AI時代 個資價值與風險

為回應憲法法庭一一一年憲判字第十三號判決應於三年內制定或修正相關法律，建立個人資料保護獨立監督機制的要求，行政院預計於今年上半年將個資會組織法草案送立法院審議。

個資會籌備處也已提出個資法部分條文修正案，內容主要是配合個資會組織法，賦予個資會執法權限，同時新增個人資料保護長角色，負責推動及監督機關內個人資料保護相關事務；其中，公務機關由機關副首長或適當人員兼任，非公務機關則由代表人或其指派的適當人員擔任，負責推動及監督機關內個人資料保護相關事務。「至於本法其他諸多修法議題，當由正式成立之個資會以本法主管機關之地位，賡續進行通盤修正研議及立法政策決定」。

換言之，在個資權利保障以及個資蒐集主體責任與義務方面，此次個資法修正並未新增任何實體規定，以對應組織執法權限的擴大或職位增設，卻又將籠統的監督、稽核或檢查權力，全部授權個資會另定之，相關條款形同對個資會空白授權，有違法律明確性、授權明確性原則的疑慮，令人難以贊同。

然而，此次修法最令人擔憂的是，雖然「以AI帶動產業轉型升級」是「台灣AI行動計畫2.0」的目標之一，但政府仍未從資料經濟與人工智慧視角，考慮如何賦予個人更完整的個資保護權利，以及個資作為生產投入（例如用來訓練AI或建立新型商業模式）可能造成的侵害風險，對蒐集主體須承擔的責任與義務，加以補充規範，以彰顯個資在AI時代的價值。

個資數據是資訊社會的重要資產，但唯有對個資提供適足保護，提升對共享個資的信任，才能有效建立保護與共享間的正向循環，促進個資合理利用，為AI發展奠定基礎。尤其台灣目前產業應用的重點在生成式AI，包括TAIDE在內的基礎模型，都可能涉及利用包含個資的資料集訓練開發而成，該等模型其後成為AI系統的一部分再加以部署應用，相關接續行為當如何適用法規，都是推動AI產業政策的前提性問題，須積極處理面對。至此，我們不得不重新認識個資保護主管機關在AI時代的角色。

參考歐盟的執法實務，AI系統或產品因資料利用不符「一般資料保護規則」（GDPR），遭成會員國個資保護機關裁罰的案件屢見不鮮，而且在歐盟「人工智慧法」通過後不久，「歐洲個資保護委員會」即發表聲明，主張個資保護機關適合被指定為高風險AI系統的市場監督機關，呼籲歐盟應由個資保護機關身兼人工智慧法的執行任務。

此外，該委員會更於去年十二月十七日指出，凡以包含個資的資料集訓練開發而成的AI模型，都不可被視為是匿名的，須由個資主管機關逐件檢視評估，以決定該模型是否有GDPR的適用。

中國新創公司發布DeepSeek開源模型，突襲西方科技巨擘，但數日前南韓個人資訊保護委員會已命令，DeepSeek在南韓暫停下載，待其據該國「個人資訊保護法」改善後始能重啟。另義大利個資保護機關上月以隱私政策疑慮為由，阻擋DeepSeek在該國的服務。凡此皆顯示個資法及個資主管機關的力量與重要性，且與AI發展密不可分，甚至在人工智慧時代益形重要。

由於AI應用普遍，個資主管機關須與不同產業部門聯繫溝通，同時整合資訊技術專家的意見，因此專業要求甚高，在中央行政機關組織基準法的框架下，個資會以其三級機關的權能與員額，能否承載如此重要與重大的任務，實在值得斟酌。