「擴增實境」技術軍事應用應注意合規性
2022.07.01
瀏覽數
2558
壹、新聞重點
微軟公司(Microsoft Inc.)為美國國防部打造的「擴增實境」(Augmented Reality, AR)「頭戴設備」(Hololens),於2022年5月23日到6月17日在五角大廈(Pentagon)展開為期一個月的測試評估,用以確認該設備是否準備好進入量產階段,以及進行軍事初步部署的合適性。[1] 近年美國國防部在發展創新科技與技術上,投資許多預算與努力,有報導甚至認為美國國防部正在打造自己的「元宇宙」(Metaverse),[2] 而微軟的「擴增實境」計畫乃是其中重要的一環。自2021年4月成功取得與美國國防部的長期軍事合約以來,微軟便積極投入研發與生產。[3] 而此次測試將決定該公司所投入的13億資金是否能有所回報,若此計畫成功,「擴增實境」技術運用將正式進入下一個階段。
貳、安全意涵
一、「擴增實境」打造更有效率且低成本的作戰演訓環境
近年「擴增實境」與其他數位化實境技術(digital reality technologies)以及其組合(例如「虛擬實境」,“Virtual Reality”, VR,「混合實境」,“Mixed Reality”, MR),或是「元宇宙」,在遊戲、醫療、商業以及軍事運用上都有不少發展與前瞻運用。在國防與軍事上,目前主要是使用擴增與混合實境來做戰場模擬訓練以及高司兵棋推演(Military Simulation,或Command Post Exercise, CPX)之用。例如「整合式視覺擴增系統」(Integrated Visual Augmentation System, IVAS, 或Heads Up Display, HUD 3.0技術),將關鍵技術系統整合到單一設備中,目的在快速發展、測試、演習訓練以及作戰的單一平台。[4] 微軟目前所開發的HoloLens即是使用此技術,開發頭戴設備給士兵,打造「合成訓練環境」(synthetic training environment, STE),以提供對抗現在與未來的對手時,能具備「戰場覺知」(situational awareness)、「接戰」(target engagement)以及「決策能力」。[5]
「擴增實境」或混合實境在軍事上的運用,最大優點在於STE能提供低成本卻幾乎逼真的訓練環境。並且,因為「擴增實境」具有無線網路之設計,可以在小隊成員間立即共享資訊,或在戰情發生變化時能立即輸入新數據與情境,除了能節省訓練成本,還可以提高士兵們的「認知表現」(cognitive functionality),加速應變的反應。
二、發展「擴增實境」新技術可能帶來的潛在挑戰
不過,由於「擴增實境」仍屬研發與測試中的技術,雖然預測在順利研發完成後有相當優勢,但目前仍需要投入巨額資金以及不斷測試與研發,其實際成效與實用性難免遭到質疑與批評,雖有極高的潛力,但是在過程中仍有不少阻礙與挑戰。另外,由於科技發展常常領先現有法律與規範,加上「擴增實境」使用了部分的新技術,目前在國內外都不一定有適合的法律或規則可以處理,而在開發新商品與技術時的合規性(compliance)與成本,亦是軍事合約中需考量的重點項目。
「擴增實境」運用在軍事模擬訓練或實際戰鬥(combat)上的另一挑戰在於任何透過網路連接的技術都需要考慮網路與資訊安全問題。在網路與虛擬上所使用的範圍越多,就越容易受到駭客與不法份子的攻擊與危害。而擴增或混合實境在軍事適用上更需要注意此類安全性風險。若是透過「擴增實境」設備所取得的資料,無論是屬於何種特別種類個人資料(敏感性資料,sensitive data)[6] 都可能會對使用者造成嚴重的損害,且若是在進行模擬訓練等涉及軍事機密等環境使用時被駭客入侵,更可能有難以回復的後果,故在網路安全性部分需有更多防護措施。
參、趨勢研判
一、「擴增實境」產品合規性與隱私保護議題將越趨重要
現代各種資訊產品以及數位化環境可能都會面臨到隱私權與個人資料保護的合規性問題,特別是在新型態科技與使用者的互動方式(user interactions)、大數據運算(big data analytics)的需求下需要大量的資料蒐集(collecting),除了須防範資料外洩或駭客入侵等安全性議題,這些亦可能會侵害個人隱私權。因而,在研發「擴增實境」產品時,無論是作為商用或軍事運用,相關之法規限制與合規議題將獲得更多重視。[7] 例如,這些技術為了精準性,可能會需要蒐集許多使用者的個人資料,這些資料並非不能蒐集,但是須注意蒐集的方式、取得當事人同意以及確保保存的地點與安全性等,才能符合相關規範。
