SEMI
Advantechline
 

【孫欣專欄】GDPR牽引AI新創每一步 創業第一天即應落實法遵

photo from PIXABAY

在全球資安與個資法規趨勢與企業應對實務上,包括醫療、金融、零售、製造、交通、旅遊等產業都在積極創新,然而,在創新與事業拓展的過程中,因為無前例可循難免會有爭議與訴訟的狀況,所以我認為,事業起跑與業務拓展前,若能先做好法令遵循規劃,必能省下許多不必要的麻煩。

2016年4月14日推出、於2018年5月25日生效的歐盟一般資料保護規範(General Data Protection Regulation;GDPR),清楚規範了與歐洲公民相關的各種個人資料收集、使用的權利。包含200多條規範的GDPR大致上可分為8個原則:取得限制 (Collection Limitation Principle)、資料質量 (Data Quality Principle)、確切目的 (Purpose Specification Principle)、使用限制 (Use Limitation Principle)、安全保障 (Security Safeguards Principle)、開放原則 (Openness Principle)、個體參與 (Individual Participation Principle)、責任原則 (Accountability Principle)。

初期就要設定好資料收集的用途 省去未來修改的麻煩

產業應用上,有些人會說在一些法令比較寬鬆的國家或區域,收集資料來研發新產品,可能就比較沒有隱私權的問題,然而,若是將來事業發展得更大,產品服務賣到歐洲的時候,那可就開始會牽涉到上述的問題,而事業越來越複雜的同時,要修改基本的規章、業務流程甚至資訊系統流程,則是牽一髮動全身,也因為這樣,我建議,在企業營運的起初,就要將隱私保障法規遵循的部分納入考量。

「上白名單,才能加速跨境資訊傳輸」台灣隱私法規若是能夠讓歐盟的法規單位都認可,就能夠讓未來台灣企業之全球業務推廣得更順利。我認為GDPR並不是創新產業絆腳石。GDPR其實是讓創新國際化的成長基底更加穩固,帶動全球法規跟著一起改革,未來產業也才能長得更高與走得穩健。

因應GDPR 企業收集數據時的注意事項

比起以往,GDPR關於用戶同意有效的條件變得更加嚴實,像是在生醫新創應用上,收集病患的數據,透過怎麼樣的方法收集、未來將給機器學習當中的哪一種演算法訓練、訓練之後預期有怎麼樣的成果都要載明。此外,若是使用者有疑慮,都能夠要求收集與應用單位刪除自己的資料,這都足以顯見GDPR對於個資賦予用戶(data subject)相當程度的主控權。

同時也要提醒新創,在創業初期就應該將「隱私設計思維」(Privacy by design)納入考量,並且有妥善的規劃,才能省時省力省麻煩。其中有7項基本原則,包含化被動為主動、預設隱私保護、隱私嵌入設計、完整的機能如正和而非零和、環環相扣的安全性與貫穿資料生命週期的保護、開放保持能見度和透明度、尊重用戶隱私並確保以用戶為中心。也就是說,收集數據應用,應該以終為始,改以「收集最少量個資」為手段,卻依舊能達成既有目標。

「先想清楚要怎麼用、要用哪些、數量需要多少」,GDPR把個資隱私從企業可以處置的資產,變成了有沉重保管義務的一個持有,因此企業要注意個資收集不是越多越好。

法規遵循能替企業省下時間與金錢 更能守住企業過往努力的成果

在過往的例子當中,歐盟GDPR規範最高罰款可高達企業全球營業額的4%之多,也因此,不少企業都紛紛設立法律遵循單位,此外也因為資料安全與隱私保護的需求漸多,企業也開始設立數據保護長(Data Protection Officer;DPO)的職位。

除此之外,GDPR的資料可攜權(Right to Data Portability)規定,當資料所有人提出要求,要移轉到包括競爭對手在內等其它儲存方時,原有的企業必須同意以外,所給予的資訊,也要是對方可以解讀與分析的格式與內容。舉例來說,若是甲銀行的資訊安全與服務品質都作得夠完善,也就不怕客戶變心,申請資料攜出,將帳戶全數移轉到乙銀行。這樣的良性競爭機制,能夠讓每家銀行都專注於提升自己的數據安全、隱私防護、品質提升,進而讓產業有正向發展。

在中後期或是事業快速發展時,才要修改法律遵循、隱私設定部份的話,由於這都是客製化的過程,包括思考哪些情境會違規的法令要求、設計風險模型、客製化隱私工程與安全目標、風險管理框架、隱私衝擊評鑑、定期衡量評估更新等等,大企業很可能至少要花費新台幣1,000萬元以上,才有可能全面合規。

法規讓創新快速發展的同時,也提供個人更多保障。在金融應用上,以現在的純網銀為例,純網銀業者多半希望能夠在數十秒內,就能完成大部分信用貸款的流程,然而,法規要求,仍舊要給客戶一個選擇「非自動化」的權利和選項,除了自動快速完成信貸以外,也可以選擇「由真人行員介入信貸結果」的權利。

GDPR衝擊大產業:人工智慧、物聯網應用

當不瞭解法規的時候,就容易在事業發展加速的時候遇到一些問題,跟大家分享業務實例,目前最常與GDPR規範有些許摩擦的業務行為類型包括電話行銷、電郵行銷、監視錄影器等與用戶資料相關的任務。此外,物聯網與人工智慧等需要收集大量數據,才能分析運算的創新科技與概念事業,都是最常出現「法規卡卡」狀況的範疇。

