AWS
ttc
 

【孙欣专栏】GDPR牵引AI新创每一步 创业第一天即应落实法遵

photo from PIXABAY

在全球资安与个资法规趋势与企业应对实务上,包括医疗、金融、零售、制造、交通、旅游等产业都在积极创新,然而,在创新与事业拓展的过程中,因为无前例可循难免会有争议与诉讼的状况,所以我认为,事业起跑与业务拓展前,若能先做好法令遵循规划,必能省下许多不必要的麻烦。

2016年4月14日推出、于2018年5月25日生效的欧盟一般资料保护规范(General Data Protection Regulation;GDPR),清楚规范了与欧洲公民相关的各种个人资料收集、使用的权利。包含200多条规范的GDPR大致上可分为8个原则:取得限制 (Collection Limitation Principle)、资料质量 (Data Quality Principle)、确切目的 (Purpose Specification Principle)、使用限制 (Use Limitation Principle)、安全保障 (Security Safeguards Principle)、开放原则 (Openness Principle)、个体参与 (Individual Participation Principle)、责任原则 (Accountability Principle)。

初期就要设定好资料收集的用途 省去未来修改的麻烦

产业应用上,有些人会说在一些法令比较宽松的国家或区域,收集资料来研发新产品,可能就比较没有隐私权的问题,然而,若是将来事业发展得更大,产品服务卖到欧洲的时候,那可就开始会牵涉到上述的问题,而事业越来越复杂的同时,要修改基本的规章、业务流程甚至信息系统流程,则是牵一发动全身,也因为这样,我建议,在企业营运的起初,就要将隐私保障法规遵循的部分纳入考量。

「上白名单,才能加速跨境信息传输」台湾隐私法规若是能够让欧盟的法规单位都认可,就能够让未来台湾企业之全球业务推广得更顺利。我认为GDPR并不是创新产业绊脚石。GDPR其实是让创新国际化的成长基底更加稳固,带动全球法规跟著一起改革,未来产业也才能长得更高与走得稳健。

因应GDPR 企业收集数据时的注意事项

比起以往,GDPR关于用户同意有效的条件变得更加严实,象是在生医新创应用上,收集病患的数据,透过怎么样的方法收集、未来将给机器学习当中的哪里一种算法训练、训练之后预期有怎么样的成果都要载明。此外,若是使用者有疑虑,都能够要求收集与应用单位删除自己的资料,这都足以显见GDPR对于个资赋予用户(data subject)相当程度的主控权。

同时也要提醒新创,在创业初期就应该将「隐私设计思维」(Privacy by design)纳入考量,并且有妥善的规划,才能省时省力省麻烦。其中有7项基本原则,包含化被动为主动、缺省隐私保护、隐私嵌入设计、完整的机能如正和而非零和、环环相扣的安全性与贯穿资料生命周期的保护、开放保持能见度和透明度、尊重用户隐私并确保以用户为中心。也就是说,收集数据应用,应该以终为始,改以「收集最少量个资」为手段,却依旧能达成既有目标。

「先想清楚要怎么用、要用哪里些、数量需要多少」,GDPR把个资隐私从企业可以处置的资产,变成了有沉重保管义务的一个持有,因此企业要注意个资收集不是越多越好。

法规遵循能替企业省下时间与金钱 更能守住企业过往努力的成果

在过往的例子当中,欧盟GDPR规范最高罚款可高达企业全球营业额的4%之多,也因此,不少企业都纷纷设立法律遵循单位,此外也因为资料安全与隐私保护的需求渐多,企业也开始设立数据保护长(Data Protection Officer;DPO)的职位。

除此之外,GDPR的资料可携权(Right to Data Portability)规定,当资料所有人提出要求,要移转到包括竞争对手在内等其它储存方时,原有的企业必须同意以外,所给予的信息,也要是对方可以解读与分析的格式与内容。举例来说,若是甲银行的信息安全与服务质量都作得够完善,也就不怕客户变心,申请资料携出,将帐户全数移转到乙银行。这样的良性竞争机制,能够让每家银行都专注于提升自己的数据安全、隐私防护、质量提升,进而让产业有正向发展。

在中后期或是事业快速发展时,才要修改法律遵循、隐私设定部份的话,由于这都是客制化的过程,包括思考哪里些情境会违规的法令要求、设计风险模型、客制化隐私工程与安全目标、风险管理框架、隐私冲击评监、定期衡量评估更新等等,大企业很可能至少要花费新台币1,000万元以上,才有可能全面合规。

法规让创新快速发展的同时,也提供个人更多保障。在金融应用上,以现在的纯网银为例,纯网银业者多半希望能够在数十秒内,就能完成大部分信用贷款的流程,然而,法规要求,仍旧要给客户一个选择「非自动化」的权利和选项,除了自动快速完成信贷以外,也可以选择「由真人行员介入信贷结果」的权利。

GDPR冲击大产业:人工智能、物联网应用

当不了解法规的时候,就容易在事业发展加速的时候遇到一些问题,跟大家分享业务实例,目前最常与GDPR规范有些许摩擦的业务行为类型包括电话营销、电邮营销、监视录像器等与用户资料相关的任务。此外,物联网与人工智能等需要收集大量数据,才能分析运算的创新科技与概念事业,都是最常出现「法规卡卡」状况的范畴。

