發布日期

數位轉生?論AI復活與個資法

作者

[前言]

牛津網際網路研究所(Oxford Internet Institute)曾有一項研究顯示,估計約50年後,Facebook內往生者的帳號數量將超過存活者的帳號數量。而FaceBook可視為現今人類物種歷史上最大的人類行為資料庫,曾經創建過個人資料的用戶都不復存在(即死亡),但他們的數位資訊卻永存於網際網路中,但在多數國家,往生者的資料並不是個人資料保護法令所涵蓋的保護客體,往生者個人資料之運用勢必成為法律上的重要課題。

[各國情形]

一、台灣 依照現行的個資法施行細則第2條規定:「本法所稱個人,指現生存之自然人。」,所保護的個人資料對象是指「現生存有生命」的自然人,並不包括「往生者」;且人已往生,其人格權不復存在(權利義務關係均隨之消滅),又從個資法第1條立法意旨就可知道該法是保護個人隱私權、人格權而來。所以就不在個資法的保護範圍內,頂多稍微注意有無構成刑法第312條關於妨害名譽死者罪的特殊規定(因有它特殊的立法考量)。因此,如果要規範或禁止AI技術去使用死者個資,就應特別研議評估,從立法或修法方式去處理。而國科會版的人工智慧基本法草案目前就此也無相關規範。

二、歐盟 歐洲部分國家允許繼承人行使被繼承人之個人資料保護相關權利,例如:

(一)匈牙利:本人可指定特定人或由直系親屬行使本人往生後之權利。

(二)西班牙:繼承人有權行使GDPR第15條資料查詢權或使用權(Right of Access)、第16條更正權、第17條被遺忘權(刪除權)。

(三)義大利:親屬代表可基於保護家庭之因素行使往生者於GDPR第15條至第22條之權利。

(四)補充說明:歐盟GDPR第18條是限制處理權、第20條是資料可攜權、第21條是拒絕權、第22條是自動化決策。

(五)至於歐盟的人工智慧法,就死者個資的使用,僅強調對個人資料的保護應遵循GDPR,故涉及死者個資的AI應用仍須遵循相關具體規範。換言之,雖然歐盟AI Act、GDPR均尚未特別針對死者資料的使用作出規定,但各成員國可以自行制定保護已故人士個資的規定。然而,如果AI系統使用的數據資料涉及死者的個資,仍可能受到相關倫理審查、數據治理規範的約束,尤其是在醫療、保險等敏感領域。

三、德國 (一)有一名15歲的A女在德國柏林地鐵站被列車撞擊去世,A女父母想知道A女是否有自殺傾向,所以行使請求FB提出檢視或管理A女帳號的權利。雖然FB以「數據保護、對用戶仍有保護其個人隱私」為理由而拒絕A女父母的請求,但柏林地方法院、德國聯邦最高法院均裁決同意A女父母的請求。

(二)德國最高法院認為數位財產也應該像信件、書籍、日記相同,得做為遺產留給繼承人。死者的FB帳號及其內容,某程度具有「線上人格」的特性,使得這個判決變得複雜。原因在於數位遺產涉及「線上人格」的問題,故法律尚無明確定論,也不能類推適用在傳統法律的遺產繼承處理,因此存在許多困難的繼承法律爭議。尤其在繼承法中,遺產通常都是看得見、摸得著的實物,但數位遺產並不是實物。鑑於數位遺產和實物遺產在形式上的差別,許多國家開始修訂或制定法律,以適用數位遺產的繼承。

四、聯合國教科文組織(UNESCO,全名:聯合國教育、科學及文化組織) 按照聯合國教科文組織通過的《保護數位遺產憲章》意旨,一個人死亡後的虛擬財產,都可視為其「數位遺產」(Digital Heritage),包括但不限於網站及其內容、應用軟體、代號、電子文件、圖片內容、媒體內容、電子貨幣、電子郵件帳號及其內容、社交網路帳號及其關係和內容、雲端服務帳號及其數據等。

五、美國 (一) 2014年德拉瓦州(Delaware)眾議院通過美國真正實質上第一個對數位遺產的法律規定《數位訪問與數位帳號委託訪問法》(Fiduciary Access to Digital Assets and Digital Accounts Act),家庭成員、遺囑執行人以及繼承人在被繼承人死亡後,有權控制被繼承人個人的數位帳號或社交媒體帳號。2018年美國已經有七個州(包括加州等)通過立法,對數位遺產進行保護。

(二) 美國統一法規委員會(ULC)在2014、2015年間制訂完成的《統一數位資產受託途徑法》(the Uniform Fiduciary Access to Digital Assets Act, UFADAA),另有中文翻譯為「數位資產和帳戶受託使用法案」。即以「帳號託管」(fiduciary)的方式,由法院授權他人管理被繼承人數位遺產,以維護被繼承人最大利益。

