欧盟就人工智能开发者如何遵守隐私法提供指导

欧洲数据保护委员会发布了观点解决人工智能模型中的数据保护问题。它涵盖评估人工智能匿名性、处理数据的法律依据,以及对在欧盟运营的科技公司的数据主体影响的缓解措施。

该报告是应爱尔兰数据保护委员会(爱尔兰数据保护委员会下属的主要监管机构)的要求而发布的。对于许多跨国公司来说。

指导意见的要点是什么?

DPC 寻求有关以下方面的更多信息:

  1. 人工智能模型何时以及如何被视为“匿名”——这些模型不太可能识别在其创建过程中使用了数据的个人,因此不受隐私法的约束。
  2. 当公司可以声称他们在处理人工智能模型的个人数据时拥有“合法利益”,因此不需要征求他们的同意。
  3. 人工智能模型开发阶段非法处理个人数据的后果。

EDP​​B 主席 Anu Talus 在一份声明中表示新闻稿:“人工智能技术可能会给不同行业和生活领域带来许多机会和好处。我们需要确保这些创新以符合道德、安全且惠及每个人的方式进行。

“EDPB 希望通过确保个人数据受到保护并充分遵守《通用数据保护条例》来支持负责任的人工智能创新。”

当人工智能模型可以被视为“匿名”时

如果用于训练的个人数据直接或间接(如通过提示)追溯到任何个人的机会被认为“微不足道”,则可以认为人工智能模型是匿名的。监管机构根据“具体情况”对匿名性进行评估,并且需要“对身份识别的可能性进行彻底评估”。

然而,该意见确实提供了模型开发人员可以展示匿名性的一系列方法,包括:

  • 在来源选择过程中采取措施避免或限制个人数据的收集,例如排除不相关或不适当的来源。
  • 实施强有力的技术措施,防止重新识别。
  • 确保数据充分匿名。
  • 应用数据最小化技术来避免不必要的个人数据。
  • 通过测试和审计定期评估重新识别的风险。

Pinsent Masons 的数据保护律师 Kathryn Wynn 表示,这些要求将使人工智能公司很难要求匿名。

她在一份报告中表示:“根据具体情况,数据被用来训练人工智能模型的人的隐私受到的潜在损害可能相对较小,并且可以通过安全和假名化措施进一步减少。”公司文章

“然而,EDPB 解释法律的方式将要求组织履行繁琐的、在某些情况下不切实际的合规义务,特别是围绕目的限制和透明度。”

当人工智能公司可以在未经个人同意的情况下处理个人数据时

EDP​​B 的意见概述了,如果人工智能公司能够证明其利益(例如改进模型或服务)高于个人的权利和自由,则可以在“合法利益”的基础上未经同意处理个人数据。

这对于科技公司来说尤其重要,因为寻求对用于训练模型的大量数据的同意既不简单也不经济上可行。但要获得资格,公司需要通过以下三项测试:

  1. 合法性测试:必须确定处理个人数据的合法、正当理由。
  2. 必要性测试:数据处理必须是出于目的所必需的。没有其他替代的、侵入性较小的方式来实现公司的目标,并且处理的数据量必须成比例。
  3. 平衡测试:数据处理的合法利益必须超过对个人权利和自由的影响。这考虑到个人是否合理地期望他们的数据以这种方式处理,例如他们是否公开提供数据或与公司有关系。

即使公司未能通过平衡测试,如果他们采取缓解措施来限制处理的影响,可能仍然不需要获得数据主体的同意。这些措施包括:

  • 技术保障:应用降低安全风险的保护措施,例如加密。
  • 化名:替换或删除可识别信息以防止数据链接到个人。
  • 数据屏蔽:当实际内容并不重要时,用虚假数据替换真实的个人数据。
  • 数据主体行使其权利的机制:使个人能够轻松行使其数据权利,例如选择退出、请求删除或提出数据更正索赔。
  • 透明度:通过媒体活动和透明度标签公开披露数据处理实践。
  • 网页抓取的具体措施:实施限制以防止未经授权的个人数据抓取,例如向数据主体提供选择退出列表或排除敏感数据。

Pinsent Masons 的技术律师马尔科姆·道登 (Malcolm Dowden) 在公司文章中表示,“合法权益”的定义最近一直存在争议,特别是在。

“人工智能的支持者认为,人工智能背景下的数据处理可以推动创新,并带来固有的社会利益和利益,构成数据保护法目的的‘合法利益’,”他说。 “反对者认为,这种观点没有考虑到与人工智能相关的风险,例如隐私、歧视或‘深度假货’或虚假信息的潜在传播。”

慈善机构 Privacy International 的倡导者担心,像 OpenAI 的 GPT 系列这样的人工智能模型可能不会在这三项测试中得到适当的审查,因为它们缺乏处理个人数据的具体原因

人工智能开发中非法处理个人数据的后果

如果模型是通过违反 GDPR 的方式处理数据而开发的,这将影响模型的运行方式。有关当局评估“每个个案的具体情况”,但提供了可能考虑的示例:

  1. 如果同一家公司保留和处理个人数据,则必须根据具体情况评估开发和部署阶段的合法性。
  2. 如果另一家公司在部署期间处理个人数据,EDPB 将考虑该公司是否事先对该模型的合法性进行了适当的评估。
  3. 如果数据在非法处理后被匿名化,则后续的非个人数据处理不需遵守 GDPR。然而,任何后续的个人数据处理仍将受到该规定的约束。

为什么人工智能企业应该关注指导意见

EDP​​B 的指导对于科技公司至关重要。尽管它不具有法律权力,但它影响着欧盟隐私法的执行方式。

事实上,如果公司违反 GDPR,最高可被处以 2000 万欧元或其年营业额 4% 的罚款(以较高者为准)。他们甚至可能需要改变人工智能模型的运行方式或完全删除它们。

看:

由于训练模型需要大量个人数据(通常来自公共数据库),人工智能公司很难遵守 GDPR。这给确保合法数据处理和解决数据主体访问请求、更正或删除带来了挑战。

这些挑战体现在许多法律诉讼和罚款中。例如:

此外,9 月,荷兰数据保护局Clearview AI 被罚款 3050 万欧元未经用户同意从互联网非法收集面部图像,违反了 GDPR。同月,爱尔兰 DPC 在成功说服埃隆·马斯克 (Elon Musk) 的 X 后立即要求起草该意见。停止使用欧洲用户的公开帖子来训练其人工智能聊天机器人 Grok,未经他们同意。