S0061中等

隱含式數據收集與不透明同意

部署

風險描述

許多 AI 系統透過嵌入式 SDK、瀏覽器擴充功能或背景服務,在使用者不知情或不充分理解的情況下收集行為數據。同意機制往往以冗長的法律文件呈現,使用者在實際操作中難以理解數據的用途和範圍。更嚴重的是,某些數據收集行為隱藏在「改善服務品質」等模糊描述之中,超出使用者的合理預期。

框架對照

iso 23894R1
tw principle隱私保護與數據治理
tw principle透明與可解釋
tw risk type部署互動問題(Deployment Interaction)

控制措施

  • 透明化數據收集揭露
  • 分層同意機制

處理步驟

  1. 實施分層同意機制,以簡明語言說明數據收集範圍和用途
  2. 提供細粒度的數據共享控制選項(opt-in/opt-out)
  3. 建立數據收集透明度報告,定期公開數據使用統計
  4. 進行隱私影響評估(PIA),確保數據收集符合比例原則