AI中的個資保護與資訊中隱私——GDPR中的請求解釋權

人工智慧與法律規範學術研究群
第二年期(2019-2020)
第三次會議(主題二)

時間:2019年9月26日(星期四)

主持人:李建良(中央研究院法律學研究所特聘研究員兼所長)
主講人:何之行(中央研究院歐美研究所助研究員)

◎ 整理:邱筠雅、洪于庭
◎ 定稿、註解:李建良

Photo by Fernando Arcos from Pexels

前言

關於歐盟GDPR於AI的適用,很多文章探討的重點在於,是否存在「解釋權」的問題,也就是歐盟的GDPR到底有沒有提供解釋權的請求權基礎?

解釋權旨在回應「透明性原則」,而透明性原則其實與「資料的二次化利用」與「去識別化」互有關聯。因此,解釋權的問題可以接續討論AI的正當法律程序課題。

關於AI是否具可解釋性,可以先提出幾個前提性觀點與命題:

  1. 不一定要把GDPR作為唯一的法律規範。
  2. AI有無可解釋性?資料主體(data subject)是不是對於資料控制者(data controller)有所謂「可解釋的權利」?
  3. GDPR到底有沒有規定「資料主體的請求解釋權」?

GDPR到底有沒有規定「資料主體的請求解釋權」?

此一問題,基本上有兩派說法,並且立基於不同的規範基礎:GDPR第22條或第13~15條?

爭點說明:

  1. GDPR第22條主要是規範「自動化作成的個人決定」(automated individual decision-making)1,也就是純粹以自動化程序做出來的決定,而其結果對特定個人有法律效果或類似效應時,該個人有不受該決定拘束的權利(the right not to be subject to a decision)。有人以此作為請求解釋權的基礎。
  2. GDPR第13~15條規定:資料控制者對於資料主體者提供資訊的義務,也可以變相的解釋成資料主體有權讓資料控制者使其瞭解其資訊是怎麼被處理的。
  3. GDPR第22條可否作為請求解釋權的規範基礎?

否定說(多數說)

GDPR的Recital的法律的地位可能不夠充足。

肯定說:

根據「Art. 29 Working Party, WP」2的報告書,可以看出GDPR第22條可以作為解釋權的基礎。

  1. 有沒有明定解釋權其實沒有關係,如果這個問題還是存疑的話,重點應該是如何滿足AI的正當法律程序。
  2. 第22條第3項3:資料控制者有義務讓資料主體有陳述意見及質疑資料控制者決定的機會,以呼應第71條。
  3. 若要把AI變得更透明更可信,就應該讓資料控制者負有這些義務。
  4. 第13~15條規定:資料主體有權要求資料控制者告知資料主體關於決策邏輯有意義的資訊。
  5. 就第13~15條來看,在什麼樣的時點,資料主體可以向資料控制者要求解釋?於資料蒐集時,資料主體應該就可以請求解釋;於第15條之情形,時點則較晚,須在資料控制者已經利用資料並做出決定時,才可以請求。

「資料主體的請求解釋權」如何行使(執行)?

如果資料主體有向資料控制者要求解釋的權利,那是如何被執行的?有沒有可能被執行?有沒有可能即使在沒有可解釋權的架構之下,還是可以保障正當法律程序?

如何提供解釋?

基本上有兩種模式:Model-Centric vs. Subject-Centric

  1. Subject-Centric比較是主題式的,即被決定的個人可以要求做決定的資料控制者告知該決定是如何做出來的。
  2. Model-Centric則比較不是個案式的,而是被決定的個人只能要求資料控制者大約告知機器(自動化)是如何學習、有哪些變數,而不是就個案決定過程進行描述。

執行請求解釋權的限制?

請求解釋權的行使,受到下述因素的限制:

  1. 演算法的應用領域(domain)
  2. 請求解釋的主體
  3. 通常是複雜、不符演算法主要邏輯的個案,所以可能難以解釋。
  4. 個人利用請求解釋權的能力有限。
  5. 通常影響的不是針對特定個人,而是群體的決定,如果要求解釋的權利下放到個人,那麼對於一個基於全體basis的群體的權利,以個資法的角度來看,要如何操作及保護?
  6. 個資是群體的權利,還是個人的權利?

跳脫請求解釋權,確保正當法律程序的其他選擇

如果說建構「請求解釋權」的目的是,確保AI決定的正當法律程序,那麼跳脫「解釋權」的框架,另有其他的選擇,例如:

  1. 建立AI對隱私的影響評估制度或個資保護影響評估:
  • 運用GDPR第42條的個資保護執照制度。
  • 對GDPR第22條作不同的解釋:該條原則禁止資料控制者做出完全自動化的決策;原則上必須要有人為介入,而且也應該是實質的人為介入。

以上的另類選擇,可以考量的因素有:

  1. 到底去識別化到什麼程度上有可能符合隱私風險評估?
  2. 同意與二次利用之間的關係,受到匿名化程度的影響;可以把匿名化當作是保護的原則,但不會是完全唯一的要件。
  3. 執照制度:比較適合用在企業上面,類似認證制度,但就公部門而言,只要通過認證不代表就完全符合資料控制者的責任。

問題與討論(敬稱省略)

李建良:

請求解釋權的議題設定,反映出AI發展與運用可能帶來的衝擊與問題,可能是AI對個人權利的影響,也可能是對既有法制的衝擊。我們到底需不需要有「請求解釋權」這樣的權利,思考的起點應該是,透過這樣的權利到底要解決什麼樣的問題?再來才有辦法討論權利的內涵是什麼?至於GDPR第22條能否作為依據,則是在前述問題釐清後才有可能,也唯有如此才能跳脫概念框架,思考其他的可能性。

何之行:

最後一張簡報主要反映的是,我們如何把AI的「透明化」建構起來,所以不一定非要資訊主體有請求解釋權。如果可以保障整個程序,有一個正當法律程序,同樣能夠做到透明化。因此,在於到底GDPR有沒有提供請求解釋權沒有共識的狀況下,用其他的方式同樣強調正當法律程序,可以用正面的方式去說明資料控制者的義務,但不一定是資料主體的權利。

邱文聰:

(延續主題一「AI白皮書」的討論)我們是否把主題定位在AI對於個人權利影響?

