聲明|司改會針對國科會「人工智慧基本法」草案之意見
2024-9-13
民間司法改革基金會(簡稱「司改會」)長期推動民主法治,尤其近年積極關注公私部門在快速數位化的過程中,對人民權利、公權力界線等權力結構之改變。而身為法律專業的公民團體,司改會致力於推動數位權利的法治化,強調唯有當人民的權利在法律上獲得充分的肯認與保障,並且建立實際上可操作、可究責的機制,我們才能系統性、全面性的保障數位時代下人民的自由與集體的民主社會。就國家科學及技術委員會於今年7月15日預告制定「人工智慧基本法」草案(簡稱「AI基本法草案」或「本草案」),本會意見如下:
民主社會之基石為法治(Rule of Law),面對重大社會權力結構的變遷,以具正當民意基礎而通過之法律規範來制定權責關係,而非僅僅依靠變動快速的行政政策拼湊摸索,自為正確的治理方向。基於「以人為本」、「從權利出發」的核心價值,司改會就政府選擇此法治化的大方向上,深表肯定,亦希望政府在法治化上能夠與公民社群合作,在此大方向上一同交流努力。
然而,科技之發展,尤其是資訊科技之發展,甚為快速。產業、政府、甚而股市的目光十分容易轉移。即便有政府提出的相關政策甚而是法律規範也可能是欠缺對整體社會數位化過程中,全盤性、根本性、凝聚與堅守核心價值的系統性規範。
我們需要的,不僅僅是AI基本法,我們政府的視野,不應該只有看到現正當紅的AI,而應該將關注範圍擴及整體的數位環境。社會共識與價值觀的凝聚,也應當以「整個社會在數位化的過程」為思考的單位,設計出民主自由的數位社會。
目前的AI基本法草案,雖名為「基本法」,然內容多為政策的宣示,宣示政府應積極促進公部門與私部門發展人工智慧。[1]而相較於高舉促進發展的大旗,反觀如何透過法治降低在短時間內大規模應用人工智慧所可能帶來的負面影響、風險等諸多疑慮,本草案卻輕描淡寫,未能提出具體機制,甚至連責任歸屬、主管機關皆無明確規範。
如此一味鼓勵發展、嘉惠應用而完全不制定任何具有法律效果的管制歸責機制,也未肯認人民主張權利、政府應負保護人民義務的單向立法草案,形同只有加速器而沒有減速煞車系統的列車,根本無法達成本草案第一條中「維護國民生命、身體、健康、安全及權利」所設定的立法目的。
本草案既然名為「基本法」,就應如同我國其他基本法確立人民之「權利」以及相應之國家「義務」,然目前草案卻隻字未提人民之權利,很遺憾地僅僅是徒有基本法之空殼,實則為空泛的政策宣示。
人工智慧基本法草案如果通過,將一定程度地界定了未來的法治發展以及數位自由社會中的公民權利和政府責任,不謹應當慎以對,也不能只是「以後再說」。
若要選擇以「基本法」作為本次法治化的立法體例,則在立法上自然應當符合基本法該有的功能。以下司改會提出目前本草案中所嚴重欠缺之應有要素:
首先,基本法的重要功能之一,在於宣示各該領域應受保障的權利清單。例如教育基本法規定承認「人民享有請求學力鑑定之權利」(第十四條)、「人民有依教育目的興學之自由」(第七條)、「學生之學習權、受教育權、身體自主權及人格發展權」(第八條),或者原住民族基本法明文保障「原住民族傳播及媒體近用權」(第十二條)、「原住民族土地及自然資源權利」(第二十條),均屬適例;教育基本法更進一步明文規定教師與學生相關權利遭受不當或違法之侵害時,政府有責任提供有效及公平救濟之管道(第十五條)。
然而,反觀目前的AI基本法草案,卻完全沒有制定權利保障條款!縱使第三條中嘗試著列出一些基本原則,但卻因缺乏具體可操作的定義而淪於空洞。又因本草案中完全沒有指出違反原則之法律效果或任何不利後果,更使這些有益人民的基本原則淪為完全沒有保護效力的花瓶裝飾品,甚而粉飾了這部徒有發展、毫無管制效果的草案。
