環顧2023年全球最重要的科技潮流就屬人工智慧發展,而本年末(12月)歐洲議會公告正式通過《人工智慧法案》(AI Act),強調資安風險管理及人權保護,為人工智慧發展豎立重要的里程碑,也帶領人類從知識經濟走向智慧生活。而美國拜登政府則建構AI標準及政府AI培育等政策,逐步建立AI資安配套措施,亦帶動各州從消費及隱私權等面向,提出各項人工智慧法相關立法;就此,台灣仍於積極草擬《人工智慧基本法》立法階段,除應參酌各國AI法規及配套措施外,更應重視資安、消費者及人權保護,以確保AI技術創新能利國福民。
歐盟通過《人工智慧法》
2020年2月歐盟執委會(European Commission)提出人工智慧白皮書,10月歐洲議會(European Parliament)根據歐盟運作條約(TFEU)第225條,通過人工智慧民事責任的立法倡議決議 ,以要求歐盟執委會提出立法草案;至2021年4月提出《人工智慧法案》(AI Act, AIA),隔年12月歐盟理事會(European Council)通過AI法案共通立場(一般方法),規範AI使用者能尊重基本權,以更安全及合法的方式運用AI。
至今(2023)年12月14日確認通過細節,以風險為核心規範AI對人權的可能侵害,及數位和相關產品責任等議題,須建構預防及資安配套措施(詳見圖1),例如需要從數位及AI發展中,重新審視產品責任指令,並對應提出該修正草案(Proposed amendments to Product Liability Directive, PLD)。主因,自1985年歐洲經濟共同體通過產品責任指令(PLD)時,就採取製造人無過失責任(Liability without Fault),即消費者不需要對其所購買動產的生產過程提出舉證,是否因故意或過失而生產瑕疵產品,僅須證明該產品瑕疵與損害間具有因果關係,概念包含(i)產品有缺陷;(ii)遭受損害;(iii)損害與產品缺陷之間有因果關係。
但是該產品責任指令(PLD)並未涵蓋軟體、系統及人工智慧應用等數位服務範疇,而無法完整保護消費者。就此,2023年10月歐盟議會修正該指令第4條,將軟體納入指令的範圍,包含作業系統、韌體、電腦程式、應用程式及人工智慧系統等,同時修正第7條將上開責任延伸至數位元素的製造商、經銷商、服務(履行)提供者和線上平台業者。
進一步,端詳今(2023)年12月14日歐洲議會所公告通過《人工智慧法案》(AI Act)框架,著重禁止AI應用範疇 侵害人權:
1.禁止應用AI執行情緒識別,監控工作場所、教育機構。
2.禁止無法律等原因應用AI從網路攝像、監視器中,取得人類臉部影像,並建立識別資料庫。
3.禁止應用AI監控人類的社會行為、個人特徵,建立社會評分制度。
4.禁止應用AI操縱人類行為,及違反其自由意志。
5.禁止應用AI蒐集、處理及利用敏感特徵的生物辨識分類系統,例如政治、宗教、哲學信仰,種族及性取向等。
若組織或個人應用AI,而違反上開規範,將被裁罰750萬歐元或營業額的1.5%,至3,500萬歐元(約3,766萬美元)或全球營業額的7%等罰金,但具體金額則取決於其違法性,及衡量公司規模大小,進行裁罰。
美國加快建構人工智慧法規及標準配套措施
歐巴馬政府時代開始注重AI發展,而發布了兩份AI報告,側重於AI對美國勞動力的預期影響。至川普政府時代(2019年2月)簽署了「保持美國於AI領域的領導地位」(Maintaining American Leadership in Artificial Intelligence)行政命令,提高美國政府AI競爭力的戰略,制定了五個支柱,分別為投資、資料共享、標準和監管、人培及國際參與。
美國為了加快AI應用的導入,2021年8月國會通過AI訓練法(Artificial Intelligence Training for the Acquisition Workforce Act or the AI Training Act),該法案要求白宮管理和預算辦公室(OMB)建立或以其他方式提出AI培訓計劃,以訓練執行機構之採購人員(例如負責項目管理或後勤的人員,但排除國家安全單位),但該計劃須確保員工了解AI相關的能力和風險。同時,OMB須至少每兩年更新一次該計劃,並確保有一種方法可理解和衡量勞動力參與狀況,並分析該計劃參與者的反饋意見,提出政策建議。
2022年2月美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)提供工業人工智慧的管理及量化(Industrial Artificial Intelligence Management and Metrology, IAIMM)評量工具,利用模擬與監控AI製程,分析人力與機器的資料,達成控制AI的10項潛在風險。
2022年10月美國白宮科技政策辦公室(OSTP)發布AI權利法案藍圖(仍不具約束力)後,使幾家科技公簽署了自願遵守的協議:
1.安全有效的系統(Safe and Effective Systems)
2.保護和避免演算歧視(Algorithmic Discrimination Protections)
3.確保資訊隱私(Data Privacy)
4.通知和解釋(Notice and Explanation)
2023年1月NIST公布「AI風險管理框架1.0」(AI RMF 1.0),該自願性框架提供相關資源,以協助組織與個人管理人工智慧風險,並促進可信賴的人工智慧。同年,10月美國拜登政府發布了安全、可靠且可信賴地開發和使用人工智慧的行政命令(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence),賦予美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)發展人工智慧的資安標準,發展相關技術,且建構相關指引文件,規範AI於個人資料蒐集、處理及利用的資安程序,達成保護隱私、公平(不歧視)、降低衝擊(就業、歸責等)及提高競爭力等目標。
