近日,欧洲数据保护委员会(EDPB)发布了关于人工智能模型开发与部署过程中个人数据合法使用的意见,旨在为欧盟《通用数据保护条例》(GDPR)如何适用于人工智能训练,尤其是针对大规模语言模型使用个人数据的问题提供明确指导。
随着人工智能技术的不断进步,大量数据的收集和处理已成为模型训练与优化的基础。这些数据通常来自公开来源或用户提供的第一方数据。然而,在许多情况下,用户未被告知其数据的使用情况,也未提供选择退出的权利。
自OpenAI推出ChatGPT以来,人工智能模型训练过程中涉及的个人数据安全问题已成为法律争议的焦点之一。对此,EDPB 特别关注了几个关键问题,包括人工智能模型的数据匿名化处理、合法利益作为数据处理依据的适用性,以及在数据处理违反GDPR情况下,人工智能模型训练的合法性。
EDPB主席Anu Talus表示,尽管人工智能技术为各行各业带来了巨大的机遇和利益,但必须确保这一技术的发展在伦理和安全框架内进行,并以对社会全体成员有利的方式推进。她进一步强调,EDPB将通过保障个人数据隐私,并确保严格遵守GDPR,以推动负责任的人工智能创新。
在AI数据保护意见发布后,爱尔兰数据保护委员会(DPC)迅速做出回应,表示该意见为各行业提供了清晰的合规指导。DPC专员Dale Sunderland指出,该意见有助于在欧盟及欧洲经济区(EEA)范围内实施前瞻性、有效且一致的监管,为DPC在人工智能公司推出新模型前进行充分审查提供支持,并协助处理与人工智能相关的各类投诉。
意见要点:匿名化、合法利益与非法处理
EDPB建议,数据保护机关(DPA)在评估数据匿名性时,应根据具体情况进行详细审查。监管机构应关注与数据训练过程相关的风险评估文件,检查潜在的安全漏洞,并验证是否采取了有效的隐私保护技术。
EDPB进一步指出,要将人工智能模型视为“匿名”,必须确保该模型无法直接或间接识别出构建该模型时使用的个人数据所关联的个体。此外,模型不得通过查询提取这些个人数据。AI开发者可以以合法利益为基础进行模型训练,但必须符合相应的法律要求。
在此基础上,EDPB明确表示,监管机构应通过“三步测试”来评估开发者是否可以合法主张合法利益。这三步测试包括:首先确认数据控制者或第三方是否具有合法利益;其次评估数据处理是否是必要的;最后判断数据主体的基本权利和自由是否被合法利益所合理超越。
EDPB强调,如何平衡个人数据的处理与数据主体的基本权利是合规评估的关键。鉴于人工智能技术的复杂性,数据主体往往难以全面理解其个人数据的多重用途及相关处理活动。因此,提供给数据主体的信息以及数据处理的背景,将直接影响其对数据处理的合理预期,并应纳入评估考量。
如果人工智能模型的开发过程涉及非法处理个人数据,EDPB警告,这可能影响模型的合法性,除非该模型已经过充分的匿名化处理。鉴于人工智能技术的快速发展和多样性,EDPB强调,模型的合法性应根据具体情况进行个案分析。
各方反应
Hogan Lovells律师事务所合伙人、AIGP及CIPP/E认证专家Eduardo Ustaran认为,EDPB发布的这一意见是GDPR框架下最为关键的文件之一,尤其考虑到数据在人工智能开发中的核心作用,该意见从务实角度出发,在实现创新与合法性的平衡,确保在保护隐私的前提下,人工智能技术能够继续蓬勃发展。同时,正确理解“合法利益”这一概念及其实施细则,将在未来的实践中扮演至关重要的角色。
计算机与通讯行业协会(CCIA)欧洲分部高级政策经理Claudia Canelles Quaroni表示,EDPB明确认定“合法利益”作为人工智能模型开发与部署过程中处理个人数据的合法依据,这是迈向法律明确性的关键一步。这意味着,人工智能模型在训练过程中可以合法使用个人数据。事实上,获得高质量的数据对于确保AI输出的准确性、减少偏见,并更好地反映欧洲社会的多样性至关重要。
然而,Quaroni也指出,为了在欧盟隐私保护原则与技术进步之间实现有效平衡,仍需进一步明确法律框架和实践指导。只有在此基础上,欧洲才能确保在人工智能领域的全球竞争力,释放由AI和数据驱动的创新潜力。否则,欧洲的企业与消费者将可能错失AI和数据技术带来的重要机遇。
参考来源 | Iapp 、互联网公开信息
本文转自:赛博研究院,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
