2021年11月29日,英國資訊委員辦公室(The Information Commissioner’s Office, ICO)宣布預計對Clearview AI公司裁罰1700萬元英鎊(約6億2000萬元)之初步意向,同時要求停止進一步處理英國人民的個人資料,並刪除涉及嚴重違反英國資料保護法的個人資料。
Clearview AI公司宣稱其擁有世界上最龐大的臉部資料網路,先前ICO曾與澳洲資訊委員辦公室(the Office of the Australian Information Commissioner, OAIC)進行聯合調查,主要關注於Clearview AI公司使用從網路上取得的圖像與資料,以及使用生物識別技術進行臉部辨識。客戶能夠向Clearview AI公司提供圖像,以進行生物特徵進行搜尋,識別相關的臉部圖像結果,並與超過100億張圖像的資料庫進行對比。
我國個人資料保護法(下稱個資法)制定之後,在相關討論時,常常聽見有關「去識別化」的探討,並且試圖將不同場景所處理的不同個人資料加以「去識別化」,希望能夠避免遵循個資法規定。而在歐盟一般資料保護規則(General Data Protection Regulation, GDPR)下,則區分有匿名化(anonymization)資料與假名化(pseudonymization)資料兩種概念。匿名化資料係指不涉及已識別或可識別自然人的資訊或以不再可識別的方式匿名化的資料。由於匿名化資料已失去個人資料之屬性,因此並無GDPR之適用。至於假名化資料,由於其仍可透過使用額外資訊進而識別當事人身分,因此其於GDPR之概念底下仍屬個人資料之一種。實務上,組織常常因為想要避免遵循GDPR或個人資料保護法等規範,想要透過將資料匿名化的方式來因應隱私保護法令之遵循,而對「匿名化」存有誤解。
FTC指出AI的使用可能產生令人不安的後果,包含種族歧視或其他層面的歧視,例如透過COVID-19預測模型可以有效分配病床、呼吸機與其他資源來幫助公共衛生系統對抗病毒,然而美國醫學資訊協會(American Medical Informatics Association)雜誌近期的一則研究指出,如果前述模型使用的資料反映了既有醫療保健服務中所存在的種族歧視,那將會使有色人種受到不平等的醫療服務。
雖然挪威並非歐盟的成員國,但是挪威已將GDPR納入其個人資料法(The Norwegian Personal Data Act),並於2018年7月20日生效。同時GDPR已納入歐洲經濟區協議(EEA Agreement),因此GDPR也適用於歐洲經濟區(EEA)/歐洲自由貿易聯盟(EFTA),包含挪威、列支敦士登與冰島。
法國資料保護主管機關CNIL(Commission Nationale de l’Informatique et des Libertés, CNIL)於2021年1月27日分別對某資料控制者(Data Controller)及其資料處理者(Data Processor)2間公司分別處以150,000歐元與75,000歐元(共225,000歐元,約新臺幣756萬元)的罰款,理由是因為其未能採取充分的適當安全措施,導致資料控制者所經營網站的客戶個人資料遭受憑證填充攻擊(credential stuffing attacks),以致於資料外洩。
法國個人資料保護主管機關「國家資訊自由委員會(Commission Nationale de l’Informatique et des Libertés, CNIL)」在2020年12月16日發布語音助理(voice assistants)白皮書「On the record」,指出由於語音助理在智慧手機、汽車甚至是冰箱等產品已經成為一種必需品,為了探求語音助理所涉及的倫理、技術與法律議題,CNIL透過與眾多研究人員與專家的合作,發表了該份白皮書。
該份白皮書旨在為設計師(designers)、應用程式開發人員(application developers)、整合人員(integrators)與期望推出語音助理的組織提供領先的隱私保護實踐指引,強調聲音是屬於個人的生物特徵(biometric characteristic of individuals),因此語音助理的設計必須符合透明性與安全性,以符合歐盟一般資料保護規則(General Data Protection Regulation, GDPR)與保護個人隱私。白皮書還提供使用者如何實施良好安全措施的建議,例如確保資料傳輸的機密性,或保護可能與這些設備互動的兒童。
在愛爾蘭,兒童的定義是指未滿18歲的人,與聯合國兒童權利公約(UN Convention on the Rights of the Child, UNCRC)的定義相同,而愛爾蘭資料保護委員會確立組織應遵循的14個基本原則,組織在處理個人資料時應注意對於兒童的保護,為兒童們提供一個比目前更安全、更合適以及更尊重隱私的網路環境,讓孩子們盡情得玩耍、互動、學習與創造。以下是該文件所列出的14個基本原則:
1.一定程度的保護(FLOOR OF PROTECTION)
線上服務提供者(Online service providers)應對所有使用者提供一定程度的保護,除非其採取風險導向的方法(risk-based approach)來驗證使用者的年齡,以將基本原則中所規定的保護措施應用於所有處理兒童資料的行為。
然而,所謂的可解釋性AI到底須要解釋些什麼?2020年5月20日,英國資訊委員辦公室(Information Commissioner’s Office, ICO)與圖靈研究所(Alan Turing Institute, Turing)便基於英國政府2018年4月的人工智慧領域協議(AI Sector Deal)的承諾發布「解釋AI決策(Explaining decisions made with AI )」的指引。