《專題文章》人工智慧與個資保護

壹、前言

    近年人工智慧（Artificial Intelligence, AI）領域再次引領潮流，近期最引人注目的新聞即是Open AI所開發的ChatGPT，，然而同時間也引起各界熱烈討論人工智慧未來可能對人類社會造成何種影響。

    目前人工智慧並無單一特定的定義[1]，不過一般而言，人工智慧被認為是受到人類神經系統、身體感知、學習、推理以及行動能力等所啟發的電腦技術與科學[2]。近年人工智慧發展快速，各界再度正視人工智慧領域的發展與相關議題。世界經濟論壇（World Economic Forum）將人工智慧稱之為「第四次工業革命」（The Fourth Industrial Revolution）[3]；英國政府認為人工智慧技術對英國的影響，將是自從瓦特發明蒸汽機並由英國帶起世界第一次工業革命以來，下一個有機會讓人類生活脫胎換骨的技術[4]；日本政府在2016年6月2日正式提出「日本再興戰略2016」，將人工智慧視為日本能否跟上第四次工業革命的關鍵技術之一[5]；美國政府同樣強調未來人工智慧所扮演的角色，認為人工智慧將持續促進經濟發展，並成為改善醫療、交通、環境、司法以及經濟等多領域的重要工具[6]。

    人工智慧技術發展的同時，對於人類生活的改變以及可能帶來的影響也有非常多的討論。近期以來，日本、美國、英國及歐盟等官方或智庫相繼做出與人工智慧相關的研究報告，包括日本總務省在2016年6月20日發表了《人工智慧網路檢討會議報告書》（AIネットワーク化検討会議報告書2016）[7]；美國白宮在2016年10月發布了《為人工智慧的未來做好準備》（Preparing For The Future of Artificial Intelligent）[8]，緊接在2016年12月白宮再度發表報告《人工智慧，自動化以及經濟》（Artificial Intelligent, Automation, and The Economy）[9]；英國「商業、創新暨技能部」（Department for Business, Innovation and Skills）底下的「政府科學辦公室」（Government Office for Science）則在2016年11月發表《人工智慧：未來決策過程的機會與影響》（Artificial intelligence: opportunities and implications for the future of decision making）[10]；歐盟議會智庫（European Parliament Think Tank）同樣在2016年10月公佈一份人工智慧議題的簡報（Briefing），名為《人工智慧：潛在益處與倫理思考》（Artificial Intelligence: Potential Benefits and Ethical Considerations）[11]。

    上述這些報告中提出到許多相類或相關的法律與政策討論，足見人工智慧技術發及其應用領域皆帶來許多值得深思的議題，包括最基本但也是最根本的資料保護與隱私討論。

貳、人工智慧相關應用之規範必要性

一、人工智慧相關應用是否製造或增加了風險？

    鑑於人工智慧的基礎在於龐大的個人資料蒐集、處理與利用，因此蒐集越多的資料，越能發揮人工智慧相關應用的效益。但是，這樣大量資料的聚集，將帶來隱私上的風險，尤其是個人敏感資訊的蒐集，包括像是精確的位置資訊、金融帳戶密碼或是醫療資訊，這些已經存在於既有網路與行動商務之中的風險，也將存在於人工智慧的網絡中。

    也有人憂心這些資料被使用於授信、保險審核、工作僱用等行為的參考條件，雖然這些資料對於授信、保險審核、工作僱用是相當有幫助的資訊，某種層面來說，也可以幫助有良好習慣的個人獲得更多有利的機會，例如有良好駕駛習慣的人，透過這些資料的提供可以獲得更高的保險評分，因而得到較低的保險費率，但是如果這些資料的取得並未得到當事人的同意或是知悉，甚至並沒有取得完整正確的資料，就會對個人造成負面的影響[12]。

    在我們被迫假定所有數位情境下的行為會永遠留存，而且可能有天出現在公開領域內被檢視[13]。同樣的問題也出現在人工智慧的資訊收集上，但是人工智慧引起更大的隱私風險，除了其資訊量遠大於社群媒體或是電子郵件外，人工智慧所蒐集的訊息會產生前文所提及的「敏感行為態樣」，並且進階變成「個人行為側寫」[14]，造成個人隱私保護的嚴重挑戰。

二、人工智慧相關應用所增加的風險是否為現有法制所闕漏未訂？

    在討論人工智慧相關應用所增加的風險，依據目前的法規或政策是否足以規範前，應該先將智慧聯網技術抽離，檢視目前的法規與政策是否足以規範既有的科技。

    在個資保護的議題下，我國已於84年公佈適用「電腦處理個人資料保護法」，並在99年修正並更名為「個人資料保護法」，對於個人資料的保護進行規範，任何關於個人資料的蒐集、處理、利用，都必須遵循個資法的規定。因此在隱私領域裡，並不是呈現法規闕漏未定的狀態。當法規並未缺席，而新科技並未創造新的法制風險，而是增加既有風險的質量時，是否需要制定新的法規來規範新科技？本文認為，當新科技僅是增加既有風險，而不是創造新風險時，法規就不是處於闕漏未訂的狀態，所以不需要特別為新科技來創造新的法規。