「擴增實境」技術特別強調其透過新技術與使用者互動,例如在戴上Hololens時能透過捕捉與記錄人類的眼球運動(eye movements),[8] 以取得使用者對新體驗的反應以及所產生的數據資料。由於這些資料需要立刻與系統連結,並且用於系統的分析與改進,因此這些被蒐集到的資料都需要有效與安全的處理與控制,以保護使用者的隱私。此外,由於所蒐集的資料可能涉及高敏感性個人資料,故應該受到更為嚴格的管理與檢視。[9] 在新技術研發時,如何平衡成本與可能涉及的隱私權與個人資料保護議題,在使用這類新技術時也是主要考量之一。
目前各種應用程式(applications)或技術平台(platforms)蒐集處理諸多個人資料已成常態,包括姓名、年齡、性別以及電話或電子郵件等基本資料都是常見的被蒐集資料種類。而「擴增實境」需要蒐集的資料可能更多,例如士兵的健康資料或生物統計資料,並依照用途以及所需範圍有所不同,例如GPS定位系統會即時跟蹤(track)個人位置,可能需要捕捉個人與環境外觀以及做大量的自動化個人決策處理,包括「人物剖析」(profiling),[10] 以判別個人偏好(preference),以及與其他使用者互動的頻率與行為。為了強化「擴增實境」的功能與使用者體驗,不僅需要捕捉,更需要大量處理(processing)分析個人資料。[11] 這部分組織在開發與使用「擴增實境」技術時,就必須考量到相關的步驟與防護,以確保符合相關的個人資料保護的法律規範。
以我國《個人資料保護法》而言,若是蒐集、處理以及利用「一般個人資料」,例如姓名、地址、身分證字號以及其他結合後得以直接或間接方式識別該個人之資料者(第二條),須符合特定目的與必要範圍,然而若是涉及「特種個資」,包括醫療、基因、性生活(含性取向)、健康檢查、犯罪前科等(第六條),原則上不得作蒐集、處理或利用;而若需要做蒐集、處理或利用,有更為嚴格的條件與程序,例如一定要當事人書面同意。此外,我國個資法目前尚未將GPS或網址等明文列為個人資料,但若是結合其他資料可能還是符合個資法「得以識別該個人」之規定而受到個資法保護。至於「人物剖析」,在我國的個資法並沒有禁止的規定,故在我國的現行法令下,若所蒐集到的資料處理後能「去識別化」(de-identification)的規範,藉此降低風險,個人資料能被運用的範圍與項目將更為廣泛。
不過,就滿足新技術發展所帶來的法規上挑戰,以我國現行法規對個人資料與隱私權保護來看,至少與歐盟的《一般資料保護規則》(General Data Protection Regulation, GDPR)以及目前歐洲各國資訊與科技法規相比,是相當不足的。GDPR立法過程中即是考慮到現代社會中的科技發展與新技術,特別是為了對抗大型科技與社群媒體公司,包括Google、Facebook、Amazon等大量蒐集用戶資料作為大數據分析以及商業使用的行為而制定。而「擴增實境」這類運用使用了更為新穎的技術,例如前述藉以捕捉眼球運動來做使用,這部份即使是GDPR也未有能直接適用的規則,未來可能有待修法或透過司法解釋的方式處理。
二、智慧財產權保護議題成為焦點
另一個「擴增實境」產業發展過程中預料將獲得重視的焦點是智慧財產權。「智慧財產權」(Intellectual Property Rights)包括「著作權」(copyright)、「專利」(patent)、「商標」(trademark)以及「營業秘密」(trade secrets)等,在我國與國際上都受到相當程度法規上的保護;若引發相關訴訟,金額也都是相當龐大。在戰略佈局上,智慧財產權往往是組織的重要考量因素。智慧財產權保護了企業開發的投資與思想,並構成了他們未來財務成功的基礎。不過在一般情況下,技術專家未必能確定這些權利是否或應如何適用於新技術,但法院一直在尋找不同模式來調整與適用現有的智慧財產權框架,以適應新的技術發展。需要考慮的問題包括:誰擁有實現這些環境的基礎軟體與平台,品牌是否可以在未經品牌所有者許可的情況下在虛擬空間中出現,以及專門在提高使用者體驗的特定類型硬體的開發上,是否可能侵犯另一家公司的權利等。在專利部分,也可能變得愈來愈有爭議,因為主要參與者和新創公司都在尋求建立自己的專利組合,以保護自己的創新領域不受競爭對手的影響。
三、研發與運用「擴增實境」產品納入對相關法規與成本的考量
「擴增實境」在軍事用途方面,我國當然可以自行研發與生產或購買相關專利,但在研發設計階段時即須考慮屆時實際使用的合規性與相關風險,特別是隱私權的保護。目前全球趨勢,特別是歐盟,對「擴增實境」產品製造商要求必須採取「隱私設計」(privacy by design),[12] 才能符合歐盟GDPR相關法規。當年谷歌(Google)所開發的Google Glass,失敗的原因之一即是因為未重視隱私權議題與資料保護法之合規性,[13] 而錯失了重大商機與發展機會。