(三) 由於各州間就數位資產立法所涉及之資產類型、受託人種類、權利範圍,以及是否涵蓋使使用人死亡或喪失行為能力皆有所差異,為此,RUFADAA,希望以一個統一的立法為各法院、受託人、使用人與保管人提供可預測之數位資產處理方式,並對各州在受託人存取使用人(包含死者、受監護人、本人及信託委託人)數位資產之爭議提供全面的指導。在適用範圍上,RUFADAA相較德拉瓦州州立法詳細列出數位資產種類之方式,改採定義之方式,將數位資產定義為「使用人具有權利或利益關係之電子紀錄」。

(四) 有超過40 個州或地區已採用或即將採用RUFADAA,僅加州、德拉瓦州等尚未採用。是以,RUFADAA在美國數位資產立法上仍占有最重要之地位,不失為我國未來立法之參考。

五、中國 (一)微信在用戶協議中明確聲明,用戶不能把帳號轉讓給任何人,因為「用戶只有帳號的使用權,所有權歸騰訊」。雖然死者親屬無法繼承死者的數位遺產,但2017年中國目前的《民法典》草案在總則第127條規定:「法律對數據、網路虛擬財產的保護,依照其規定。」,開始往網路虛擬財產合法性的方向邁進。

(二)《中華人民共和國個人信息保護法(第二稿)》(以下簡稱《二稿》)徵求公眾意見。二稿加強對死者個人資料權益的保護。新增加的二稿第四十九條規定:「自然人死亡的,個人在本章規定的個人信息處理活動中的權利,由其近親屬行使。」該規定有助於維護死者個人資訊的權益。例如,部分自然人希望在其死後註銷其社會帳戶的,死者的近親屬可以按照本規定向有關企業申請註銷。但是,二稿尚未明確如何處理死者有多個近親屬且相互意見不一致的情況。此外,尚未明確此類權益的保護範圍。

六、俄羅斯 依國家遺產繼承法的規定,網路數位遺產視為可繼承遺產分類中的「其他財產部分」。

[修法建議-代結論]

在數位轉生或AI復活的議題中,台灣應可參酌部分歐洲國家運用GDPR規定從而規範往生者個人資料權利之方式,進而探討我國民法、個資法,甚至人工智慧基本法等領域,對於往生者個人資料運用之相關議題。

一、民法 (一)AI常常需要獲取個人「肖像」及「聲音」之資料,而在我國學者及國際上之討論,多數認為「肖像」與「聲音」應受民法人格權之保護。立法委員葛如鈞已提案增訂民法第195條關於之肖像權及聲音權規定。

(二)關於「肖像權」在我國民法尚未有明文規範,惟經過多年司法實務判決案例的累積(如最高法院104年度台上字第1407號民事判決及最高法院106年度台上字第2677號民事判決),已形成在學理通說上所承認的一種具體人格權態樣。如今利用人工智慧生成人臉或肖像,已是網路上很普遍流行的圖像或影片處理技術,可能對他人的肖像權構成不法侵害。因此,實有加強吾人在數位時代對於肖像權保護之必要。

(三)我國法院實務上曾認定「聲紋」涉及人格權的基本權保障,且屬於個人資料,應受個人資料保護法之規範。例如最高法院102年度台抗字第939號民事裁定:「按法庭錄音含有參與法庭活動之人之聲紋及情感活動等內容,交付法庭錄音光碟或數位錄音涉及其人格權等基本權之保障,應以法律明文規定或由法律明確授權。鑑於法庭錄音光碟之內容係當事人及其他在場人員之錄音資料,要屬現行個人資料保護法第二條第一款所稱個人資料」。

(四)又隨著自然語言處理之機器學習技術、大型語言模型等進步與成熟應用,已可透過上開技術模仿與呈現任何人的聲音,由此可能產生聲音侵權問題。對此,個人的聲音(聲紋)等資料應考量被納入「聲音權」的保護。參酌美國加州民法典第3344條及加拿大魁北克省民法典第36條等立法例,針對自然人的聲音均有聲音權的保護規定。是以,隨著時代演進、技術發展,及人格權保護之需要,自然人的肖像與聲音,均應成為人格權所保障的類型之一。

(五)另關於「數位遺產」,儘管按「人之權利能力,始於出生,終於死亡」,「繼承,因被繼承人死亡而開始」,民法第6條、第1147條分別定有明文。從而,人於死亡時即喪失作為權利義務之主體,但法院同時肯認「遺族對於故人敬愛追慕之情」之一般人格權,屬於民法第195條第1項所欲保障之範圍。

