人工智慧(AI)發展的應用領域相當廣泛,包含以行動健身APP蒐集健康資料後,APP開發商可以透過上傳的資料改善其服務;或是當用戶以智能家居APP遠端操控家用電器時,APP開發商可以藉此深入了解使用者的生活習慣,並適度調整家用電器設定,可見人工智慧可有效地將產品和服務與消費者進行匹配。然而AI亦存在多項法律議題。

一、平等議題

利用AI進行預測或決策,能夠有效改善生活並提高生產力,因此帶動了消費者和公司對於創新產品的期待,也提高人們對於系統性創造的依賴。然而,AI潛在不準確的特性及可能產生之偏見,亦可能會造成具有某些特性的人群被排除在外。例如,近年的醫療AI雖係出於善意使用,針對病情最嚴重的患者進行醫療干預,然而最終可能將資源集中於更健康特定族群中,而損害了其他種族中病情較重的患者。

此類人工智慧所衍生的平等議題,亦特別常見於與各國消費者保護法令之領域。在美國《信用機會平等法》中,禁止因種族、膚色、生物性別或社會性別、宗教、年齡、殘疾狀況、國籍、婚姻狀況和遺傳資訊等受保護特徵而對消費者有所歧視。而當消費者控訴公司有違規行為時,首先必須證明其確實受到「差別待遇」或「差別影響」。

所謂「差別待遇」,係指公司基於特定受保護的特徵選擇不同方式對待客戶,例如即使人工智慧分析顯示單身人士償還貸款的可能性低於已婚人士,貸款方亦不能因此拒絕向單身人士提供貸款或向他們提供比已婚人士更優惠的條件。而所謂「差別影響」,則指雖然公司表面上係採用中立的政策,但實際上仍對受保護的群體產生了不成比例的負面衝擊,例如即使AI分析顯示某群體成員有較高可能性在 3 年內辭去工作,然而雇主仍不得拒絕雇用該群體。若採用AI模型分析之結果將對特定群體產生不同的影響,政府會進一步審查公司使用該AI的理由,並同時考慮若採取其他較不具歧視的替代方案是否也能達成相同的結果。

無論是美國還是歐盟政府,皆建議公司應對AI模型進行驗證,以確保這些模型不會因此產生非法歧視。例如,美國《消費者貸款法》要求公司所使用的AI系統,必須具備「從經驗上可得出、可證明,且統計上係屬合理」此一特性。欲符合此要求,意味著AI基於樣本分析而得出的數據結論,除了必須使用公認的方法論進行開發外,後續並應通過適當的方法論進行定期驗證,且應持續根據需求調整並保持其預測功能。具體而言,使用AI時應逐一檢視AI的數據庫的代表性、AI模型是否將可能產生的偏見納入考慮、及AI預測的準確性。有鑒於AI所做成之決策結果未必符合公平正義,歐盟GDPR規定企業必須告知個資當事人AI處理流程背後的演算邏輯以及該演算法係基於何種通則針對個案做成決策。此外,GDPR亦規定,除非是經當事人明示同意,否則企業不得基於當事人之特種個資進行自動化決策。若企業係採用自動化決策之方式分析個人資料,則個資當事人有權不受到以該種方式所做成之重大決策所拘束。

二、侵權議題

當AI逸脫人為的操控而發生侵犯人身財產權事件時,責任應該由誰負擔?此議題因自動駕駛事故的發生,目前亦是各方討論的重點。依世界上大多數的侵權行為法,責任負擔的前提必須要具備「預見可能性」,然而隨著AI深度學習的發展,AI決策的結果有時已是人類所無法預料的。此時所產生的疑問是,當AI透過學習進而改變自己的「思維過程」時,是否已改變了當初所創建之AI模型,而使得原始模型產生了重大變化?此外,當被認定為「產品」的AI發生侵權事件時,亦需要進一步判斷這究竟是屬設計瑕疵、 製造瑕疵、 或銷售瑕疵(操作說明不明確或未能正確警告)?此亦為判斷責任歸屬之重點。

三、隱私權議題

公司使用AI所面臨的另一個法律議題是隱私權議題。若公司無法讓用戶信任其隱私權保護機制,亦會形成業務推廣之阻礙。例如:若廣告商未能向用戶提供友善的個人資料使用同意機制時,用戶將會選擇安裝廣告阻擋程式。

 

AI的主要隱私權挑戰包含:

1.  缺乏控制和透明度 - 資料來源廣泛多元,用戶不清楚其資料是否已被蒐集,因此該如何以有效且即時之方式告知用戶?

2.  重複使用資料 – 通常AI的分析會不斷嘗試將同一筆數據與其他數據進行不同的組合以產生新的數值。然而,此種分析方法可能造成資料處理方式偏離用戶當初所同意的資料蒐集目的及使用範圍。

3.  資料的推斷及重新識別 – AI針對不同數據集進行組合或重新演算後仍可能推測出特定人的身分。使用將這些重新識別的資料嚴重侵犯隱私。

 

近年各國政府對於大數據與隱私保護相當重視。歐盟的GDPR、中國大陸於去年通過的個人信息保護法,及白宮和美國聯邦貿易委員對物聯網監控的建議均強調隱私保護可被視為AI產業發展的契機。若產業在隱私權議題上可提出妥善之處理策略,將可以更加建立使用者對於大數據生態系統、設備及服務的信任。依現行各國法令框架,個資處理的合法性大致上以落實當事人明確同意和資料最小化的資料保護原則為前提。然而,當事人同意未必是對社會最為有利之作法。用戶本身所具有的認知偏見可能造成其無法完整客觀的決定。舉例而言,實務上很少有用戶會選擇分享瀏覽器的crash report,其原因並不是因為用戶有隱私疑慮,而是因其錯誤地認為其他人都會選擇使用,進而認為自己不須主動分享仍能獲得資訊共享的利益。試想,若Facebook當初在推出其News Feed功能時,若選擇採用等待用戶選擇加入之方式,則將僅會有少數人選擇使用News Feed功能。然而對於特定敏感的資料,為保護用戶的合理隱私期待,企業仍應採取事先徵求用戶同意或提供退出選項的作法,例如行銷廣告或定位服務等。

關於社會利益及資料保護原則之兩難,各國法令均試圖從中尋找最適當之平衡點。目前最先進的法令框架,如GDPR,即試圖於個人資料的利用及保護之間取得平衡。GDPR所強調的「隱私保護設計(DPbD&D Data Privacy by Design and by Default)」,即係指在產品或服務的設計階段,即導入隱私保護設計之概念及相關技術,以設計出符合資料最小化原則的流程,又同時能使產品或服務為企業帶來利益。具體之行動亦包含訂定資料保護政策、執行資料保護影響評估、規劃告知事項及當事行使個資權利的流程。另一方面,為因應可能發生的產品責任,當決定使用AI時,企業應先確定商業及法律基礎並詳實記錄演算法的測試歷史,以證明盡職調查的過程,亦應記錄不使用替代方案的原因。由於AI的發展空間無限且不可預測,面對其可能產生的法律風險,企業應更加謹慎小心,以避免遭致高額的罰金或賠償責任而得不償失。

翁士傑

執行顧問

KPMG in Taiwan

Email