有之正確性；應確保AI產出之結果是可複製的；應確保AI系統能妥適處理錯誤與不一致之情形；應確保AI系統能對於公開攻擊及更多隱藏性試圖操縱資料或演算法本身具有防護力，並在該等情形採取適當減輕負面影響的措施。

(五)人類監管(Human oversight)：

人類監管可協助確保AI運作不會損及人類自主權或造成其他負面影響，故對高風險的AI應用，應確保適當的人類介入。人類監管的規範可能採取以下幾種形式：

1. 在被人類審核前，AI系統產出之結果不具效力（例如拒絕社會福利之申請僅能由人類為之）。
2. AI產出的結果具效力，但有事後人類干預機制（例如拒絕信用卡之申請得由AI系統為之，但須有事後人類審查的可能性）。
3. 監控運行中的AI系統，同時具備實時干預和停用的能力（例如在無人車中設有停止按鈕或停止程序，當人類認為汽車運作已不具安全性時可使用）。
4. 在設計階段即在AI系統中加入運作限制（例如無人車在低可見度的特定狀況時應停止運行）。

(六)遠端生物辨識的特別規範(specific requirements for remote biometric identification)：

對於許多讀者所關心的人臉辨識的議題，歐盟《人工智慧白皮書》重申歐盟GDPR原則上禁止為辨識自然人之目的獲取得生物識別資料。即使如重大公益目的此等例外，亦需具嚴格的必要性始得取得生物識別資料，原則須有歐盟或各國法之授權並經特定保護程序始得為之。亦即，僅能在具合理正當理由、符合比例原則、具有妥適保護措施的情況下將AI使用於遠端生物辨識系統。

四、人工智慧與資料經濟未來的法規管理框架

《歐盟資料策略》雖是以歐盟本身的利益出發，針對資料經濟的未來，透過單一歐盟資料空間的構想，企圖在中國（國家高度掌握各種資料）與美國（大型企業掌握大量網路使用者資料）這二種截然不同的發展方向，提出第三條路，認為在強調歐盟價值（個人資料保護、消費者權利（基本權）以及競爭法）的法律管理框架，可以促成資料近用，創造一個新的資料經濟體系，甚至吸引其他法規管理不足的國家民眾將其資料「托管」至歐盟資料空間，顯然就歐盟法規的「國際競爭力」深具信心。

歐盟《人工智慧白皮書》則將原先發布的AI發展倫理準則，進一步具體提出未來可能對於人工智慧法律規範的可能性，對外徵求公眾意見，亦引發全球關注。其所揭示未來將採取risk-based approach，針對高風險的AI系統納管的管理框架，其實也是台灣在個人資料保護的立法所採取的策略，由《電腦處理個人資料保護法》僅針對「電腦處理」這樣的高風險，以及特定可能擁有大量個資的八大行業先行納管，日後再配合修正為《個人資料保護法》全面適用，乃是政府機關面對人工智慧及資料經濟議題時，非常值得考慮的立法策略。

然而，更值得台灣政府機關及相關產業注意的是，前述《歐盟資料策略》、《人工智慧白皮書》圍繞著個人資料、基本權、競爭法、透明性、比例原則等法律概念進行討論，具體針對歐盟現況予以檢討分析，有系統、有方法地檢視現行法規是否足以因應，這正是台灣面對人工智慧與資料經濟的未來所欠缺的。全球各國面對COVID-19疫情來襲，除了防疫工作外，人工智慧能夠幫上什麼忙、個人資料在全國防疫的原則下應該退讓到什麼程度，也都引發社會各界的關注，建構未來十年、二十年人工智慧與資料經濟的法律管理框架，此其時也。

作者賴文智律師為益思科技法律事務所律師、台大法律研究所碩士
作者賴佳宜律師為益思科技法律事務所律師、政大法律研究所碩士班