此外,我國若自行研發與生產的成本亦可能過大而不符合國軍預算法規或需求,我國「擴增實境」相關廠商即使有意願或潛能,在確認能取得開發資金與合約前,可能難以投資人力與資源去開發相關技術。另外受限於我國國防產業的運作模式,在研發與運用新技術總是相對保守,故在此方面可能還是要依賴與較為成熟的其他國家相關合作或取得部分專利,才能進行後續研發與生產工作。
[1]“Microsoft has $1.3 Billion at Stake for Combat Goggles,” Japantimes, May 10, 2022, https://reurl.cc/XjKGoR.
[2]“The US Military Is Building Its Own Metaverse,” WIRED, May 17, 2022, https://reurl.cc/d24nRV.
[3]“Microsoft Wins $21.8 Billion Contract to Build HoloLens-based AR Helmets for US Army,” Techspot, April 1, 2021, https://reurl.cc/anKq23.
[4]“IVAS Goggle Amplifies Mounted Capabilities,” U.S. Army, February 19, 2021, https://reurl.cc/6ZnvrZ.
[5]“Microsoft Wins $22 Billion Army Contract For Augmented Reality Headsets,” Forbes, March 21, 2021, https://reurl.cc/QLKRzO; “Army Accelerating Synthetic Training Environment Programs,” National Defense, November 21, 2018, https://reurl.cc/YvKEyl.
[6]依據《一般資料保護規則》(General Data Protection Regulation, GDPR)定義,「敏感性資料」(sensitive data)包括種族、個人政治取向、健康資料、生物統計資料、基因資料等等。
[7]我國《個人資料保護法》對公務機關與非公務機關有不同法規上的要求與限制。
[8]“Augmented Reality + Virtual Reality: Privacy & Autonomy Considerations for Emerging, Immersive Digital Worlds,” Future of Privacy Forum, April 2021, https://reurl.cc/9GmvMY, p. 16.
[9]Preamble (10) and (51) of the GDPR.
[10]Art. 22 GDPR, “Automated individual decision-making, including profiling”.
[11] GDPR 所定義的「處理」行為包含我國《個資法》所稱「蒐集、處 理、利用」行為。
[12]Augmented Reality (AR): Regulatory Trends, Mining Technology, December 21, 2021, https://www.mining-technology.com/comment/augmented-reality-ar-regulatory-trends/.
[13]“Google Glass Must be Built with Privacy in Mind, warns ICO,” ITPro, June 20, 2013, https://www.itpro.co.uk/it-regulation/20051/google-glass-must-be-built-privacy-mind-warns-ico; “Has Big Tech Learned Its Smart Glasses Lesson since Google Glass?” emarketer, September 17, 2021, https://www.emarketer.com/content/has-big-tech-learned-its-smart-glasses-lesson-since-google-glass.