AI蒐集個資恐侵權
(圖/路透)
大數據的風潮由來已久,第一波浪潮是2008年,當時有研究者各自利用Yahoo!及Google使用者在網路搜尋的關鍵字研究,並且分別發佈論文指出,可以藉由輸入關鍵字的使用者分佈情形,來預測流感傳染情況,其結果與官方的發現非常接近,時效則遠遠早了好幾天。儘管後來這些模式被發現有問題,還被指稱是大數據分析的陷阱。這主要是因爲查詢者未必就是罹病者,所以可能有落差。這種落差,技術上可以克服。
隨着技術的進步,大數據浪潮再起,尤其ChatGPT登場,更讓傳統的網路搜尋引擎,開始真正出現了AI人工智慧的樣貌,難怪越來越受到歡迎與愛用。但很多人可能沒有發現,AI大數據很可能侵犯了隱私與個資,而且違反了個資法,但卻被忽略了。
我國的《個人資料保護法》第六條明文規定:「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。」但如果是搜尋引擎或者是其他基於AI的程式例如ChatGPT在蒐集呢?
前項法條的例外規定,不在此限:一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,爲統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、爲協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。」
人們在網路搜尋或是利用ChatGPT進行對答,不符合前述的自行公開,但使用相關服務前所同意的服務條款是否已經包含而且符合第六項「書面同意」,還有不少討論空間。
個資法還規定如果蒐集的不是由當事人提供之個人資料,應於處理或利用前向當事人告知其法律權利,除非是「基於公共利益爲統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者爲限。」所以嚴格說,病歷與性生活是絕對不能蒐集的,其他資料如果不是當事人提供還要善盡告知義務。
問題是大數據從一開始引起注意,就是跟流感等病例有關,坊間許多談論大數據的專書,也常常引用網友自行輸入的性生活問題作爲分析的案例。這算違反個資法嗎?
有人可能會說,那是利用網路搜尋關鍵字,不是真實病例,也不是真實性生活。沒錯,就像前面提到的大數據分析陷阱,查詢流感的未必真的得了流感。但是反過來說,查詢流感的絕對有很高比例,已經得了流感。這裡面有多少泄漏個資的風險?
還有人會主張說,大數據蒐集到的是「大」數據,不是個別資料。關鍵就在於:搜尋引擎與AI程式所獲得的大數據,可以識別特定當事人嗎?技術上絕對是可以的,用最簡單的網路足跡就可以,如果進一步結合會員資料,更是清清楚楚。當使用搜尋引擎或是ChatGPT等AI程式,我們應該不太願意自己的隱私或個資被蒐集甚至揭露,所以更應該落實個資法。
個資法第三條明文規定:「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。二、請求制給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。」業者應該主動說明如何落實。(作者爲國立臺灣藝術大學廣播電視學系教授)