也因此,像是提供使用者得刪除「個人可識別資訊」(Personal Identifiable Information;PII。以下簡稱PII)的簡易方式,如讓下一個機器或是App的使用者,無法得知上一個使用者的資料等方法;像是明確告知用戶,這些數據要如何使用、用戶擁有隨時決定停止權利的用戶告知;盤點PII、確認感測器能力與蒐集的PII資料等資訊流管理;此外也要提供安全的資訊環境,包括機密性、完整性、可用性、個人隱私安全等,都可以有效降低物聯網或是軟體應用過程中所產生的數據收集問題。

在人工智慧(AI)數據收集和資料擁有權上,還包括AI的決策和行動權、隱私加強、去識別化等概念。去識別化的定義在於,即使進行旁徵博引,仍能避免有心人士透過反推過程辨識出個資的情況。例如說,用戶名字在某個健康保健App上找得到,而心臟與關聯的跳動圖與聲音又在另一份清單找得到對應的名字,將全部整合在一起後,還是可以反推出該用戶的所有資訊,那麼這樣就是沒做到完善的去識別化。「去識別化就不是個資,沒有遵循的義務。然而若僅是假名化後,這些資料還是屬於個人資訊。」

現在最大的法規遵循挑戰之一,就是如何精確解釋機器學習的演算法的運作過程細節,因為這些如前所述的細節,都牽扯到該如何在收集數據時清楚與明白地告知用戶。

人工智慧判斷事情真的比人類還要正確嗎?

在某些情況下,人工智慧處理事情,不一定比人類還要有效率,反而可能有偏誤,甚至是產生不公平、歧視、不準確的狀況。比方說,在智慧金融的領域中,如果客戶想要申請貸款,而因為依照資料表填寫,其中有一欄填寫「居住地於南港、家中成員有父親、沒有母親」,系統產出的結果為「不能核貸」,那這是否在某些情境下,就是AI對於貸款申請人的背景歧視,而且沒有任何當下轉圜與討論的空間,這也是值得產業思考的細節。

在開放銀行、資料經濟、開放銀行(Open banking)的核心概念中,金融數據的「客戶主控權」,加上銀行開放應用程式介面(API)的「共享」都相當關鍵。在開放API給第3方服務業者的生態下,銀行客戶就有權決定,是否將原本由銀行掌控的數據資料,提供給第三方業者使用。一經客戶要求,銀行也必須將客戶數據資料,轉移至客戶指定的第3方服務業者。這樣的情況在各個國家的表現方式也不同,像是「強制集中型」的英國,就會強制要求銀行,將數據資料揭露給特定單位,再由特定單位將數據提供給第3方;「合作夥伴型」的香港、新加坡,則是還保有自由選擇揭露給特定單位的權利。

在與數據收集與應用極為相關的4.0智慧銀行生態中,將一改過去民眾跑銀行的狀況,反過來是銀行去數位消費場景找客戶,比方說透過LINE這樣的通訊軟體。台灣的LINE帳號有2,100萬個,其中實名的將近1,800萬個,也因為如此龐大的用戶和生態圈的流量,純網銀業者透過Open banking要掌握用戶的資金需求,也因此希望做到所謂的「精準行銷」也就不難了;另外像是臉書也可以依照用戶最近的喜好活動,進而推展業務,比如說,臉書用戶一直在搜尋與回應東京奧運相關內容,臉書的聊天機器人可能就會問用戶要不要存日幣或是換匯等等服務。

隱私將翻轉服務型態 民眾也能靠自己的作息數據賺錢

「My Data My Earning」三菱UFJ信託銀行在2018年11月19日展開了一項透過10家企業1,000名員工共同參與的D’PRIME計畫,其中最特別的就是以「個人資料銀行App」的方式授權作息狀況、個人通勤資料、財務資料、基本資料,個人可以決定要授權哪些資料給企業分析使用,而企業必須要付錢給個人,才能使用這些資料,也就是「自己的個資自己賣」。相對大中心化的數據庫與傳統線上全數授權狀況,我認為這可說是相當新穎的概念,但也提醒分散式數據應用有其管理成本的考量,同時也要注意資訊安全防護。

「隱私權保護是個投資,是個基礎建設,而不是成本」另外提醒大家,所謂的資料治理,就是讓包含隱私的資料變得好用、對企業產生效益、變得適合商業目的的資料管理機制。既然大數據分析和人工智慧都需要大量的特定領域寶貴的隱私資訊,那麼企業就更應該要有「資料治理」的策略思維,透過實踐在「使用個資的代價成本」跟「如何最大化個資價值」之間,找到一個完美的商業平衡。

(本專欄由孫欣口述,記者蔡騰輝整理)

孫欣

從事企業in house法務與律所律師將近18年,最近幾年專注在創新與新創事業、金融科技、法令遵循等領域;現任安侯法律事務所執行顧問、KPMG創新和新創企業服務團隊成員、KPMG金融業法令遵循服務主持人。

作者更多專欄

  •     按讚加入DIGITIMES智慧醫療粉絲團
更多關鍵字報導: 個資法 GDPR 生醫新創 醫療人工智慧