(六)關於數位遺產在台灣的法制建構,本文認為應回歸到我國憲法第15條與民法第1148條第1項之立法意旨,即針對被繼承人以及繼承人之財產權保障,應就被繼承人之財產上之一切權利、義務繼承,僅排除具有一身專有性之權利義務。如為無智慧財產權之數位資產,因其仍具有一定之經濟價值,既受憲法上財產權之保障,自應將之納入財產概念下作法律上的定義規範,而得為繼承之標的。至於就帳號內的數位資產方面,參考前揭介紹的立法潮流,應值得吾人肯認得為繼承的數位遺產。主管機關亦可考慮以定型化契約應記載事項之方式,要求網路服務提供者將替代方案載明於服務條款中,以保障繼承人之權利。

二、個資法 (一)有鑑於「個人資料保護法」第二條第一款關於「個人資料」之定義,已不符現今時代需求且背離國際規範而亟需修正;應參考歐盟GDPR關於保護個人資料處理與資料自由流通之規範目的,調整本法之立法目的,由原本保護人格權,改為保障個人隱私權及資料自主權。

(二)因應線上活動及物聯網應用個人資料之情形快速增加,應明確增訂「生物特徵」、「網際網路位址」及「數位足跡」等非實體個人資料納入個人資料範圍,補充說明個因應時代的進步與發展個人資料具有之特性,以提升數位世代個人資料保護之強度;並新增關於「自動化決策拒絕權」、「資料可攜權」等規定。

(三)我國準備多年仍未能取得歐盟GDPR的適足性認證,爰參酌歐盟GDPR相關規定,賦予民眾更多的隱私保障及資料享有自主權,期使加快取得認證之時程,故應增訂「資料可攜權」;參考歐盟GDPR關於個人資料「自動化決策」與處理之規範,增訂對當事人資料之蒐集及處理應符合透明性、合法性及公平性之原則並取得明確有效同意,及其相關例外情況。

(四)應增訂個人資料當事人得以其「被遺忘權」請求個人資料蒐集者、處理者刪除其個人資料及其限制。是以,關於當事人死亡後其個人資料處理及相關權利之規範,台灣應參考聯合國、美國等立法例,及歐盟部分國家(例如匈牙利、西班牙與義大利)允許繼承人行使被繼承人原於GDPR之相關權利。

三、人工智慧基本法 歐盟人工智慧法(AI Act)是一項具有里程碑意義的法案,旨在規範人工智慧的發展與應用。對於「把死者個資用在AI的情況」,該法案確實提供一些相關的規範,但並非直接針對死者個資,而是從更廣泛的個人資料保護角度出發。

(一) 高風險人工智慧系統的規範1.個人資料保護:如果將AI用於高風險領域(如招聘、執法、信用評分等),則必須確保其處理個人資料的合法性、公平性、透明度,並遵守《一般資料保護規則》(GDPR)等相關法律。這意味著,即使是死者的個人資料,在使用時也必須符合這些要求。

2.風險評估: 高風險AI系統必須進行嚴格的風險評估,以確保其不會對個人權利造成不當影響。這包括評估系統是否會產生歧視、不公平或其他有害的結果。

(二) 透明度要求1.告知義務:

當個人與AI系統互動時,系統必須告知個人其正在與AI互動,並提供有關AI功能和限制的資訊。

2.可解釋性:

在某些情況下,系統必須能夠解釋其決策的理由,以確保透明度和可追溯性。

3.對於死者個資而言,雖然法案沒有明確規定,但透明度原則仍然適用。如果AI系統使用死者的個人資料,並對活著的人產生影響,那系統應當能夠解釋其決策的依據。

(三) 需注意的重點 1.GDPR的適用性:

GDPR雖然主要針對活著的個人,但對於死者個人資料的保護也有一定程度的規範。例如,在某些情況下,死者的繼承人可能擁有對死者個人資料的控制權。

2.成員國的具體規定:

歐盟成員國可能會有各自的法律或規範,進一步補充或細化AI Act的規定。

3.不斷發展的法律領域:

AI技術發展迅速,法律規範也在不斷完善。對於死者個資在AI中的應用,未來可能會有更具體和詳細的規定。

(四)雖然AI Act並未直接針對死者個資的使用提出明確的禁令或許可,但其所強調的個人資料保護、風險評估和透明度原則,對於規範死者個資在AI中的應用具有重要的參考價值。在使用死者個資進行AI開發或應用時,企業和研究人員必須仔細評估其行為是否符合相關法律法規,並確保不會侵犯個人權利,甚至應從倫理的角度進行考量與評估,確保對死者個資的利用符合社會公德或道德標準。

(本文僅代表作者觀點,不代表本站立場) 全文發表自NoMoreLaw_Leo在Matters平台