FTC提出誠實、公平與公正的AI使用建議

人工智慧(artificial intelligence, AI)技術不斷的發展,在改變醫藥、金融等不同領域時,同時也引起主管機關的注意,美國聯邦貿易委員會(Federal Trade Commission)在2021年4月19日時,針對公司使用AI時如何同時確保真實(truth)、公平(fairness)與公正(equity)提出建議

FTC指出AI的使用可能產生令人不安的後果,包含種族歧視或其他層面的歧視,例如透過COVID-19預測模型可以有效分配病床、呼吸機與其他資源來幫助公共衛生系統對抗病毒,然而美國醫學資訊協會(American Medical Informatics Association)雜誌近期的一則研究指出,如果前述模型使用的資料反映了既有醫療保健服務中所存在的種族歧視,那將會使有色人種受到不平等的醫療服務。

FTC以其過往的經驗,提供建議如下:

從正確的基礎開始

對於AI來說,如果其資料集缺少特定人群的資訊,利用這些資料所建立的AI模型將可能對受法律保障的族群產生不公平的結果,因此一開始便要考慮改良資料集的方法、設計模型時考量資料的差異,並且根據其缺點限制AI模型使用的地方或方式。

注意歧視性的結果

最重要的是在使用AI前後定期測試演算法、,確保不會基於種族、性別或其他受保障的族群進行歧視。

擁抱透明性與獨立性

須要考慮如何實現透明性與獨立性,例如透過相關框架與標準,進行與公布獨立稽核的結果,以及將資料與原始碼(source code)對外開放檢查。

避免誇大演算法

對於客戶或消費者的陳述必須真實,且不具欺騙性,不須要過度誇大演算法的效能。例如告訴客戶,公司的AI產品能夠提供100%公正的雇用決策,但實際上演算法背後所使用的資料卻缺少種族或性別多樣性,這將可能會有問題。

說明如何使用資料

如果未能清楚的告訴使用者資料將會如何被使用,後續將會有相關法律風險,例如Everalbum利用使用者所上傳的照片來訓練其臉部辨識演算法,然而FTC認為該公司讓使用者誤以為其有能力控制關於臉部辨識的相關功能,並且未能於使用者關閉帳號後刪除使用者的照片或影片,FTC要求該公司刪除非法取得的資料,並且須要刪除基於使用者照片或影片所開法的臉部辨識模型與演算法。

避免有害的行為

儘管演算法可以讓公司知道最有興趣購買其產品的消費者,表面上看起來是一件不錯的事情,然而從另一個角度來看,假如這個模型透過種族、膚色、宗教與性別來精準定位這些消費者,則可能會踩到紅線。當相關行為導致或可能導致消費者受到實質性傷害,且消費者無法合理地避免傷害,同時消費者或競爭的利益不足以抵銷傷害時,FTC將會質疑這樣的行為是違反FTC法第5條的。

負起相應的責任

公司必須對自己的行為負責,如果公司無法做到的話,FTC表示他們會幫你做到這件事情。

歐盟執委會(European Commission)同樣於今年4月21日,針對AI技術發布「AI規則(Artificial Intelligence Regulation)」草案,打算藉此建立歐盟對於AI的監管框架。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.愛爾蘭資料保護委員會強調處理兒童資料的14個基本原則

紐約SHIELD Act

2019年7月25日,紐約州州長Andrew Cuomo簽署防止非法侵入與加強電子資料安全法(Stop Hacks and Improve Electronic Data Security Act, SHIELD Act),就既有的紐約資料事故通知法(Data Breach Notification Law)增訂更嚴格的規範。

該法關於事故通知的部分於2019年10月23日生效,資料安全的規範則是於今(2020)年3月24日生效。同時該法也擴大適用範圍,換言之,只要處理紐約州居民的企業均有該法的適用,以下簡單說明該法重點:

  • 私人資料(Private information)定義
    1. 使用者名稱或電子郵件地址,以及可藉此存取帳戶之密碼或安全性問題及答案。
    2. 個人資料(Personal information,任何可識別該自然人的資料)與社會安全號碼(social security number)、駕照號碼、信用卡卡號等財務帳戶資料、生物資料(包含指紋、聲紋、視網膜或虹膜等)。
  • 資料安全保護要求
    1. 合理行政保護措施,包含「指定至少一個人員協調安全計畫」、「識別合理可預見之內部與外部風險」、「評估保護措施的有效性以控制風險」、「管理與訓練人員瞭解安全計畫及程序」、「選擇能夠維持適當保護措施的服務提供者並於契約內約定之」、「適時調整安全計畫」。
    2. 合理技術性保護措施,包含「評估網路與軟體設計中的風險」、「評估資料傳輸、處理與儲存之風險」、「偵測、預防與應對攻擊及系統故障」、「定期測試與監測關鍵控制措施、系統與程序的有效性」。
    3. 合理物理性保護措施,包含「評估資料刪除銷毀與儲存之風險」、「入侵之偵測、預防與應對」、「避免私人資料於蒐集、傳輸或刪除銷毀期間及後續遭未經授權存取或利用」、「在其商業目的不再需要該私人資料後合理期間內,刪除銷毀該私人資料,使該資料無法被讀取及還原。」
  • 至於「員工少於50人」、「最近三個會計年度,年營業額均少於300萬美元」或「根據GAAP公認會計原則,其年末總資產少於500萬美元」的小型企業(Small Business)則應考量其規模與複雜性,以實施其上述保護措施。
  • 同時該法也擴大既有資料事故定義,修改為「未經授權的存取或取得私人資料」與「未經有效授權而存取或取得私人資料」,而損害私人資料之安全性、機密性與完整性,同時企業發生資料事故,則應依該法規範進行通知或履行相關義務。
  • 違反紐約SHIELD Act,紐約檢察長將可依法處以每次違反最高5,000美元之民事罰款。

華盛頓州修正機構違規通知法

華盛頓州州長於2020年3月18日簽署新修正通過的華盛頓州機構違規通知法(Agency Breach Notification Law, Agency Breach Law),該法適用於州內所有各級州與地方機構,包含部門、局、委員會等機構

該修正案將於2020年6月11日生效,本次修正針對機構違規通知法對個人資料(personal information)的要件,增列社會安全號碼(Social security number)後四碼,換言之,只要該個人姓名結合該後四碼或其他諸如駕照號碼、出生日期等資料要素(data elements),即構成該法的個人資料。