實際上,對於像人工智慧這種仍具高度不確定性的新興領域,在基本法中的權利保障條款尤為重要。例如,應透過立法肯認人民的「隱私權」(包含資訊自決權、保密權、匿名權等)、自主權(包含退出權、要求最小資料化、獲得具有實質意義替代方案等權利)、數位心理健康權等等。
第二,基本法的另一個功能,在於設定各該政府機關未來的制度與政策方向,而為了實現這個功能,基本法至少應該對主管機關、未來立法方式及法規檢討期限提出概要的框架性計畫。
然而,反觀目前的AI基本法草案,卻連最基本的主管機關、法規檢討期限[2],都無法交代清楚。外界只能靠著片段線索拼湊、推論政府對人工智慧治理的模糊圖像,也沒辦法仰賴目前圖像去預期未來可能的法規發展。
在國科會已經提出之草案中,有疑慮之條文眾多,故司改會原則上僅先就大方向、大框架等根本性之層面提出建議如上。至於其他對具體草案條文之建議,僅提出幾項較為重大之爭點如下:
草案第十條[3]授權各目的事業主管機關訂定其主管業務相關的AI風險分級規範。[4] 然而,基本法有別於作用法,並不具有授權訂定法規命令的功能,草案目前的設計,性質上讓人困惑。
再者,即便本草案採用風險分級的規範模式,卻完全沒有指出風險分級的相應效果,就連最為概略的方向或範圍都未提及,也有失基本法應有的框架性指引功能。
而退步言之,如此草案有部分作用法的性質,程序上期程,似乎亦無法透過本草案確保。以目前毫無具體期程的草案而言,「以後再說」不但是「以後才告訴你內容」,也意味著「以後到底是多久以後」都不知道,也沒有任何一個機關有責任來盯進度。
這形同政府在還沒制定交通規則的情況下,就先大規模鼓勵汽車機車通通先上路(第四條至第八條),甚至拿納稅人的錢補助、出資、獎勵,[5]或提供租稅、金融等財政優惠措施,[6]鼓吹大家通通開上這沒有交通規則的道路上。至於將來交通規則大概會是怎樣呢?再說;違反規則會怎樣呢?沒說;什麼時候才會公布規則呢?不知道!
如此粗糙的立法作風,恐怕不只是未能保障到人民的權益,就連政府希望能達到的產業促進,也都會因為規範不明而導致私部門卻步,難以達成本草案第一條列出的任何一項立法目的。
AI基本法作為框架性大法,除了訂立人民權利與相應的國家義務之外,應明確列出在特定情境或用途之禁止規範。此部分可參酌歐盟人工智慧法立法過程中就「不可接受風險之AI系統與模型」之研討,再綜觀我國本土脈絡進行適度調整。
以歐盟最後通過之AI Act法規為例,因應用AI將對基本權與民主構成潛在威脅,完全禁止以下之應用:用於潛意識(subliminal)操縱 、社會評分(social scoring)、使用敏感特徵的生物識別分類系統(use of biometric categorization systems that use sensitive characteristics)、個人預測性警務部屬(individual predictive policing) 及臉部辨識(facial recognition)等 。
本草案通篇僅僅有對「人工智慧」一詞進行定義,而對於其他用詞缺乏清楚的界定,這將使得本草案之實際效用大打折扣,甚至在廣泛的模糊空間中開啟了規避責任的便門。
人工智慧所涉技術與相關社會議題較為新穎,本來就應該在立法上進行用詞界定,後續才有操作的可能。以歐盟AI Act為例,光是處理定義的條文(第三條),就涵蓋了對68個名詞定義,足以映襯出本草案單薄一則定義之嚴重不足。既然本草案欲採行歐盟風險分級之模式,必須特別提出的是,在歐盟AI Act中,連「風險」一詞都有清楚的法律定義,以確保後續相關規範是奠基在一層一層堅固而清晰的定義之上。
