2024年7月16日,歐洲資料保護委員會(EDPB)針對資料保護機關在AI法中的角色,發布聲明。
EDPB聲明背景與目的
歐盟《AI法》旨在統合規範AI技術的市場推廣、服務提供以及使用,並促進以人為本且值得信賴的AI發展。隨著技術發展,AI技術與個人資料更是息息相關,而《AI法》與其他資料保護相關法令(例如《一般資料保護規則》,即GDPR)間的相輔相成,更確保基本權利及個人資料保障。
其中,「資料保護機構(DPAs)」在AI相關議題上,具備充分的專業知識(不論是資安、創新技術的風險評估等)、經驗與獨立性,由DPAs擔任《AI法》中的「市場監管機關(MSAs)」顯然更為適合。再者,若DPAs同時具有MSAs的身分,更能統合《AI法》與資料保護法令的單一窗口,對於各界而言顯然是好事一樁。
EDPB的建議
由DPAs擔任MSAs:EDPB建議成員國應將DPAs指定為高風險AI系統(尤其是那些可能對個人資料甚至其他基本權利造成影響的高風險AI)的MSAs,並作為國家層級的單一窗口,促進跨議題監管的統合性與連貫性。
相互合作: MSAs與其他監管AI的機關應建立良好合作關係,並根據《歐盟條約》第4條第3項的真誠合作原則來制定明確的合作程序,以確保決策一致與法律安定。
提供DPAs充分資源:雖DPAs在監管AI相當合適,但成員國必須提供充足的人力和財務,確保DPAs履行新任務時具備充分資源。
AI辦公室的角色:《AI》法目前並未針對AI辦公室(負責監管通用型AI)如何與DPAs、EDPB合作進行規定。但考量AI訓練可能使用個人資料,仍建議AI辦公室應依真誠合作原則,與DPAs及EDPB建立協調機制,確保DPAs及EDPB在AI涉及資料保護議題時,可有效地參與其中。
跨議題治理的複雜與發散,一直以來都是各國、各組織所面臨的難題。從EDPB的聲明可以發現,歐盟近年立法逐漸強調跨議題的統合治理,不論是這次的AI與資料保護,又或者是之前的數位服務法,都顯示在不同議題或法令交互作用時,應盡可能將治理模式收束,確保治理專業、治理效能及權利保障。我國近年在數位議題上也不斷面臨跨議題整合,日後歐盟的有關單位如何進行協調、合作,值得我們持續關注、借鏡。
資料來源:
Comments