不過,如果回顧2023年美國國會提了(約)19個主要與AI直接相關法案雖然聚焦於消費者隱私、透明性、數位產品責任、勞動保護、AI教育訓練、孩童保護等議題,卻仍未通過,顯見美國國會立法者對AI立法仍存在不同的見解,仍有待整合:
1. S.1356-118th Congress(2023-2024)ASSESS AI Act
2 .S.3162-118th Congress(2023-2024)TEST AI Act of 2023
3. S.2770-118th Congress(2023-2024)Protect Elections from Deceptive AI Act
5. H.R.4683-118th Congress(2023-2024)Closing Loopholes for the Overseas Use and Development of Artificial Intelligence Act
6. H.R.6466-118th Congress(2023-2024)AI Labeling Act of 2023
7. S.2691-118th Congress(2023-2024)AI Labeling Act of 2023
8. S.2765-118th Congress(2023-2024)Advisory for AI-Generated Content Act
9. H.R.6088-118th Congress(2023-2024)Ensuring Safe and Ethical AI Development Through SAFE AI Research Grants
10. H.R.4503-118th Congress(2023-2024)AI Training Expansion Act of 2023
11. H.R.4223-118th Congress(2023-2024)National AI Commission Act
12. S.1564-118th Congress(2023-2024)AI Leadership Training Act
13. S.2293-118th Congress(2023-2024)AI LEAD Act
14. H.R.3831-118th Congress(2023-2024)AI Disclosure Act of 2023
15. H.R.1718-118th Congress(2023-2024)AI for National Security Act
16. H.R.5077-118th Congress(2023-2024)Creating Resources for Every American To Experiment with Artificial Intelligence Act of 2023
17. H.R.3369-118th Congress(2023-2024)Artificial Intelligence Accountability Act
18. S.1626-118th Congress(2023-2024)AI Shield for Kids Act or the ASK Act
19. S.3205-118th Congress(2023-2024)Federal Artificial Intelligence Risk Management Act of 2023
就此,隨美國聯邦政府推動AI政策及法規的腳步加快,亦激勵各州積極提出人工智慧相關立法及配套措施,例如於本(2023)年已有十個州將人工智慧法規納入(或即將生效)的消費者隱私法或相關法案,包含蒙大拿州、印第安納州、俄勒岡州、田納西州和德克薩斯州。其中,加利福尼亞州、科羅拉多州、康乃狄克州和維吉尼亞州則將監管人工智慧的條款納入該相關法規,賦予(1)消費者選擇退出AI自動分析的權利,及(2)若AI自動決策造成較高的風險及損害,則強制要求該應用,評估個資保護措施。但仍有些州採不同的規範,例如愛荷華州也通過了消費者隱私法,但並未授予消費者選擇退出AI分析的權利。
因此,觀察美國各州的AI立法共識,逐步參考歐盟人工智慧法案(AI Act, AIA)的相關立法規範及理由,也將促使美國國會立法者採此共識,而提出AI相關立法架構,值得持續觀察與學習。
台灣仍在擬定《人工智慧基本法》草案中
今(2023)年7月我國國科會指出有訂《人工智慧基本法》之必要,隔月行政院發布通過「行政院及所屬機關(構)使用生成式AI參考指引(草案)」,宣示製作機密文件不得用生成式AI,且強調AI基本法的立法就是先指引後立法,而立法的框架也聚焦於七大面向,包含AI法律名詞定義、隱私保護、資料治理、AI風險管控、AI倫理原則規範、產業推動,以及AI應用的遵法與合法性等。
就此,本文建議此七大面向必須學習歐及美等國的立法框架,以資安風險為核心,規範AI對人權的可能侵害,及分析對勞動就業、社會及產業發展的衝擊,全面性提出修法配套,例如將無過失責任(Liability without Fault)、AI退出權及個資去識別化等法理,規範數位、軟體或系統相關產品或服務生產商,以保護消費者的權益,並建構人權侵害預防及資安配套措施。
此文章與信傳媒同步刊登
作者為台灣駭客協會理事,中研院資訊所博士後研究人員,東吳大學科研所兼任助理教授,元智大學資管系兼任助理教授。
- 面對APT級駭客攻擊的因應之道 - 2024 年 9 月 23 日
- 從Windows大當機事件,反思資安韌性政策 - 2024 年 8 月 12 日
- 打詐第一箭:人工智慧對抗AI假訊息 - 2024 年 7 月 1 日