三、人工智慧相關應用所增加的風險應透過法律來規範？

科技領域，是否應制定法律來規範一直是重要的議題。從1990年代開始，美國在隱私的議題上偏好「網路自律」的方式。與智財議題不同，隱私不像智財議題左右矽谷科技公司彼此間的利益，因此需要立法來規範彼此的權利義務，同時產業也有組織並且大量的抗拒全面的隱私法。除了產業的傾向外，美國憲法增修條款第一條在言論自由上，也保障了產業的自律原則----如果產業自律足以達到保護隱私的效果，政府立法就無須介入 [15]。而在1997年時，白宮提出關於電子商務的政策計畫裡，表明其支持自律以及政府介入最小化的原則，藉以維持美國一貫的思想---「複雜的法規會造成過大的市場限制」[16]。目前我已經推出了人工智慧基本法草案，希冀可以提供基礎的使用規則。

參、人工智慧相關應用在個資法上的適用

人工智慧相關應用加強了前文所述的「個人行為側寫」效果，歐盟最新施行的GDPR相關指引文件針對「側寫」有一系列的說明，其中包括說明側寫必須由以下三個要素組成：

• 它必須是一種自動化的處理形式；
• 必須對個人資料進行處理；
• 分析的目標必須是評估關於自然人的私人面向。

從廣義上講，分析意味著收集有關個人（或個人群體）的訊息並評估他們的特徵或行為模式，以便將他們置於某個類別或小組，特別是分析和/或預測，例如，資料主體的：

• 執行任務的能力；
• 喜好；
• 可能的行為[17]。

依據GDPR第22條之規定，資料主體有權拒絕這樣自動化決策系統所產生的側寫[18]。

有關側寫的行為在我個人資料保護法中並未明文規定。但透過第2條第1項第5款有關利用之規定[19]，似可將側寫視為個人資料的利用，因此只要符合個人資料保護法第16條前段[20]或第20條前段[21]之規定，亦即在特定目的範圍內的利用即屬合法。然而，人工智慧龐大的運算與資料處理能力，可能遠超過現行特地目的的想像範圍，舉例來說一個資料主體願意透過會員卡折扣的優惠，提供本身的基本資料與消費模式，日後此等的資料將用來作為會員消費喜好的判斷基礎，也就是以「行銷」為目的。然而，透過人工智慧來處理相關的資訊，即有可能側寫出資料主體本身的性格特徵、心理狀況等資訊，再行堆疊出可行的行銷模式。

這些透過人工智慧相關應用所得到的資訊，雖然最終所得之資料還是符合特定目的的函攝範圍，然而在人工智慧之演算過程中所產生的側寫資料，是否也符合我國特定目的的範圍，確有值得商榷之處。

肆、結語

科技的進步是難以預測的，有時候科技的發展領先社會發展幾年，有時候是幾個世代，但是科技本身並沒有好壞的特性[22]，縱使其發展常對經濟社會環境帶來衝擊，尤其透過商業模式的轉化後，對社會規範與法律帶來強大的挑戰。因此如何在快速發展的科技，與相對適應緩慢的社會或法律規範間取得連結，將是一個現今社會中重要的問題[23]。

本文從人工智慧相關應用所產生的風險進行分析，主要目的在於試圖釐清個資保護風險並不是法制上新生的風險，是數位時代既有風險的加乘，然個資保護風險所產生的結果，可能已經超出合理期待的範圍，目前的立法狀態或政策不一，因此應分別透過自律、立法（或發布新政策）來處理適用。然而有鑑於法律立法過程相對緩慢及其係針對一般性事物進行規範，因此當法律有所闕漏而不及立法，或是既有法制風險加乘時，由業者主動建立自律規則，以維護消費者的權益，降低人工智慧的風險，或許亦是規範選項之一，也有助於相關商業活動與科技的推廣，建立更完善的人工智慧相關應用環境。

資料來源：

[1] Executive Office of the President National Science and Technology Council Committee on Technology, Preparing for the Future of Artificial Intelligence 6 (2016), https://obamawhitehouse.archives.gov/sites/default/files/whitehouse_files/microsites/ostp/NSTC/preparing_for_the_future_of_ai.pdf (last visited Jan. 21, 2017).

[2] Peter Stone, Rodney Brooks, Erik Brynjolfsson, Ryan Calo, Oren Etzioni, Greg Hager, Julia Hirschberg, Shivaram Kalyanakrishnan, Ece Kamar, Sarit Kraus, Kevin Leyton-Brown, David Parkes, William Press, AnnaLee Saxenian, Julie Shah, Milind Tambe, and Astro Teller, STANFORD UNIVERSITY, “Artificial Intelligence and Life in 2030.” One Hundred Year Study on Artificial Intelligence: Report of the 2015-2016 Study Panel 4 (2016), https://ai100.stanford.edu/sites/default/files/ai100report10032016fnl_singles.pdf (last visited Jan. 21,  2017).

