大家都想讓AI進入教室，但隱私安全措施到位了嗎？

幾乎所有人都樂見AI能融入教育，而在美國，更已經有許多公司準備進軍此一市場，但是政府和學校真的準備好了嗎？在ChatGPT引發熱潮之後，網路上許多討論都聚焦在防弊的問題上，不只在臺灣如此，在許多其他國家亦然。不過，隨著AI的發展，越來越多人意識到學生作弊並非AI唯一的問題所在，隱私保護也是AI進入校園所需面對的一大難題。

撰文｜謝達文

一直以來，各種數位工具的使用者都常需要將個資交付給開發者甚至第三方，這件事情並非新聞。但是，當AI進入校園，政策制定者就格外需要謹慎面對此一問題：中小學的學生是未成年人，本就需要更強大的保護，但AI工具不只能力比先前的數位工具更強大，而且本質上就是利用各種資料訓練，讓AI輸出的成品更符合需求，因此必然需要蒐集各種資料，但訓練資料與輸出成品之間的關係又經常是黑盒子，連開發者都無法說明，使得學生、家長和老師不太可能知道自己在「同意」AI使用隱私資訊的時候，具體而言究竟同意了什麼。

可能蒐集的資訊太多，聯合國兒童基金會主張應該「極小化」

具體來說，當學校要求或鼓勵學生使用AI工具輔助學習的時候，又或者當教師利用AI分析學生學習狀況、設計課程教案的時候，AI工具可能會蒐集的資料相當多元，包含：學生個人的背景資訊（如：年齡、性別、族裔、家庭狀況）、各種互動資訊（如：如何回答教學問題、有什麼樣的表現趨勢和表達習慣）、感測資料（如：所在的位置、環境的溫度和濕度）以及線上行為（如：是否同時使用其他應用程式、在哪些時段上網、同時使用搜尋引擎搜尋怎樣的詞彙）等等 (UNICEF, 2021)。這些資訊不只可能用於AI教學工具本身，開發商也可能挪作他用，比如另外承接廣告業務後用於廣告投放，又比如直接轉賣第三方供產品開發之用。

此外，除了學生、老師提供的資料本身以外，AI工具針對學生狀況而產出的結果，也可能涉及隱私保護的問題。比如，假使AI工具「學到」某位學生在學習上有特定的弱點，或是用某種引導方式下的反應較佳，這些資訊在教學上固然都相當寶貴，但既然反映了學生學習的軌跡和狀況，表示也同時涉及學生的隱私──誰希望自己9歲時寫的作文有哪裡出錯、數學哪裡學不會，到了16歲的時候還會被高中老師、工具開發商，甚至其他付費的第三方知道呢？而如果資料有錯或已經過時，又該怎麼辦呢？更何況，工具的一些產出甚至有可以讓人推知學生的性格、喜好、挫折等等，並連結到家庭背景或其他個資，更是相當敏感。

總之，這些資訊相當多樣，學生、老師和家長可能未必知道自己到底交出了怎樣的資訊，又會被怎麼利用。關於此一問題，聯合國兒童基金會 (UNICEF) 早在2021年就已經建議資料蒐集應該符合「比例性」和「最小化」的原則，且主張蒐集資訊多寡應與工具希望達成的教學目標成比例，能不蒐集的資訊就自始不要蒐集，而且能刪除的資料就應該要儘快刪除。

尤其，UNICEF認為當服務對象是學生的時候，「隱形」資料採集也更該公開透明，而且還該越少越好。這不只包含各種網路訪客跟蹤（web tracking，辨認出個別使用者，並記錄他們在使用工具的同時做了什麼），也涵蓋各式各樣的資料探勘（data harvesting，同時去蒐集使用者在其他地方的資訊，比如社群媒體上的個人資訊與公開貼文）。

最後，UNICEF也建議各方應該強化學童的知情同意，除了教師和家長把關之外，隨著孩子越長越大、越來越能瞭解隱私與個人資料的意義，開發商也該給孩子更多資訊，讓孩子更瞭解自己有哪些資訊被蒐集，又可能會如何使用，再來重新取得他們的同意。

面對隱私的挑戰，政府與開發商都仍在摸索

不過，這些規範在執行上面臨很大的挑戰──AI科技實在太新，很多時候政府都還不知道該怎麼做。而在另一端，開發商雖然相對瞭解AI工具的技術面，卻未必瞭解隱私保護的概念，特別是對未成年人保護可能缺乏認識。(Wilkes, 2023)

以美國為例，在開發商端，許多科技新創團隊第一次跨足教育領域，根本不瞭解應該怎麼處理相關問題。而在政府端，聯邦層級的教育部在2023年5月發布一份建議報告，確實有關注隱私議題，但並未提出太多明確的檢核與執行方式。在州政府的層級上，美國50州中至今也只有加州和奧瑞岡2個州有提出州層級的AI入校指引，其他尚有11州仍在研擬當中 (Dusseault and Lee, 2023)。而且，關於隱私問題，這些指引主要也只有重申應該確保AI工具設計符合兒少隱私保護的三大聯邦法規──保護學生教育紀錄私密性的《家庭教育權利與隱私法》(Family Educational Rights and Privacy Act, FERPA)、防範兒童隱私散布的《兒童網路保護法》(Children's Internet Protection Act, CIPA) 以及規範隱私條款與家長同意權的《兒童線上隱私權保護法》(Children's Online Privacy Protection Act, COPPA)。

面對總體規範的不足，目前幾個比較可能見效的政策，包含聯邦交易委員會（Federal Trade Commission，接近臺灣的公平交易委員會）不但開始主動展開調查，瞭解開發商是否將學生個資用於廣告投放，而未依法事先取得家長同意。除此之外，聯邦交易委員會也提議要讓「13歲以下兒童資料絕對禁止挪作商業用途」入法。而在美國亞利桑納州，政府單位更已主動擔起審核的責任，向學校公布「通過隱私保護審查」的教育用AI開發商清單，受到一些專家的讚賞。

回到臺灣，此一問題目前較少受到公眾討論，而且臺灣現行的《個人資料保護法》中缺乏對於兒少、特別是針對學校的規範，很可能構成AI入校的一大隱憂。此外，相關問題的主管機關也不明確──教育問題當然歸屬教育部，但《個人資料保護法》的主管機關是國發會，《兒童及少年福利與權益保障法》主管機關則為衛福部，中央又為了因應數位科技的變遷而成立了數位發展部（方華香，2022）。相關政策的推行不僅有賴法律規範的加強，更將仰賴這些機關彼此之間的溝通與協調。

參考文獻

1. UNICEF, 2021, “Policy guidance on AI for children.”
2. MacKenzie Wilkes, 2023, “Artificial intelligence stirs privacy challenges for schools.”, Politico.
3. Wilkes Dusseault and Justin Lee, 2023, “AI is already disrupting education, but only 13 states are offering guidance for schools.”, Center on Reinventing Public Education.
4. 方華香，2022，〈論我國兒童數位個資之隱私保護〉，立法院全球資訊網。