這陣子試著把重心挪到其他非網路世界,讓工作是工作,生活是生活,維護自己的健康,且在聯合國網路治理論壇舉辦期間,也只參與自己有興趣的線上會議。然而在整個上半年,我在工作中所觀察到全球AI治理政策及法規發展,都顯示台灣相關立法進度延宕。
台灣政府的立法習慣是先觀察其他國家怎麼做、已經實行相關政策的後續發展成果優劣,再從這些經驗中快速學習。
我看到幾個國家都在往前一直跑,台灣內部的政治因素影響,台灣國發會終於推出「AI新十大建設推動方案」(草案,不是關係人所以看不到內容),新聞稿中也放很多的關鍵字,如量子電腦、資料治理、智慧XX等談了很多年的東西,再放到一個新瓶子裡,同事形容的很好:「目前因為不知道詳細內容,希望不會是新瓶裝舊酒」。
我讀了行政院在7月3日的新聞稿,腦袋裡浮出的是幾年前智慧國家簡報中的那幾個從平面上長出來的汽球。
快速掃瞄歐盟、英國、美國及日本的相關法案,及民間合作
我在這兩個月觀察到英國、日本、韓國、歐盟、美國,不論是在資料治理或是AI治理上的進度非常快。由於不是每個人都喜歡讀法規內容,所以我簡列事件如下,有興趣者可以再去找相關資料,已通過的法案都已經公告在網站上,可以自己再去看:
- 歐盟在 7 月 10 日通過「人工智慧行為守則」(Code of Practice),將於 8 月 2 日實施,內容包括透明度、著作權及安全/保障(Safe and Security)的規範,以補足 《人工智慧法》,之後也會有相關的指南,形成完整的治理配套措施。自願簽署的企業就表示也自主遵守歐盟《人工智慧法》(AI Act),也會有遵法上的確定性,降低不確定性的成本。不願簽署的企業也有其他遵法的方式,只是不確定性的風險比較高。
- 英國通過資料法案,這就不再多贅述。
- 日本在今年3月更新《企業人工智慧指南》,增加新風險和問責需求,在 6月時通過《促進人工智慧相關技術研究、開發與利用的法案》,目的是打造AI友善的國家。
- 美國目前仍缺乏聯邦等級的資料保護法案,但各州都有非常嚴格的資料保護法案。除了資料治理法案外,各州也有提出管制人工智慧的法案,而德州州長在6月就簽署該州的《德州負責任的人工智慧治理法案》(Texas Responsible AI Governance Act,TRIGA),管制對象包括人工智慧系統的開發者與部署者及政府實體。
- 當台灣民間開始覺察《數位中介服務法》的重要性時,美國在 4 月已通過與AI發展相關的《透過限制網站與網路上的技術性深偽行為來解決已知漏洞的工具法案》(Tools to Address Known Exploitation by Immobilizing Technological Deepfakes on Websites and Networks Act,簡稱 Take It Down 法案),遏止非自願私密影像(Non-Consensual Intimate Imagery, NCII)與AI深偽色情影像(DeepFake pornography)的擴散,特別針對未成年人及未經授權的個人提供法律保護,以防範數位性剝削與網路羞辱。
- 民間也有一件自主合作讓我特別留意,也就是金融科技開源基金(Fintech Open Source Foundation,FINOS)與花旗銀行(Citi)、加拿大蒙特婁銀行(BMO)、加拿大皇家銀行(RBC)、摩根士丹利(Morgan Stanley)等多家金融機構,以及Microsoft、Google Cloud 及 AWS等全球主要AI服務供應商,共同啟動「人工智慧服務共通控制標準計畫」(Common Controls for AI Services project),推動「即時驗證機制」(real-time validation mechanisms)共同打造一套可共享、可重複使用的AI控管標準,專為金融產業中的人工智慧應用設計。
韓國的AI治理相關法案發展
我把韓國獨立出來寫,不得不佩服這個國家在沒有總統時還能專心立法、通過法案,再回頭看台灣的現況,真的是找不到形容詞來描述一群拖累台灣發展的人,對台灣帶來多大的傷害。
韓國其實是一個資料治理政策發展的非常好的國家,他們有開放政府資料法,還立法鼓勵民間再利用資料,整個資料治理政策的發展過程、政府主導的應用、民間的介接,從表面的狀況都非常完整,同時,他們也發展良好的 MyData 應用,從金融服務的介接到今年已在談醫療及資料可攜權。大家熟知歐盟的相關法規有規定資料可攜權,如DMA、GDPR,但韓國已經開始實施。