[3] Klaus Schwab, World Economic Forum [WEF], The Fourth Industrial Revolution: what it means, how to respond (2016), https://www.weforum.org/agenda/2016/01/the-fourth-industrial-revolution-what-it-means-and-how-to-respond/ (last visited Jan. 21, 2017).

[4] Government Office for Science, Artificial intelligence: opportunities and implications for the future of decision making 2 (2016), https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/566075/gs-16-19-artificial-intelligence-ai-report.pdf (last visited Jan. 9, 2017).

[5] 首相官邸，〈日本再興戦略2016-第4次産業革命に向けて-〉，頁2（2016），http://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/2016_zentaihombun.pdf （最後瀏覽日：2017/01/21）。

[6] Ed Felten and Terah Lyons, The Administration’s Report on the Future of Artificial Intelligence, (Oct. 12, 2016, 6:02 a.m.), The White House Blog, https://obamawhitehouse.archives.gov/blog/2016/10/12/administrations-report-future-artificial-intelligence (last visited Jan. 21, 2017).

[7] 総務省情報通信政策研究所，〈AIネットワーク化検討会議 報告書2016 の公表〉(2016)，http://www.soumu.go.jp/menu_news/s-news/01iicp01_02000050.html （最後瀏覽日：2017/01/21）

[8] Supra note 2.

[9] Executive Office of the President National Science and Technology Council Committee on Technology, Artificial Intelligence, Automation, and the Economy (2016), https://obamawhitehouse.archives.gov/sites/whitehouse.gov/files/documents/Artificial-Intelligence-Automation-Economy.PDF (last visited Jan. 21, 2017).

[10] Supra note 5.

[11] Francesca Rossi, European Parliament Think Tank, artificial Intelligence: Potential Benefits and Ethical Considerations (2016), http://www.europarl.europa.eu/RegData/etudes/BRIE/2016/571380/IPOL_BRI(2016)571380_EN.pdf (last visited Jan. 21, 2017).

[12] Federal Trade Commission, Internet of things privacy & security in a connected world, 15-16 (2015), https://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf (last visited Mar. 13, 2015)

[13] Omer Tene, Jules Polonetsky, A Theory of creepy: Technology, Privacy and Shifting social norms, 16 Yale J. L. & Tech. 59, 84 (2013-2014).

[14] 側寫也會延伸相關歧視問題，因為人工智慧依據的演算法是有可能帶有偏見的，可能是因為挑選基數太少、數據不完整，或是演算法本身就有問題，這些都會造成不客觀的結果。參見陳譽文，人工智慧規範性議題綜觀，第29卷第4期，科技法律透析，2017年4月。

[15] Anupam Chander, Uyên P. Lê, Free speech, 100 Iowa L. Rev. 501, 518.

[16] Alessandra Suuberg, The view from the crossroads: the European Union's new data rules and the future of U.S. privacy law, 16 Tul. J. Tech. & Intell. Prop. 267, 278 (2013).

[17] Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, p.6-7, available at http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053, (last visited Nov. 6. 2018)

[18]1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

2. Paragraph 1 shall not apply if the decision:

(a) is necessary for entering into, or performance of, a contract between the data subject and a data controller;

(b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; or

(c) is based on the data subject's explicit consent.

3. In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measures to safeguard the data subject's rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.
4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article 9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject's rights and freedoms and legitimate interests are in place.

[19]個人資料保護法第2條：「本法用詞，定義如下：一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。三、蒐集：指以任何方式取得個人資料。四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。五、利用：指將蒐集之個人資料為處理以外之使用。六、國際傳輸：指將個人資料作跨國（境）之處理或利用。七、公務機關：指依法行使公權力之中央或地方機關或行政法人。八、非公務機關：指前款以外之自然人、法人或其他團體。九、當事人：指個人資料之本人。」

[20]個人資料保護法第16條前段：「公務機關對個人資料之利用，除第六條第一項所規定資料外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。」

[21]個人資料保護法第20條前段：「非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。」

[22]以來電號碼顯示科技為例，當這個服務剛推出時，許多人認為這違反了個人的隱私保護，尤其是當個人要打電話到匿名戒酒診所或是愛滋病幫助專線時，來電號碼顯示科技將影響當事人想要保有匿名性的意願，因而侵犯隱私，甚至有幾個州立法限制來電號碼顯示科技。然而，時至今日，許多人看到來電顯示並非認識或熟知的號碼，就選擇不接電話，當時被視為隱私殺手的科技，現在反而成為了促進隱私保護的工具。Omer Tene, Jules Polonetsky, A Theory of creepy: Technology, Privacy and Shifting social norms, 16 Yale J. L. & Tech. 59, 72-73 (2013-2014).

[23]Omer Tene, Jules Polonetsky, A Theory of creepy: Technology, Privacy and Shifting social norms, 16 Yale J. L. & Tech. 59, 79 (2013-2014).