S0054嚴重

未經同意使用個資訓練

設計與開發

風險描述

組織在未取得數據主體明確同意的情況下,使用個人數據訓練 AI 模型。義大利曾因 ChatGPT 未經同意處理使用者數據而一度禁止其服務。台灣個資法第 19 條要求非公務機關利用個資需於特定目的範圍內,AI 訓練是否屬於原始收集目的在法律上仍有爭議。

框架對照

iso 23894R1
eu ai actArticle 10
tw principle隱私保護與數據治理
tw principle問責
tw risk type技術設計缺陷(Technical Design Flaw)

控制措施

  • 數據使用授權管理
  • 同意機制設計

處理步驟

  1. 建立 AI 訓練專用的數據使用授權清冊(Data Use Inventory)
  2. 在數據收集時增加「AI 訓練用途」的明確同意選項
  3. 實施數據使用目的追蹤,確保不超出授權範圍
  4. 建立數據主體的 opt-out 機制和退出後的數據刪除流程