也因此,象是提供使用者得删除「个人可识别信息」(Personal Identifiable Information;PII。以下简称PII)的简易方式,如让下一个机器或是App的使用者,无法得知上一个使用者的资料等方法;象是明确告知用户,这些数据要如何使用、用户拥有随时决定停止权利的用户告知;盘点PII、确认传感器能力与搜集的PII资料等信息流管理;此外也要提供安全的信息环境,包括机密性、完整性、可用性、个人隐私安全等,都可以有效降低物联网或是软件应用过程中所产生的数据收集问题。

在人工智能(AI)数据收集和资料拥有权上,还包括AI的决策和行动权、隐私加强、去识别化等概念。去识别化的定义在于,即使进行旁征博引,仍能避免有心人士透过反推过程辨识出个资的情况。例如说,用户名字在某个健康保健App上找得到,而心脏与关联的跳动图与声音又在另一份清单找得到对应的名字,将全部集成在一起后,还是可以反推出该用户的所有信息,那么这样就是没做到完善的去识别化。「去识别化就不是个资,没有遵循的义务。然而若仅是假名化后,这些资料还是属于个人信息。」

现在最大的法规遵循挑战之一,就是如何精确解释机器学习的算法的运行过程细节,因为这些如前所述的细节,都牵扯到该如何在收集数据时清楚与明白地告知用户。

人工智能判断事情真的比人类还要正确吗?

在某些情况下,人工智能处理事情,不一定比人类还要有效率,反而可能有偏误,甚至是产生不公平、歧视、不准确的状况。比方说,在智能金融的领域中,如果客户想要申请贷款,而因为依照资料表填写,其中有一栏填写「居住地于南港、家中成员有父亲、没有母亲」,系统产出的结果为「不能核贷」,那这是否在某些情境下,就是AI对于贷款申请人的背景歧视,而且没有任何当下转圜与讨论的空间,这也是值得产业思考的细节。

在开放银行、资料经济、开放银行(Open banking)的核心概念中,金融数据的「客户主控权」,加上银行开放应用程序接口(API)的「共享」都相当关键。在开放API给第3方服务业者的生态下,银行客户就有权决定,是否将原本由银行掌控的数据资料,提供给第三方业者使用。一经客户要求,银行也必须将客户数据资料,转移至客户指定的第3方服务业者。这样的情况在各个国家的表现方式也不同,象是「强制集中型」的英国,就会强制要求银行,将数据资料揭露给特定单位,再由特定单位将数据提供给第3方;「合作伙伴型」的香港、新加坡,则是还保有自由选择揭露给特定单位的权利。

在与数据收集与应用极为相关的4.0智能银行生态中,将一改过去民众跑银行的状况,反过来是银行去数码消费场景找客户,比方说透过LINE这样的通讯软件。台湾的LINE帐号有2,100万个,其中实名的将近1,800万个,也因为如此庞大的用户和生态圈的流量,纯网银业者透过Open banking要掌握用户的资金需求,也因此希望做到所谓的「精准营销」也就不难了;另外象是脸书也可以依照用户最近的喜好活动,进而推展业务,比如说,脸书用户一直在查找与回应东京奥运相关内容,脸书的聊天机器人可能就会问用户要不要存日币或是换汇等等服务。

隐私将翻转服务型态 民众也能靠自己的作息数据赚钱

「My Data My Earning」三菱UFJ信托银行在2018年11月19日展开了一项透过10家企业1,000名员工共同参与的D’PRIME计画,其中最特别的就是以「个人资料银行App」的方式授权作息状况、个人通勤资料、财务资料、基本资料,个人可以决定要授权哪里些资料给企业分析使用,而企业必须要付钱给个人,才能使用这些资料,也就是「自己的个资自己卖」。相对大中心化的数据库与传统在线全数授权状况,我认为这可说是相当新颖的概念,但也提醒分散式数据应用有其管理成本的考量,同时也要注意信息安全防护。

「隐私权保护是个投资,是个基础建设,而不是成本」另外提醒大家,所谓的资料治理,就是让包含隐私的资料变得好用、对企业产生效益、变得适合商业目的的资料管理机制。既然大数据分析和人工智能都需要大量的特定领域宝贵的隐私信息,那么企业就更应该要有「资料治理」的策略思维,透过实践在「使用个资的代价成本」跟「如何最大化个资价值」之间,找到一个完美的商业平衡。

(本专栏由孙欣口述,记者蔡腾辉整理)

孙欣

从事企业in house法务与律所律师将近18年,最近几年专注在创新与新创事业、金融科技、法令遵循等领域;现任安侯法律事务所执行顾问、KPMG创新和新创企业服务团队成员、KPMG金融业法令遵循服务主持人。

作者更多专栏

  •     按赞加入DIGITIMES智能医疗粉丝团
更多关键字报导: 个资法 GDPR 生医新创 医疗人工智能