個資保護影響評估缺失
設計與開發
風險描述
高風險 AI 系統未依 GDPR 第 35 條或台灣個資法進行數據保護影響評估(DPIA)。AI 系統因大量處理個資而幾乎都需要 DPIA,但許多組織將 AI 專案視為純技術專案而忽略此法律義務。缺少 DPIA 不僅構成法規違規,也使組織無法系統性地識別和管控隱私風險。
框架對照
iso 23894R1
iso 23894R6
eu ai actArticle 9
tw principle隱私保護與數據治理
tw principle問責
tw risk type社會系統性影響(Societal Systemic)
控制措施
- DPIA 標準作業程序
- 隱私工程整合
處理步驟
- 建立 AI 專案的 DPIA 標準作業程序
- 在 AI 專案啟動階段即納入 DPIA 要求(Privacy by Design)
- 使用結構化的 DPIA 範本涵蓋 AI 特有的隱私風險
- 指定數據保護官(DPO)審核所有高風險 AI 專案的 DPIA