【歐盟資料治理演化論】從 GDPR 到 AI 法,歐盟怎麼一步步強化數位主權?
在數位主權日益受到重視的今日,資料治理已成為全球各國數位政策的核心關鍵,以應對資料保護、AI 治理和跨境資料傳輸的挑戰。歐盟逐步建立了一系列法規體系,從 2018 年上路的《一般資料保護規則》,到近年提出的《歐洲資料戰略》與《AI 法》,勾勒出一條涵蓋資料保護和共享的發展路徑。
GDPR 奠定個資治理基礎,強調數據最小化與目的限制
《一般資料保護規則》(GDPR)是歐盟資料保護制度的根基,核心在於強化個人對個人資料的控制權,適用對象涵蓋任何處理歐盟居民個資的組織,並強調資料最小化與目的限制原則,具備域外適用效力,迫使全球與歐盟互動的企業都需遵循,也成為歐盟建構「數位內部市場」的重要根基。
GDPR 具有技術中立性,幾乎涵蓋所有涉及個人資料的自動化處理行為。根據國際法律事務所 DLA Piper 分析,即使該法沒有明確提及 AI,但在第 22 條對自動化決策提出限制,也間接涵蓋 AI 應用範疇。
資料共享成新趨勢,歐盟開展「歐洲資料戰略」
隨著數位經濟蓬勃發展,僅靠個資保護已難以回應創新、資料共享需求。歐盟在 2020 年發布「歐洲資料戰略」,目的創造單一資料市場,確保歐盟的競爭力和資料主權,進一步採取有關資料治理、存取和再利用的立法措施。
此戰略催生了《資料治理法》(Data Governance Act)、將在今年 9 月正式適用的《資料法》(Data Act),以及旨在促進 AI 創新、將於第三季實施的資料聯盟策略(Data Union Strategy)。《資料法》是《資料治理法》的補充,前者針對公共與敏感資料設立共享機制與中介架構,後者釐清誰可以從資料創造價值及使用條件,提升連網產品資料的可取用性。不過,如果涉及個人資料的情事,仍會適用 GDPR。
目前,歐盟也在著手打造不同戰略領域的「歐洲共同資料空間」,於健康、農業、製造、能源共 14 個產業領域進行開發,並規劃未來將這些空間相互連通,最終形成單一資料市場。
《AI 法》延續資料治理精神,聚焦高風險 AI 系統
歐盟近期通過全球首部 AI 全面性監管立法《AI 法》,將資料治理原則延伸至生成式 AI 開發流程。特別是針對「高風險 AI 系統」,AI 法案第 10 條明定開發者須實施資料治理措施,要求開發者在訓練、驗證與測試階段使用的資料集,須具備代表性、完整性與偏誤審查機制,同時必須納入資料標註與清洗的程序管理與紀錄,來源與蒐集目的也須清楚可追蹤,避免違反「目的限制」原則。
《AI 法》同時規範通用 AI 模型開發者應遵守著作權法,無論資料是否公開,只要受著作權保護,就需依法取得授權或符合法規例外條件,才能用於 AI 訓練。此外,針對透明度,通用 AI 模型開發者還需公開訓練資料摘要,說明資料來源。
產業批評監管過嚴,歐盟面臨創新與保護拉鋸戰
然而,歐盟這套逐步擴張的資料治理體系,引發科技巨頭抨擊。根據《CNBC》報導,今年 Google 與 Meta 高層相繼批評歐盟的技術監管過於嚴格,例如 GDPR、AI 法,可能限制創新空間,並導致產品延遲上市,影響歐洲公民和消費者。
根據歐洲議會分析,歐盟的資料保護領域仍有諸多待處理的倡議和挑戰,尤其是新興技術如 AI、人臉辨識技術、物聯網的技術可能觸犯資料保護法。這也使得而 AI 的資料需求爭議,也成為監管是否鬆綁或強化的辯論焦點。
在資料治理與技術創新漸趨複雜的背景下,如何協調法規間的分工、提升執行效率並兼顧基本權利與產業需求,將是歐盟下一階段鞏固數位主權的關鍵。
*本文開放合作夥伴轉載,資料來源:世界經濟論壇、EU 1、EU 2、EU 3、DLA Piper、European Parliamentary、《經貿法訊》、TrustArc、future of life institute、European Policy Analysis、《CNBC》,首圖來源:AI 工具生成。
留言 0