未經同意使用個資訓練
Design & Development
Risk Description English translation pending
組織在未取得數據主體明確同意的情況下,使用個人數據訓練 AI 模型。義大利曾因 ChatGPT 未經同意處理使用者數據而一度禁止其服務。台灣個資法第 19 條要求非公務機關利用個資需於特定目的範圍內,AI 訓練是否屬於原始收集目的在法律上仍有爭議。
Framework Mappings
iso 23894R1
eu ai actArticle 10
tw principle隱私保護與數據治理
tw principle問責
tw risk type技術設計缺陷(Technical Design Flaw)
Controls English translation pending
- 數據使用授權管理
- 同意機制設計
Implementation Steps English translation pending
- 建立 AI 訓練專用的數據使用授權清冊(Data Use Inventory)
- 在數據收集時增加「AI 訓練用途」的明確同意選項
- 實施數據使用目的追蹤,確保不超出授權範圍
- 建立數據主體的 opt-out 機制和退出後的數據刪除流程