AI 時代 個資價值與風險 政府不應忽視個資會在 AI 政策中的角色

魏杏芳 政大法學院兼任副教授、前公平會委員

2025 年 2 月 20 日

　　為回應憲法法庭 111 年憲判字第 13 號判決應於 3 年內制定或修正相關法律，建立個人資料保護獨立監督機制的要求，行政院預計於今年上半年將個資會組織法草案送立法院審議。另外個資會籌備處也已提出個資法部分條文修正案，內容主要是配合個資會組織法，賦予個資會執法權限，同時新增個人資料保護長角色，負責推動及監督機關內個人資料保護相關事務；其中，公務機關由機關副首長或適當人員兼任，非公務機關則由代表人或其指派的適當人員擔任，負責推動及監督機關內個人資料保護相關事務。「至於本法其他諸多修法議題，當由正式成立之個資會以本法主管機關之地位，賡續進行通盤修正研議及立法政策決定」。換言之，在個資權利保障以及個資蒐集主體責任與義務方面，此次個資法修正並未新增任何實體規定，以對應組織執法權限的擴大或職位的增設，卻又將籠統的監督、稽核或檢查權力，全部授權日後成立的個資會另定之，在實體規範十分貧乏簡陋的情況下，相關條款形同對個資會的空白授權，有違法律明確性、授權明確性原則的疑慮，這樣的立法技術，令人難以贊同。

　　然而此次修法最令人擔憂的是，雖然「以 AI 帶動產業轉型升級」是「臺灣 AI 行動計畫 2.0」的目標之一，但政府仍未從資料經濟與人工智慧的視角，考慮如何賦予個人更完整的個資保護權利，以及個資作為生產投入（例如用來訓練 AI 或建立新型商業模式）可能造成的侵害風險，對蒐集主體必須承擔的責任與義務，加以補充規範，以彰顯個資在 AI 時代的價值。個資數據是資訊社會的重要資產，但唯有對個資提供適足的保護，提升對共享個資的信任，才能有效建立保護與共享間的正向循環，促進個資合理利用，為 AI 的發展奠定基礎。尤其臺灣目前產業應用的重點在生成式 AI，包括 TAIDE 在內一般熟知的基礎模型，都可能涉及利用包含個資的資料集訓練開發而成，該等模型其後成為 AI 系統的一部分再加以部署應用，相關接續行為當如何適用法規，都是我國推動 AI 產業政策的前提性問題，必須積極處理面對。至此，我們不得不重新認識個資保護主管機關在 AI 時代的角色。

　　參考歐盟的執法實務，AI 系統或產品因為資料利用不符「一般資料保護規則」(GDPR)，遭成員國個資保護機關裁罰的案件屢見不鮮，而且在歐盟「人工智慧法」(AI Act)通過後不久，「歐洲個資保護委員會」(EDPA)即發表聲明，主張個資保護機關適合被指定為高風險AI系統的市場監督機關，呼籲歐盟應由個資保護機關身兼人工智慧法的執行任務。此外該委員會更於 2024 年 12 月 17 日發布「意見」(Opinion)指出，凡是以包含個資的資料集訓練開發而成的 AI 模型，都不可被視為是匿名的，必須由個資主管機關逐件檢視評估，以決定該模型是否有 GDPR 的適用。中國新創公司在農曆年間發布 DeepSeek 開源模型，突襲西方科技巨擘，但數日前南韓個人資訊保護委員會已經命令，DeepSeek 在南韓的應用程式商店暫停下載，待其根據該國「個人資訊保護法」進行改善後，始能重啟。另據報導，義大利個資保護機關(Garante)上個月以隱私政策疑慮為由，阻檔 DeepSeek 在該國的服務。凡此皆顯示個資法及個資主管機關的力量與重要性，且與 AI 的發展密不可分，甚至在人工智慧時代益形重要，值此個資法修正及個資會創建之際，這樣的觀念有必要予以重視。由於 AI 應用普遍，個資主管機關必須與不同產業部門聯繫溝通，同時整合資訊技術專家的意見，因此專業要求甚高，在中央行政機關組織基準法的框架下，個資會以其三級機關的權能與員額，能否承載如此重要與重大的任務，實在值得斟酌。

（本文原刊於聯合報 A12 版：https://udn.com/news/story/7339/8559371?from=udn-catelistnews_ch2）