智慧國家願景 需資料治理法制建設
行政院卓榮泰院長五月底向立法院提出施政報告,政策的視角大致上仍是由產業別出發。以「創新經濟,智慧國家」爲例,領域包括半導體相關戰略產業、醫藥衛生、教育文化、農業、金融、交通、軍工等,但事實上各領域將於我國數據資料環境中熔於一爐。
在資料經濟全籠罩的情境下,有必要先建立全國共通的資料治理法制架構,使大量個人與非個人資料的蒐集、流通、取得、共享、使用,值得信賴且可行,同時兼顧個人、企業與國家各種權利與利益。這是實現前述創新經濟與智慧國家的前提性法制基礎設施,否則在欠缺共通準則或標準下,政府採取的措施將碎片化,甚至在不同部門將有歧異不一致的情況,不利於良好資料環境的建立,致減損施政成效。
歐盟在二○二○年提出其「資料戰略」,盤點自身數據環境的相關問題,進而陸續完成數項重要立法,建構能實現其戰略目標的法規體系。舉其主要者包括一般個人資料保護規則(GDPR)、資料治理法、資料法、人工智慧法、戰略性部門共同資料空間,並且強化競爭法執行及市場競爭原則。其中最後完成立法且在我國廣爲討論的人工智慧法,也將於八月正式生效。
上述各項法律的立法目的雖然不同,但法規設計的共通要素,是迴應數據社會資料治理的需求。例如即使是GDPR都已考慮到AI演算可能對個人造成的風險或損害,故明文規定資料主體應有權不受完全基於自動化處理(包括建檔)所作決定之拘束。同時該規則適用的結果,也要求AI系統開發者在開發階段應進行個資保護風險評估,也就是在設計中保護個人資料隱私,預設了個資法與當前數據環境的連結。相對的,歐盟人工智慧法也規定,該立法不會影響資料主體在GDPR之下既有的權利。
除了法規之間互相援引涵攝之外,執行機關的建置與功能定位,也是法律能否發揮預期功能的關鍵。由歐盟經濟區成員國個資保護主管機關組成的「歐洲資料保護委員會」(EDPB),在人工智慧法七月公告後數日即發佈聲明指出,以各成員國既有個資保護機關(DPA)過去參與及處理AI相關議題的豐富經驗,建議各成員國指定其獨立個資保護機關,作爲該國在人工智慧法架構下的市場監督機關,統一事權,使之成爲AI價值鏈中相關利害關係人的單一接觸窗口。顯然歐盟對個資保護機關的功能定位,除了一般的個資保護之外,也外溢到AI系統應用的合法性問題,這個觀點非常值得參考。
政府談經建計劃通常忽略法制建設的重要性,往往只是將法規調適置於某個子計劃中的一項。然而從依法行政原則,倘無適當的行爲法作爲依據,施政如何推動?AI、物聯網、機器人早已跨產業部門普遍應用,可連接性、自動決定、高度依賴數據、複雜性、形成供應鏈與生態系、不透明、網路安全等,是該等應用共通的特性與待處理之議題。如何提升應用層次以利經濟發展、適當規範以控管各類風險,又在危險及損害發生時有完整的救濟配套,如此複雜的資料治理法制建設,實非單一部會可以承擔,宜拉高策略與規畫層次,納爲國家施政方針之一,並由行政院領導統整積極推動。