美國智庫蘭德公司（RAND）近期發表了一份名為《Artificial Intelligence Impacts on Privacy Law》的報告，探討人工智慧對隱私權法帶來的挑戰與可能解決方案。報告以歐盟《人工智慧法案》（Artificial Intelligence Act）為切入點，分析AI在數據隱私權保護中的特殊問題，並提出美國在AI治理方面的優先建議。 報告指出，AI技術雖推動了社會和科技的快速發展，但其對個人資料的大量依賴也引發了隱私爭議。特別是在演算法運作透明度（algorithmic opacity）方面，AI的高度複雜性可能導致資料處理過程無法被外界理解，增加監管難度。例如，機器學習算法的表現有時連開發者也無法完全預測。此外，AI帶來的隱私問題包括：(1)資料用途改變（data repurposing）：資料被用於超出原始收集目的的新用途，例如醫療資料被用於保險資格審核。(2)資料外溢（data spillovers）：非目標對象的資料因他人行為被意外收集，如未同意的基因資料因家族成員上傳而暴露。(3)資料持久性（data persistence）：資料被長期保存並用於超出當初同意範圍的用途，可能無法反映用戶隱私偏好的變化。 美國目前尚未建立統一的聯邦隱私法框架，僅有針對特定領域的法規和部分州層級隱私法。這種碎片化體系不僅增加企業遵法難度，也抑制了創新。為此，拜登總統呼籲制定跨黨派隱私法案，以應對AI帶來的風險。 RAND報告建議，美國可參考歐盟和加州的數據隱私法，從以下幾方面應對AI隱私挑戰：(1)資料最小化（data minimization）與限制：僅收集與特定目標相關的必要資料。歐盟《一般資料保護條例》（GDPR）和《人工智慧法案》均對生物識別數據施加嚴格限制。(2)演算法影響評估（Algorithmic Impact Assessments, AIAs）：在部署AI系統前進行風險評估，如《美國隱私權法案》（APRA）建議大型資料持有者需提交影響評估報告，說明算法對隱私的影響及緩解措施。(3)演算法審核（Algorithmic Audits）：通過結構化審核，確保AI系統符合既定目標、標準及法律要求。檢查設計、資料輸出輸入及整體性能，並識別潛在風險。 相較之下，歐盟在AI治理方面已處於全球領先地位，其《人工智慧法案》涵蓋AI系統的整個生命週期，並對高風險AI系統設定基本權利影響評估的義務。而美國雖在技術創新上領先，但在隱私保護與AI監管法規方面仍需彌補空白。

2024/12/11

https://www.rand.org/pubs/research_reports/RRA3243-2.html

RAND Corporation

賴允政