义正律师事务所合伙人林伟隆律师接受《联合早报》访问时说,业者应持续通知客户所收集的资料和用途,并让客户有选择权可以拒绝业者收集资料。新指导原则有助业者了解如何向客户征求同意。
个人资料保护委员会也呼吁业者在开发人工智能系统时,应尽可能只使用所需资料,并以匿名方式处理。若业者须要使用人脸图像等具有身份识别性质的资料,则应根据PDPA采取更完善的数据安全措施。
委员会接下来还会探讨如何在生成式人工智能方面,为业者提供个人资料指导方针。
根据指导原则,“改善业务”的用途包括改良或开发新运作模式、为个别客户推荐产品或服务等。比如,一个视频串流平台用人工智能分析个别用户感兴趣的课题和浏览习惯等信息并制定推荐内容,无须额外征求用户同意。
林伟隆也说,有业者为了完善人工智能系统,可能想要收集大量资料,而这是违反规定的。根据PDPA,机构只能收集特定用途所需的相关资料。
科研用途则指用人工智能开发有助公共利益的商业研究项目,比如精准医学领域。
比如,银行业者在审核信用卡申请时,若用人工智能评估客户的信贷评分,应事先通知客户。
此外,业者用个人资料开发人工智能,若是用于监测和防范违法活动,也无须向用户征求同意。
个人资料保护委员会(Personal Data Protection Commission,简称PDPC)发布了在人工智能推荐和决策系统中使用个人资料的指导原则,列出业者在开发人工智能系统时应采取的措施,以保护客户的个人资料。
延伸阅读
但利用人工智能改善业务或进行科研的业者,无须在使用客户个人资料前额外征求同意,前提是业者事先已遵循PDPA的规定收集过客户资料。
通讯及新闻部长兼内政部第二部长杨莉明星期五(3月1日)在国会拨款委员会辩论通讯及新闻部开支预算时说,人工智能的发展带来机遇,但也须预防系统遭滥用或攻击。
个人资料保护委员会对人工智能推出指导原则,业者若要使用客户的个人资料来开发人工智能系统,应先明确征求客户同意。
根据个人资料保护法令(PDPA),所有业者在收集和使用客户个人资料时都须征求同意。委员会在法令的基础上提出非强制性的指导原则,建议业者在使用人工智能系统获取建议及进行决策时,先清楚地向客户解释所收集个人资料的范围和用途,再征求同意。