韓國在 2024年 12月時,當時他們國內政局動盪不安時,仍通過《人工智慧基本法》(Basic Act on the Development of Artificial Intelligence and the Establishment of Trust,簡稱韓國AI基本法),並預計在 2026年1月1日生效,將會每3年制定一次該國的AI總體發展規劃。在該法案中也規劃培養AI專業人才、扶持中小企業,及培育新創企業。韓國政府可以依法支持民間主動進行的AI 安全性與可信度驗證或認證、及對 AI 帶來影響所做的評估。
韓國個人資料保護委員會也在12月開始規劃「AI隱私風險管理模型」,同時與各界合作,探討「AI 隱私風險診斷與認證方案」對AI隱私風險規劃具體診斷與認證措施,有助於企業建立可量化且系統化的隱私風險評估機制,強化AI系統對內在隱私風險的管理,也公布「生成人工智慧開發與使用個人資訊處理指南」(草案),並徵求意見,未來將藉該指南協助企業減少遵法的不確定性,也能讓企業把保護個人資料的觀點落實在開發生成式AI的過程中。
在 2025年6月,我注意到韓國電力公司與韓國石油公司、韓國南灣電力公司、韓國電力安全公社、韓國電力交易簽署「能源相關團體資料安全區聯合利用」合作備忘錄,將建立一個資料安全區,讓這些公司可以共享相關資料來訓練AI或分析資料。
在這個月,韓國的2家電信公司(LG U+與KT)要配合警方既有的詐騙電話號碼清單,訓練AI模型識別詐騙行為模式,並藉由每次實作來提高AI模型運作的準確度,而這2家電信公司的申請已經通過了,再加上SK電信與韓國中小企業銀行已在2024年通過同類型AI詐騙偵測服務的事前審查,所以韓國的三大電信都開始利用及訓練AI來偵測、攔截詐騙。
另外,韓國也將量子科技與低功耗 AI 車用晶片列為國家戰略技術,也已指定相關的公司,而被指定的公司將會有許多政策優惠。
擔憂台灣AI治理政策發展的未來
在整個上半年裡,全球在AI治理與合作上的發展進度非常迅速,自從 2023年的英國的 AI Summit 及 2024年在韓國進行的 AI Summit之後,各國除了積極發展政策治理外,民間合作、技術的進度也非常快,有些國家我沒寫在其中,例如新加坡與盧安達推出適用於小國的人工智慧處理手冊、馬來西亞也推出人工智慧治理與道德的國家指南。
台灣在整個AI供應鏈中,占有極大的優勢,但除硬體外,我們幾乎在法規與指引的詳細規劃,沒有給軟體或服務業者遵循的方向,這反而給業者相當大的不確定性,也就是在法令遵循上具有高風險。
上述的這些國家都在為自己國家、國外業者設下一道防線,讓國外業者在發展AI時不會侵犯自己國家人民的隱私與權利,同時也能提升自己國家內部產業的發展,更進一步應用AI來保護自己的人民,讓AI使用在保護人民、協助各產業轉型的用途。
在韓國相關政策發展的過程中,我也注意到韓國個人資料保護委員會的重要角色及其位階,相較於台灣目前個人資料保護委員會還在籌備的狀態,且只是三級機關,兩者的等級就差非常多。當韓國的企業需要應用資料時,是需要送至個資會審查適法性,估計未來台灣如果被也要走同樣的發展,有可能是由各事業目的主管機關去審核,而非由個資會審核。台灣個資會的位階並不高,很難想像未來要如何發揮它的作用,且韓國的個資會也深度涉入AI立法及監管,目前無法得知台灣的個資會在未來可以涉入的權限會剩下多少。
台灣在談資料治理談那麼多年,在這幾年的開放政府資料網站上還有多少可用的資料?當初許多人幫第一線公務人員遊說不要為開放政府資料立法,以致於現在台灣資料治理局面依然是鬆散、資料不足以使用於訓練AI的議題時常發生。
我相信政府各部門背後的智庫都已整理、準備好相關的資料,但我不知道這個國家繼續空轉下去,是否在這波AI治理競賽中,讓自己國家的企業除了要面對自己國家內部的政策不確定性外,還要面對外國政府的監管及法遵成本。如果我們的政府繼續在那幾個關鍵字上繼續高談闊論,我懷疑是否真的有助於整個國家、產業與人才的轉型及發展。
Image by Joselito Hernandez from Pixabay
留言
發佈留言
請勿匿名留言,待審核後才會出現。