數據主體權利行使困難
運行與監控
風險描述
由於 AI 模型訓練的技術特性,數據主體難以有效行使其法律賦予的權利(如刪除權、更正權、存取權)。一旦個人數據被用於模型訓練,要從已訓練的模型中「遺忘」特定個人的數據在技術上極為困難。這導致 GDPR 和個資法中的數據主體權利在 AI 場景下形同虛設。
框架對照
iso 23894R1
tw principle隱私保護與數據治理
tw principle問責
tw risk type社會系統性影響(Societal Systemic)
控制措施
- 機器遺忘技術
- 數據主體權利回應流程
處理步驟
- 研究並導入機器遺忘(Machine Unlearning)技術
- 建立數據主體權利行使的標準回應流程和時限
- 在訓練前記錄完整的數據譜系,便於追溯和回應
- 設計模型架構時預先考慮數據刪除的可行性