反觀本草案,就連唯一一條有試圖進行定義的一詞「人工智慧」,亦是透過其他沒有法律定義的詞彙所堆砌而成的。援引草案本文「本法所稱人工智慧,係指以機器為基礎之系統,該系統具自主運行能力,透過輸入或感測,經由機器學習與演算法,可為明確或隱含之目標實現預測、內容、建議或決策等影響實體或虛擬環境之產出。」,其中「自主運行能力」、「機器學習」、「演算法」之定義為何?若無清楚界定的話,將來勢必成為法律爭議之根源。
本草案第12條所設置之豁免條款「人工智慧技術開發與研究,於應用前之任何活動,除應遵守第三條之基本原則外,不適用前項應用責任相關規範」有失周延。首先,在未清楚界定何謂「開發」、「研究」、「應用」的情況下,可以想見「開發」和「研究」極可能成為企業與政府的躲避責任的避風港。換言之,只要業者主張他的AI仍然在測試、試營運、還在校正訓練的階段,也就是盡可能詮釋自己的行為尚未落入「應用」的階段,就有可能可以取得完全的免責。因此,在這樣的免責架構下,清楚釐清開發研究與應用之間的那條界線甚為重要,亦絕對是攻防的關鍵點,若沒有法規上的界定,將成為我國AI治理最大的破口。基本法體例上雖為框架性指引性的立法,但應至少勾勒與界定出人工智慧之生命週期,例如研究、開發、部屬、產品上線等等過程,並就其各自階段所應適用之責任規範。
再者, 即便是在純然初期的開發研究階段,是否應當直接免去所有責任,亦須謹慎考量。事實上,如何兼顧創新與法規的調和,並非首見於人工智慧,所謂的監理沙盒即是可行之方法,當我們開始更進一步的討論沙盒的制度設計與責任機制時,我們能夠更細緻的去設計相關的責任減輕條件與配套機制,包含如何讓法規調不僅是到了上市之後才開始亡羊補牢式的談判協商,而是在研發初期便能有所互動尋找共生的方式。
台灣身為民主自由國家,在科技快速變動並廣泛應用的大浪之下,社會需要的是清楚制定具體的權利清單及法律效果(人民權利、國家義務、歸責機制),也應該設有程序期程等法制規範。司改會期待本草案在公眾意見徵詢之後,能夠充分地往前述的方向進展。
本會也期待社會各界能不僅看到當前的人工智慧議題,也能拓展關注範圍至整體的數位環境,以及數位化對於個人自由與集體民主所帶來的深遠影響。司改會同樣在邀集法律與資訊科技專家一同撰擬「數位權利法案(Digital Bill of Rights)」,期盼能成為將來推動「數位基本法」的核心價值,亦在此歡迎各界參閱交流。
--------
[1] 「積極推動人工智慧研發、應用及基礎建設」(第四條)、「建立或完備既有人工智慧研發與應用服務之創新實驗環境」(第六條)、「以公私協力和國際合作方式推動人工智慧創新運用」(第七條)、「提升人工智慧使用資料之可利用性」(第十五條)等政策目標,鼓勵意味濃厚,卻沒有搭配相應的防火牆設計,去防範AI可能帶來的技術濫用與權利侵害。
[2] 本草案第十七條「政府應於本法施行後依本法規定檢討及調整所主管之職掌、業務及法規,以落實本法之目的。前項法規制(訂)定或修正前,既有法規未有規定者,由中央目的事業主管機關協同中央科技主管機關,依本法規定解釋、適用之。」,相較於通訊傳播基本法(第十六條,二年)、原住民族基本法(第三十四條,三年)、海洋基本法(第十六條,兩年)均定有明確的法規檢討期限。
[3] 草案第十條「數位發展部應參考國際標準或規範發展之人工智慧資訊安全保護、風險分級與管理,推動與國際介接之人工智慧風險分級框架。各目的事業主管機關得循前項風險分級框架,訂定其主管業務之風險分級規範。」。
[4] 請留意草案第十條第二項用詞為「…主管機關『得』循…」,既然用字選擇上僅為「得」而非「應」,故主管機關並沒有被克與任何訂定規範之義務,而主管機關若訂定規範亦無義務遵循數位部風險分級框架。若是如此,本規範制定之實益何在?
[5] 本草案第四條
[6] 本草案第四條