第四章 演算法與數據之行政規制
第二節 個人資料保護與運用之行政管制
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
保障用戶對個人資料自主的權利,歐盟率先規範科技領域的道德和法律,保護公 眾的數位權利,為網路公司和研究機構的數據蒐集設置了極大障礙,對於違規者,
將會受到歐盟巨額罰款的處罰281。
第二節 個人資料保護與運用之行政管制
釋字603號解釋,第一次提出了個人自主控制個人資料的想法,在不抵觸憲法 23條規定的範圍下,人民可自主決定是否揭露其個人資料,以及在何種形式,何 時以何種形式向何人揭露其個人資料,以及人民對其自身之個人資料之使用有知 悉與控制權,以及資料登載不實之更正權。
而與個人高度相關的個人資料,也早以成為人格的一部份,不應該任其商品 化,任何將個人資料予以物化、販售,都是侵害人性尊嚴,個人的資料保護,自 己決定如何使用,也就是人的自治自決權,是人性尊嚴的一部份282。
第一項 個人資料保護在人工智慧時代之困境
各式各樣與人工智慧相關的應用,進到人類的社會,從社交網站、智慧音箱 的小愛同學、特斯拉的自駕車輛、各式翻譯軟體、語音辨識、交談機器人、智慧 醫療、智慧交通和智慧金融,人類生活漸漸的越來越多的新產物都是與人工智慧 相關。人工智慧透過物聯網、大數據、雲端運算,不斷的產生和蒐集大量的資料,
透過利用機器學習和深度學習進行資料的歸類和分析運算產出決策,因此個人資 料變成是人工智慧時代非常重要的權利。
281 趙挪亞,歐盟搶先發佈人工智慧道德準則:AI 要以人為本,負責任且無偏見,
https://www.guancha.cn/internation/2019_04_09_496946_2.shtml,最後瀏覽日:2020 年 6 月 4 日。
282 李震山,同註 89,頁 15。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
大數據和人工智慧的結合,使人類社會的進步發展走入了另一個階段,大數 據的應用,使得原先複雜、大量的資料中可以解析出有價值的資訊,進一步的產 生「資料價值」、「資料經濟」,以醫療為例,原先病人在進入醫院後,便進行 診斷,診斷過程中從病人描述症狀到醫生產生醫囑和處方,隨即有著各項檢測,
比如:量測血糖、X-光檢測,便產生了後續的生理資訊和醫療影像,這些資料原 先都是各自獨立的,以各種形式散居於各地,有的是文字、有的是影像、有的是 手寫的資訊、有的是數據資料,只有透過病歷表去將這些資料連結在一個病人身 上,現在有了大數據後,我們可以將資料分類擷取和挖掘後,放置於雲端資料庫 中,透過後端的機器學習和深度學習,使得這些資料得以被分析、建立統計模型、
進行演算、透過歸納後產生新的預測。這些都是大數據和人工智慧的運用,使得 原先的資料變成有用的資訊。
在大數據和人工智慧的時代裡,原先是獨立的病歷,保留在醫院裡,只有相 關醫療人員和病人才知道的資料,在透過雲端存儲後,透過人工智慧所進行的資 料挖掘,與其他資料庫連結,將使得原本可以被好好保護的個人醫療隱私被曝露,
是我們須要在未來去注意的事情,不止是醫療資料,而是各種與個人相關的資料,
都有可能會儲存於雲端,透過資料挖掘後,被取得,而原始的資料在結合了眾多 資料庫以及運算後,會變成很有用的資訊與知識,但在這過程中,是否個人資料 的保密性也因此而被犧牲是值得注意的,也因此,在這樣的時代裡,一方面我們 應該積極的鼓勵資料的連結、分享與運算,一方面我們必須要注意到個人資料的 保護,在追求資料價值最大化的同時,保護個人資料的自主控制性,這是政府相 關單位和每個人都須要去注意的事情。
雖然人工智慧提供給了人類很多的便利使人類生活更優質舒適,但也有人越 來越憂慮人工智慧相關產物對個人的侵害,商業統計分析軟體系統公司SAS在2018 年底,針對525位美國消費者做了一個線上調查,超過一半的美國消費者(67%)
願意接受像GDPR這類更嚴格的數據隱私法規。在該調查中,將近四分之三的消費 者(73%)表示,他們越來越擔心個人的數據隱私。由於擔心隱私被侵犯,超過 三分之一的受訪者(38%)減少了對社交媒體的使用,66%的人表示他們已採取 保護措施,比如更改隱私設定(77%)、更改或不接受Cookie(67%)、拒絕協議
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
條款(65%),移除應用程序(56%)、或刪除社交媒體帳戶(佔36%)283。由 此報告看來,對消費者而言,比起生活便利舒適來說,大多數消費者更重視隱私 權和個人資料的保護。而不管是公務機關或非公務機關,保護好資料當事人所提 供的資料,不被濫用、外洩、改造,傳遞正確資訊都是機關最重要的事。
人工智慧時代,個人資料的保護比傳統的電腦時代更為重要,本項將說明,
現有的個人資料保護法在人工智慧時代所面對的困境,並說明新的隱私政策 GDPR及未來我國個人資料保護法的可能改善方向。
個人資料的保護著重在蒐集、處理和利用三個階段,這三個階段都有必須面 對的困難,首先是個人資料的蒐集:
個人資料的蒐集可以分為直接性的向資料當事人蒐集,抑或是透過其他目的 蒐集後,在資料使用同時或之後,再將資料轉為二次使用,比如信用卡公司,將 卡友資料再轉讓給行銷公司進行電話行銷使用。
若是在蒐集當下可以得到資料當事人同意,不管是直接的蒐集或是間接的蒐 集都可以在法律上取得合法的地位,避免爭議,然而,在大量的數據需求下,須 要逐筆的向當事人取得同意,將使得個人資料的成本大幅提高,而若是間接性的 取得資料,但在使用前必須取得資料當事人同意,將使得間接取得資料二次性使 用的費用與直接蒐集幾乎相當。這種事前取得當事人同意的困境,將使得人工智 慧的推展產生無法輕易取得當事人同意的困境。
而在人工智慧的時代,取得當事人的同意,更有相當程度的困難,很多的物 聯網元件,甚至沒有螢幕或是很小的螢幕,如何取得當事人同意是資料控制者/收 集者要好好設計其軟硬體介面以達成的目標。這種取得當事人同意的困難,將會 使得人工智慧發展受到侷限,也使得相關的業者必須為事前取得當事人同意投入 極高的成本。這些與人有關的資料在進行機器學習時,這些資料是如何的取得,
以及這些資料與當事人之間的關係是什麼,當事人是否有控制這些資料的權利,
在大數據時代變得重要,嚴格說來這些資料代表的就是一個人的個人財產,因此,
在蒐集取得個人資料時候的程序就很重要了,最傳統的方式就是直接向資料當事
283 Data Privacy:Are You Concerned? Insights from a survey of US consumers
https://www.sas.com/content/dam/SAS/documents/marketing-whitepapers-ebooks/sas-whitepapers/en/dat a-privacy-110027.pdf,最後瀏覽日:2020 年 6 月 11 日。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
人取得同意,但是當資料需求量很大的時候,直接事前同意變成是一個很大的成 本負擔,甚至是很難達成的一件事情,而且每種目的就要請求一次同意,也會使 得當事人不勝其擾,相當的沒有效率,如果是基於A目的而蒐集的資料,以二次利 用的形態,轉換為B目的使用,這樣間接蒐集的方式就可以大幅降低資料取得成本,
但即使如此,在轉換目的使用時,仍然須要徵得當事人同意,進行轉換目的,如 此做法仍然是有巨大的成本有付出,這就是所謂的「事前同意困境」284。比較簡 單的突破方式,便是利用去識別化技術,使得個人資料無從識別285。也因此透過 法律要去規範和保護個人控制資料的自主性,並且透過去識別性後使得資料可以 被廣泛利用於資料分析與建立模型,使得資料價值最大化。
由於人工智慧的運用上必須要使用到大量的個人資料,若是每筆資料都透過 第15條之規定,取得當事人書面同意,將使得建立資料庫曠日而廢時。為了使資 料開放和保護取得平衡,去識別化 (de-identification)是指將個人資料中的可識別資 訊移除或是模糊,使得資料無法識別個人,若是能夠將資料進行去識別化,透過 對取得的資料進行匿名化(anonymization)、假名化(pseudonymization)、概括化 (generalization)、隨機化(Randomization)等技術,資料中的個人識別資訊無法被單 獨識別出來或是去除個人識別資料,讓資料可以被認定為非個人資料,此時,所 進行的後續的資料處理與利用就沒有要取得當事人同意的問題,然而,人工智慧 的機器學習,須要各種的個人資料來進行相關性的比對,以肺癌的醫療影像的比 對系統來說,除了比對影像外,該影像的主人是否有家族的病史,該影像的主人 是否有不良的生活習慣,都可能會是人工智慧學習系統中用來做為判斷的機制,
也因此完全的去除個人資料,可能無法滿足人工智慧的需求,也因此,保留部分 識別資料,可以拼湊出個人識別資料的假名化(pseudonymization)將可以使得個人 資料在人工智慧時代被充分的利用,然而,也由於人工智慧時代有了更多的能力 可以逆向的去將已進行去識別化的資料,進行串連,進行推導,使得原先已去識 別化的資料恢復其識別性,所以,在人工智慧時代中,因為運算推演須要有資料 聯結串聯,以將資料的效益發揮到最大,但是為了避免個人資料的洩露,以及維
284 邱文聰,初探人工智慧中的個資保護發展趨勢與潛在的反歧視難題,人工智慧相法律議題芻議,
元照出版公司,頁 160,2018 年 1 月。
285 Article 29 Data Protection Working Group, Opinion 06/2014 on the Notion of Legitimate Interests of the Data Controller Under Article 7 of Directive 95/46/EC, P.42-43 (2014).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
護個人資料自主權,必須要將資料去識別性,也因此資料的去識別化便存在這種
護個人資料自主權,必須要將資料去識別性,也因此資料的去識別化便存在這種