你說《AI 基本法》?
你在講的是《Digital Omnibus》草案?
它想要做的是整合。原本有一個《Free Flow of Non-Personal Data Regulation》,大概可以稱作「非個資數據自由流通規則」,另外還有《Data Governance Act》、《Open Data Directive》,這幾個現在是往整合的方向走,整併進重構後的《Data Act》。
其中跟個資比較有關的部分,例如 cookie 的一些規則,和《GDPR》對齊;高風險 AI 義務的適用時間點跟支援工具,則是跟《AI Act》對齊。所以它是好幾源頭在整合。
但是它有要把基本權利、資料保護、安全跟公平性這些支柱拿掉嗎?
因為《AI Act》在剛開始寫的時候還沒有生成式 AI。那他們當時所想的高風險,不管是偏差的風險,反正大家都知道那些風險,那個都是在我們所謂的 narrow AI,就是窄的 AI 的那個情況。
那生成式的特點就是說,你設定它的時候,你根本不需要預期它的使用方式,也就是說你可以在完全不知道自己要幹嘛的情況下,就訓練一個大型模型。那這個情況下,當然有些它的用途會是高風險的,這個大概是避免不了,就算你一開始沒有想到高風險的用途,它現在都可以做高風險的用途。
所以後來他們在《AI Act》最後那一段時間,剛好 ChatGPT 出來的時候,去做了很多最後一刻的調整。那當然當時很難預測到後面——特別是開放式模型等等的這些發展。所以它那些調整一開始的配套,可能不一定非常容易適用。所以現在過了兩三年,大家對於大模型能做什麼、不能做什麼,大概都很清楚了,所以他們會需要把它明確化。
明確化也會讓法遵變容易,但我還沒有聽說它要把權利保障的支柱放棄掉。
或許是本來它的指令裡面導致沒有辦法法遵的,這些把它明確化了?
但是它如果本來就沒有辦法執行法遵,那這樣子的話它本來權利保障也很難說是高的,而是這件事本來你就沒有去做的確定性——不是在有保障的情況下確定能做,是你本來會覺得可能不能做。
那現在它是把它設定到一個「好,那你這樣子算是可以做,我們以前沒想到這樣也能保障權利,但是現在可以做」。那這樣的話,當然還是要在保障權利的情況下做。
至於如果說因為法遵難以執行,所以不如乾脆都不要做,這樣對基本權保障程度最高,那好像也有點奇怪。
你說我們還沒有完成,指的是《個資會組織法》還沒有運作,還是什麼?
等一下,哪兩邊衝突?
你現在是不是在說:有一派主張要把《AI 基本法》裡面加上更多基本權保護,甚至包含法遵義務、罰則等等?雖然它名字叫基本法,一般不太會把罰則放進去,但確實有人想放?這是一邊。
那另一邊是說,也有人認為應該先等歐盟做到一個程度再來做。我們自己先顧本培元,先把個資會什麼東西弄好。但這兩個不衝突啊。你可以一面把個資會弄好,一面把基本權保障加上去,因為個資會是執行它的單位,不是嗎?
我不確定你引的是哪一條,因為你引的那個條號,第 22 條——
條號應該跳過了?
21 條是產業自願共享資料給政府的機制。
那是鼓勵產業間合作。
那個是後面一題,我們先回到你這裡。
你的意思是,有些人認為說應該先在《AI 基本法》加上基本權保障——還是在《個資法》加上基本權保障?
然後再來動《資創條例》?
然後有些人認為說,把《個資會組織法》弄好了、施行了,才可以做《資創條例》?
