未經同意使用個資訓練
設計與開發
風險描述
組織在未取得數據主體明確同意的情況下,使用個人數據訓練 AI 模型。義大利曾因 ChatGPT 未經同意處理使用者數據而一度禁止其服務。台灣個資法第 19 條要求非公務機關利用個資需於特定目的範圍內,AI 訓練是否屬於原始收集目的在法律上仍有爭議。
框架對照
iso 23894R1
eu ai actArticle 10
tw principle隱私保護與數據治理
tw principle問責
tw risk type技術設計缺陷(Technical Design Flaw)
控制措施
- 數據使用授權管理
- 同意機制設計
處理步驟
- 建立 AI 訓練專用的數據使用授權清冊(Data Use Inventory)
- 在數據收集時增加「AI 訓練用途」的明確同意選項
- 實施數據使用目的追蹤,確保不超出授權範圍
- 建立數據主體的 opt-out 機制和退出後的數據刪除流程