Liying Wang, Legal Master (王琍瑩 / 法務輔導長 & 明日科技法律事務所主持律師) 帶領內建法務團隊，提供企業經營、合約協商、紛爭處理等各方面法律諮詢，輔導建立營運管理機制，必要時也協助團隊尋求「突破框架」的解方。曾任 HTC 全球營運資深法務經理、萬國法律事務所科技法律部律師，也曾服務於士林地方法院、台北高等行政法院。美國西北大學法學碩士、政大法學士、政大 EMBA，具備美國紐約州與台灣律師執照。 如果你是 Apple、Google 或 Yahoo 會員，最近登入帳號，一定會收到新版的隱私條款聲明，要求你按下同意。多數人可能直覺會以為，這是在 Facebook 的「劍橋分析」風暴後，各家業者亡羊補牢的對策。其實並非如此，而是影響層面更深更廣的歐盟個資保護新法 GDPR (General Data Protection Regulation)已在 5 月 25 日上路，是它讓大家嚴陣以待。 隱私權是個超過百歲的古典法律概念，但究竟為什麼， GDPR 會引發全球業界草木皆兵？在注重蒐集用戶數據的 AI 時代，這會產生哪些影響？ 首先，GDPR 在適用對象、規範內容和處罰等面向，都宣示前所未見的管制力道。其次，GDPR 明文確認「賦權」(Empowerment) 與「當責」(Accountability) 的觀念，徹底顛覆政府與民間「上有政策、下有對策」的表面和諧。再者，GDPR 可算是首部「單挑」應用 AI 與 Big Data 的隱私保護法令，試圖直搗黑盒子核心。 可以想見， GDPR 上路後，數據利用與用戶隱私之間的權衡與折衝，將成為企業無法迴避的挑戰。壞消息是，GDPR 的「最廣、最嚴、最昂貴」讓企業稍有不慎，就可能嚴重受罰；好消息是，在與 AppWorks Accelerator 校友企業進行法務輔導的過程中，針對實務運作，整理出這篇「最小、最大、最透明」的教戰守則，在此公開分享，希望提醒企業看待 GDPR 不只是無奈的法遵成本，更是協助產品與服務最佳化的關鍵。 GDPR 之最廣、最嚴、最昂貴 GDPR 引發業界焦慮恐慌的紅色警戒，主要原因有以下三點： 1.適用對象史上最廣 GDPR 適用於任何在歐盟設立據點的企業，無論個資處理是否發生在歐盟境內。相對的，如果企業的產品或服務，有部分用戶是歐盟居民、蒐集或處理到歐盟居民的個資，無論是否為設立在歐盟的企業、不管是 B2C 或 B2B 領域，都在 GDPR 涵蓋的射程內。當然，企業請不要忽略，隱私保護不只影響到用戶黏著度、交易夥伴的合作意願，隨著 GDPR 帶動全球法規風向，法遵稽核勢必也將成為投資與併購案件 Due Diligence 的重要環節。所以，不論企業是否直接適用 GDPR，沒有人是局外人。 2.規範內容史上最嚴 GDPR 整份文件，光是前言就有 173 點，內文更長達 11 章共 99 條法規，鉅細靡遺規範了什麼才是合法、公平與透明的數據蒐集、處理、利用，包括：使用者權利、系統架構、資安管理、風險評估、通報機制、專責人員、標章制度、跨境傳輸、機關權限、爭議處理、緊急措施等。其中許多定義釐清與執行難度，目前仍存在爭議，有待將來累積個案經驗與實務見解，且戰且走。 3.天價罰鍰史上最貴 在台灣，現行「個人資料保護法」對違法企業，最高按次處以新臺幣 5 萬元以上、50 萬元以下罰鍰。但一旦違反 GDPR 情節嚴重，最高可能處以 2,000 萬歐元，或全球年營業額 4% 的罰鍰。無論是資料控制者 (Data Controller)、協助進行資料儲存或傳輸的資料處理者 (Data Processor)，都可能受到裁罰。 教戰守則之最小、最大、最透明 GDPR 引進「賦權」與「當責」的觀念，將一直以來被誤認為配角的用戶與企業，重新拉回鎂光燈下，企業不再只是配合主管機關規定，或是請律師擬定隱私權政策文件的被動角色，這主要包括三個面向： 1.最小限度利用個資 隨著科技演進，個資的定義愈來愈廣，泛指一切可識別化的個人資料。GDPR 明文指出，以不可逆的方式得出完全無法辨識出用戶個人的「去識別化資料」(Anonymous Data) ，雖不屬於隱私保護範疇，但可透過交互比對、勾稽辨識出用戶個人身分的「去連結化資料」(Pseudonymised Data) ，仍可能構成個資。相對的，GDPR 也確立個資的蒐集、處理、利用都必須遵循「最小限度原則」，也就是不得逾越預先設定的「特定目的」。 從數據分析的效率而言，蒐集資料本來就不是愈多愈好，過多的雜訊、不知所以的運算，結果也只是 “Garbage … read more

