國際電腦稽核協會 ( ISACA ) 台灣分會於今年七月參加InfoSec Taiwan 2024系列演講,當時時任的ISACA台灣分會長也是中華民國電腦稽核協 ( CAA ) 會理事長葉奇鑫,同為達文西個資暨高科技法律事務所所長,受邀演講一場AI隱私保護框架的法律規範。葉奇鑫理事長從四個面向分享,歐盟AI法簡介、國內金融業運用人工智慧AI的指引、行政院及所屬機關 (構) 使用生成式AI的參考指引重點介紹,以及香港AI人工智能 : 策略及治理框架。
歐盟 AI 人工智慧法採風險導向 ( risk-based ) 之監理策略
今年 (113) 5 月 22 日經歐盟理事會,正式批准的《人工智慧法》(Artificial Intelligence Act,簡稱AIA),該法 7 月 12 日公告,自 8 月 1 日起生效。當時葉奇鑫提及歐盟 AI 人工智慧法還處於公告期,他就稱讚此法案,不僅具有法律效力且具備非常詳細的指引方針,經過兩個月後,歐盟AI人工智慧法如今已是正式生效的法案,且為全球第一個全面性監管 AI 的法律框架。
葉奇鑫表示歐盟AI法採以風險導向 ( risk-based)的監理策略,分為四種風險等級,分別為第一種、不可接受之風險,也就是禁止使用的 AI,例如透過影響人類潛意識,操控人類行為且可能對人類身心造成傷害。第二種、高風險,這部分的 AI 系統需受到高度監管,例如對於自然人的生物特徵識別、刑事執法或是聘雇、員工管理等。第三種、有限風險,這部分的 AI 主要義務需要做到透明化義務,第四種則為低風險和極小風險,例如AI訓練出來所產生的詩詞、繪圖畫畫之類的。因此,我們由此四種風險等級的分類上,可觀察風險愈高,監管則愈深。
葉奇鑫進一步表示,歐盟AI對於人臉識別很敏感且嚴謹看待,相較之下,我們國內目前有許多企業則是透過人臉識別系統做為門禁管理之用途,甚至有些企業管理的對象是顧客,例如百貨賣場,他們則會利用透過人臉辨識的機制,將顧客消費行為模式創造為日後的潛在顧客。對於,現在有許多銀行單位正在積極熱烈地研究AI,葉奇鑫則建議大家,針對高風險的部分,先暫緩以避免萬一法律不准使用或是追究責任之時企業所需承擔的風險,此外也建議大家可以先從低風險且有效益的方向著手,降低成本的成效也是增進企業效益的一環,提供給大家參考。