隱含式數據收集與不透明同意
部署
風險描述
許多 AI 系統透過嵌入式 SDK、瀏覽器擴充功能或背景服務,在使用者不知情或不充分理解的情況下收集行為數據。同意機制往往以冗長的法律文件呈現,使用者在實際操作中難以理解數據的用途和範圍。更嚴重的是,某些數據收集行為隱藏在「改善服務品質」等模糊描述之中,超出使用者的合理預期。
框架對照
iso 23894R1
tw principle隱私保護與數據治理
tw principle透明與可解釋
tw risk type部署互動問題(Deployment Interaction)
控制措施
- 透明化數據收集揭露
- 分層同意機制
處理步驟
- 實施分層同意機制,以簡明語言說明數據收集範圍和用途
- 提供細粒度的數據共享控制選項(opt-in/opt-out)
- 建立數據收集透明度報告,定期公開數據使用統計
- 進行隱私影響評估(PIA),確保數據收集符合比例原則