這我理解。可是這個到底跟《AI 基本法》有什麼關係?因為你一直在《AI 基本法》架構上談,所以我就越聽越模糊。因為《AI 基本法》以我的理解是沒有罰則的。
那然後以我的理解,你說要把基本權加以保護,是要按照基本法的意旨,去立別的法或修別的法去達成的。我剛剛聽到的是說,有人認為應該在《AI 基本法》裡面加上更多的基本權保護——
然後再依此立罰則,或者是修各子法等等——
對。那但是,《AI 基本法》即使不改,你也可以立罰則,可以去改《資創條例》等等。就是說為什麼一定要先改《AI 基本法》?我一直沒有聽懂這一點。
你在一個條例裡面立罰則,那個條例本身仍然是法律位階。法律保留的意思是應該三讀通過、立法制定嘛。但條例也是法律位階啊。
我不認為是這樣子。我沒有聽說過基本法除了名字叫「基本法」之外,它還有類似憲法的功能。我沒有聽說哪一個法學者這樣講的。
《AI 基本法》的目的,是促進人工智慧的研發跟產業發展,然後以人為本。那你剛剛提到的,比方說《資創條例》好了,它並不是為了人工智慧作為它唯一的目的,它是為了促進資料利用之發展。
所以就是說,就算它在《AI 基本法》裡面沒有任何可以扣合的東西,它可以去別的地方找可以扣合的東西——它不需要一定要扣合《AI 基本法》。因為資料用在所有其他地方,他要扣合《勞基法》也可以、他要扣合哪裡都可以。並沒有什麼原因說,好像人工智慧突然變成資料的唯一地基,好像不存在這個狀態。
你也可以動《AI 基本法》。我的意思是說,動基本法既非充分條件——就是動基本法這個就得修——也非必要條件——就是不動了它就沒辦法修。
它當然是進路之一,可是它既不是充分的進路——就是說好像做了這個別的都不用做了——也不是絕對必要的進路。這樣可以瞭解嗎?
但這個基本權,具體是什麼基本權?
對,那要怎麼進去《AI 基本法》呢?
你說的資料機制是《AI 基本法》第 14 條的個資保護嗎?
但是《AI 基本法》第 14 條只做 AI 的研發跟 AI 的應用。你現在如果是做一個跟 AI 研發、AI 應用都沒有關係的,但是你還是在侵害個資的,那當然是回到《個資法》。
所以我的意思是說,你在執行《資創條例》的時候,你會有很多研發跟很多應用,它都一定跟資料有關,那這些資料裡面有些是個資。但是這些應用或者是研發,它不一定是人工智慧系統。
人工智慧系統必須要有自主運行能力。所以如果完全沒有自主運行能力,就算是傳統的、沒有 AI 功能的 ERP 系統,它還是可以侵害個資。集中營的那一整套打卡系統,在納粹的時候不都是侵害個資嗎?這可能是比較過分的例子,但是我的意思就是說,你不需要有一套自主系統,就可以侵害很多個資了。
那你說有人主張說要在《AI 基本法》的第 14 條加入更多的基本權保障,包含通報義務等等。但是我如果是一個傳統的 ERP 業者,和人工智慧系統無關,這就跟我一點關係沒有。那我看《個資法》跟這個《資創條例》——縱使現在扣合《AI 基本法》第 14 條修正案的意旨去修了,還是動不到我。所以為什麼要用這個進路呢?
當然會啊。《資創條例》沒有區分自主系統跟非自主系統。
在整個《資創條例》裡面,提到人工智慧的只有說「應該考量人工智慧或其他新興技術發展」之需求——想必就是包含量子等等。那但是這個只有在資料易取得、高品質、可信任等等。意思就是說等量子來了我可以確保更高品質的話,我就不要用數位的吧、我們就從數位轉型改成量子轉型等等。但這裡面完全並沒有說它的涵攝範圍,只限於自動化系統或自主運作系統。
如果動《AI 基本法》第 14 條,那就是涵攝到具自主運行能力之系統的研發及應用。
但是歷史上許許多多有大規模個資侵害而不進行通報的,都不是自主運行能力的系統,都是人去侵害的。
就是說要看它覺得被侵害的基本權是什麼。如果被侵害的基本權是人格權或者是隱私,那這個當然就是回到《個資法》——個資法就是個資侵害人格權的這件事情的基本法。
這是兩件事?
這個「免於被放入」的受詞是什麼?是個資嗎?
那當然就是在《個資法》——就是說如果你要在一部法裡面,處理關於個資的兩個基本權的保障,那最合理的地方當然是《個資法》本身。