楊岳平:

從我們提出的六項子題來看,並不是每個子題都會跟個人權利有關係。

劉靜怡:

除非要求金融管制、醫療管制的撰寫都能夠集中在個人權利保護上,AI白皮書就會變成人工智慧時代的個人權利宣言,但可以理解的是,在金融管制領域最重視的也許不是人權問題。

邱文聰:

上次開會提到AI白皮書要有「共通關鍵議題」,所以說是AI時代的個人保護宣言,但如果是如此,就會跟金融產品可能就會脫節。

劉靜怡:

剛剛的guideline有講到幾個核心價值,幾乎都會談到透明化、可解釋性,可能要等規範要素,可歸入第零章,我們可能要藉此把基本價值定下來。

邱文聰:

但在第零章我們不對任何的價值進行排序。

李建良:

是的,我們不作價值定序,但可以提列「基本價值」。另外,我們應該要有一個更上位的標題(白皮書主題),不管是對法制的衝擊,或是對人權的影響。如果我們是從法律人的角度觀察AI科技的發展,並反思法律可以做些什麼?或許不妨先暫定名為AI影響評估(Artificial Intelligence’s Impact Assessment, AIIA)。

邱文聰:

未來我們的報告可能需要調整。過去我們著重在比較法的研究,觀察各國的情況,之後這部分大概可以稍微,把重點力氣集中在如何從法制上因應相關問題,有無規範上的實益,是不是有具體的操作建議。例如何之行提到的Model Centric 或 Subject Centric,這個分類是不是一種好的分類?或怎樣的分類才有意義?

具體來說,「請求解釋權」或許可以區分出不同種的類型,探討可以做到哪個程度的解釋,提供何種規範上的啟示?未來,我們的目標與論述重點要放在可以分析到何種LEVEL,思考哪些議題已經被settle,哪些可能還沒有被settle,必須再建構?

李建良:

目前在power points上呈現的內容如何轉換成AI白皮書,可以逐步研議,下一次會議的內容也可以參考前次會議的內容,交互參照形成。

邱文聰:

在體例上的建議。如果可以就直接用阿拉伯數字,2.1 2.1.1,(有共識的)、2.2、2.2.1(沒有共識的部分)。

楊岳平:

有一個小議題可以補充,這裡其實還是涉及個人資料的問題。對於公開發行公司的內部控制而言,一直以來,都有明文保護個人資料的要求。當我們在談正當法律程序的時候,基本的做法是,每一家公開發行公司都要做內部控制,內部控制的內容都要寫明如何做個人資料保護,甚至要送會計師審查。當某些大型公司已經開始做AI的時候,個人資料保護的議題可能就會開始發酵,例如會計師怎麼審查,當然,我們或許可以不用管GDPR如何解釋及適用。但就我國本土法治來說,還有有討論的空間與必要。

劉靜怡:

這個部分的問題思考,基本上就是需要把古典的憲法上正當法律程序原則的討論,進一步延伸擴散到私部門裡。但如何連結?這其實是一個困難的工程。

楊岳平:

從公司法學者的立場來說,可能不需要把它當作古典的憲法的正當法律程序,不一定要使用「正當法律程序」這個憲法專有名詞,公司法學者還是希望可以設計必要的規定置入其中,但這個規則目前還是不清楚如何引入,這似乎是涉及私法自治的問題。

黃相博:

上次德國聯邦憲法法院法官Huber教授來臺灣演講的時候提過:傳統上,我們講的隱私權都在講對抗國家權力,但在現代我們要怎麼用隱私權這個權利去對抗私人,從基本權的角度出發,如何把基本權用到私領域的空間,這還是一個正在發展中的想法。

劉靜怡:

國家侵害資訊隱私的時候,我們大概很清楚可以從憲法上去控制,私部門各式各樣的資料處理的行為,蒐集處理應用的行為,到底應該如何處理?德國法學者發展出一套國家保護義務理論,可能必須要有立法的義務,可以發展出一一套規範理論,要求私部門如何把自己的手綁到某一個地步,這就是歐盟的GDPR或是1996年的個資保護指令的基本邏輯。

李建良:

過去德國學者在談這個部分的時候,習慣用第三人效力或是保護義務的說法。剛剛相博老師提到,隱私權有公部門與私部門兩種不同的面向與問題。個資保護的問題有來自公部門的問題領域,也有來自私部門相關的問題領域,至於要用什麼樣的觀點去探討後者的問題,需要更細緻的論述。的確,主要問題在於公部門與私部門並沒有很清楚的區分。基本權第三人效力的問題,將來會是憲法訴訟的問題,個資法規定的解釋與適用將成為憲法訴訟的爭議案件,指日可待。


回到主題(一):AI Guidelines與白皮書