Liying Wang, Legal Master (王琍瑩 / 法務輔導長 & 明日科技法律事務所主持律師) 帶領內建法務團隊，提供企業經營、合約協商、紛爭處理等各方面法律諮詢，輔導建立營運管理機制，必要時也協助團隊尋求「突破框架」的解方。曾任 HTC 全球營運資深法務經理、萬國法律事務所科技法律部律師，也曾服務於士林地方法院、台北高等行政法院。美國西北大學法學碩士、政大法學士、政大 EMBA，具備美國紐約州與台灣律師執照。 這是我家前陣子出現的真實對話，一刀未剪。 我：如果有一輛無人車，出車禍的時候會保護比較多人，另一輛會傷害比較多人，你選那一輛？ 孩子：我選保護很多人的。 我：如果為了保護比較多人，有可能害車子裡的你死掉，你選哪一輛？ 孩子：還是選保護很多人的。 我：如果車子裡不只有你，還有媽媽呢？ 孩子：還是選保護很多人的，媽媽跟我一起去天堂沒關係。 我：如果車子裡只有媽媽呢？ 孩子：那我要選保護媽媽。 孩子天真的回答，卻是典型人工智慧應用的 Trolley Problem 倫理兩難，假設回答問題的不是使用者而是車廠，加上商業利益的考量，問題將更為複雜。無論保護多數人的選項多麼道德正確，最終，銷量第一的，恐怕還是能優先保護使用者的無人車吧！無人車或許是極端的例子，但人工智慧演算法不知不覺、方方面面介入我們的日常生活，已是創業者、開發者與使用者必須共同面對的真相。 推動 Trustable AI 為什麼又急又重要？ 從 Google 搜尋引擎、Siri 語音助理、Facebook 廣告置入、Netflix 影片推薦……到 UberEats 訂餐外送，每一項服務都因為演算法的優化，為使用者帶來方便，同時為企業增加營收。起初，演算法只是約略猜測我們想買什麼、想看什麼、想吃什麼。隨著數據資料的大量累積與交互運作，演算法開始知道一些「不足為外人道」的秘密，例如，誰最近剛懷孕、誰準備離職跳槽、誰又暗戀著誰。然後，無論願不願意，演算法可能比我們更瞭解我們，這些關於「自己」的一切，會成為貸款的信用分數、看病的用藥依據、犯罪的呈堂證供。如今，我們也都見證了人工智慧演算法回過頭來操縱個人意志，決定我們該買什麼、該看什麼、該吃什麼，甚至票投給誰。終於，我們變成演算法期待的那個模樣，但究竟哪一個才是「真正的自己」？所謂「更好的自己」誰說了算？而眼前活生生的「自己」，有沒有絲毫抗辯的權利？ 事實上，所有機器學習 (Machine Learning) 的模型及成效，都取決於人為的建構，尤其現今主流的深度學習 (Deep Learning)，連開發者都只能判斷運算結果的好壞，卻無從得知 AI 如何作成決策，是名符其實的演算法黑箱。即便暫不考慮 False Positive 與 False Negative 的問題，開發者也很難如同賣菜刀的師傅兩手一攤說：「刀子可以切菜也可以殺人，工具是中立的啊！」更何況，機器學習的每一筆訓練資料 (Training Data)，都是人類社會既已發生的事實，當歷史經驗存在偏見 (Bias) 未經校正，演算法的產出就必定是偏見的重現。試想，如果國家的警力部署，是依據各地犯罪率高低的歷史資料自動演算的結果，那麼部署嚴密的區域因為破案率提高，在後續犯罪率的統計、警力的部署也將形成循環性的偏差。開發者有意或無意的決定，都可能造成難以預期的結果，也因此，「可信任的人工智慧」(Trustable AI) 成為全球開發者亟欲突破的難題。 Trustable AI 主要的探討，是如何盡可能減少演算法黑箱的節點，提升公平性、當責性與透明性 (Algorithmic Fairness, Accountability and Transparency; FAT)，技術難度或營業秘密再也不能作為演算法偏見或歧視的藉口。美國國防高等研究計劃署 (DARPA) 自 2017 年推動為期長達五年的「可說明的人工智慧計畫」(Explainable Artificial Intelligence Program; XAI)，就是希望在 Trustable AI 與機器學習的成效二者權衡之間，尋求最佳解。 歐、美、亞三地最新的 Trustable AI 規範在說些什麼？ 演算法對人類社會的影響既深且廣，開發者探討 Trustable AI 議題，不能缺少人文與社會科學的研究。所幸，隨著 Trustable AI 技術領域日臻成熟的同時，相關法律論述也在今年上半年逐漸成形。一切的開始，或許要回溯到「家喻戶曉」的歐盟 GDPR (General Data Protection Regulation) 個資保護規範，說到 GDPR，業界對它的認識不外乎「史上最嚴個資法」。 事實上，除了個資的蒐集、處理與利用等隱私保護機制外，GDPR 也相當強調 Trustable AI 在法規上的具體實踐。例如，當「自動化個案決策」(Automated Individual Decision-Making) 完全經由演算法自動產出，且該決策對用戶產生法律效果或類似重大影響時，應賦予用戶請求解釋、表達意見、拒絕適用，或以「工人智慧」人為介入判斷的權利。此外，GDPR 為了避免人工智慧應用，對於個人的基本人權與自由產生重大危害，針對「特種個資」(Special Categories of Personal Data) 保護更為嚴格，包括種族、政治立場、宗教信仰、工會會籍、基因、生物特徵、健康狀況、性生活或性取向等，只有在符合特殊要件的前提下，才允許採用特種個資做為演算法的輸入資料。 … read more