欧洲数据保护委员会建议各国监管机构允许将个人数据用于人工智能培训,只要最终产品不泄露个人信息。
欧洲数据保护委员会 (EDPB) 周三发布了一份内容广泛的报告,探讨了现代人工智能模型开发的诸多复杂性和复杂性。它表示,只要最终的应用程序不泄露任何私人信息,它就可以在未经所有者同意的情况下允许个人数据来训练模型。
这反映了这样一个现实:训练数据不一定转化为最终交付给最终用户的信息。
该报告是应爱尔兰数据保护局 (DPA) 的要求,旨在寻求欧洲范围内的监管协调。EDPB 在声明中表示。一个
该组织现已承认个人数据存在细微差别。例如,EDPB 报告称,如果个人数据已公开,并且“个人实际上知道他们的个人数据在网上”,那么情况可能会有所不同。
可以说,该报告最重要的部分承认,有时即使没有明确同意,个人数据仍然可以用于培训并符合欧盟 (EU) 的规定GDPR 规则,前提是最终产品给出的答案不会出现特别敏感的情况。
该报告的监管措辞称:“如果能够证明人工智能模型的后续运行不需要处理个人数据,则 EDPB 认为 GDPR 不适用。
– 因此,初始处理的非法性不应影响模型的后续运行。此外,EDPB 认为,当控制者随后在模型匿名化后处理部署阶段收集的个人数据时,GDPR 将适用于这些处理操作。在这些情况下,《意见》认为,就 GDPR 而言,部署阶段进行的处理的合法性不应受到初始处理的非法性的影响。
要问的问题
这完整报告该指南针对的是数据保护监管机构 (SA),但该指南同样适用于寻求 SA 批准其数据处理活动的企业。它向他们提出了各种问题,以确定生成人工智能 (genAI) 的合规性。其中包括:
- – 在人工智能模型的处理操作的哪个阶段不再处理个人数据?
- “如何证明人工智能模型不处理个人数据?”
- – 是否有任何因素会导致最终人工智能模型的运行不再被视为匿名?如果是这样,如何论证采取措施来减轻、预防或防范这些因素,以确保人工智能模型不处理个人数据?
报告称,匿名化(从最终用户中删除或隐藏敏感信息的任何过程)也是复杂而棘手的。
– AI 模型的匿名性声明应由主管机构根据具体情况进行评估,因为 EDPB 认为使用个人数据训练的 AI 模型在所有情况下都不能被视为匿名,— 报告指出。
– 对于被视为匿名的人工智能模型,既包括直接(包括概率)提取有关个人数据用于开发模型的个人数据的可能性,也包括有意或无意地获取个人数据的可能性。考虑到控制者或其他人合理可能使用的所有手段,来自查询的此类个人数据应该是微不足道的。
然后,它探讨了个人信息被用来训练 genAI 模型的个人头脑中的内容的问题。
CIO 的注意事项
它表示,SA 必须在平衡测试中考虑“数据主体的作用”的合理期望。由于人工智能模型中使用的技术的复杂性以及数据主体可能很难理解其潜在用途的多样性以及所涉及的不同处理活动,这一点可能很重要。在这方面,提供给数据主体的信息和处理的背景都可能是评估数据主体是否可以合理预期其个人数据将被处理的因素之一。
报告称,对于希望在数据使用方面保持 SA 裁决正确的 CIO 来说,需要考虑的因素是:
- 个人数据是否公开。
- 数据主体和控制者之间关系的性质,以及两者之间是否存在联系。
- 服务的性质。
- 收集个人数据的背景。
- 收集数据的来源(例如,收集个人数据的网站或服务及其提供的隐私设置)。
- 该模型的潜在进一步用途,以及数据主体是否真正意识到他们的个人数据是在线的。
该报告还探讨了用于 genAI 的数据是否可以被定义为“合法利益”。
它问道,是否有一种同样侵入性较小的方式来追求这种兴趣?在评估是否满足必要性条件时,SA 应特别注意处理的个人数据量以及是否与追求所涉合法利益相称,并考虑数据最小化原则。
别再找借口了
多位欧洲商界人士在社交媒体论坛(包括 LinkedIn)上对该报告做出了反应。
布鲁塞尔 Keller and Heckman 律师事务所合伙人彼得·克拉多克 (Peter Craddock) 表示,该报告并未探讨数据为何具有个人性,只是简单地假设所有数据确实都是个人数据,除非另有证明。
– EDPB 似乎没有在任何地方考虑某些数据是否实际上是人工智能模型提供商的个人数据。它总是假设它是,并且只考虑匿名化是否已经发生并且是否足够,”克拉多克写道。– 如果不充分,SA 将可以认为控制者未能履行 GDPR 第 5(2) 条规定的责任义务。 –
英国人工智能供应商 Aiphoria 的首席信息官帕特里克·兰金 (Patrick Rankine) 在 LinkedIn 上发表了一条主要支持标准组织工作的评论,他表示 IT 领导者应该停止抱怨,并升级他们的人工智能游戏。
“对于人工智能开发者来说,这意味着匿名的说法应该有证据证实,包括实施技术和组织措施来防止重新识别,”他写道,并指出他 100% 同意这种观点。– 这并不难,科技公司需要停止如此懒惰和寻找借口。他们想做伟大的事情来构建技术,但又懒得以尊重或负责任的方式处理他们伟大技术所需的数据。”
他对其他评论表示嘲笑,这些评论暗示这些建议的规则将鼓励高科技公司离开欧洲。
“你不可能是认真的,”兰金说。– 保护个人数据并拥有一套完整的有用数据进行训练是完全可能的。这需要一些努力和考虑。我认为无论如何,合法利益条款都需要彻底修改。它在各地变得普遍,并且肯定被用于非法手段。我见过整个网站收集个人数据,然后声称其运营是基于合法利益。”
订阅我们的时事通讯
从我们的编辑直接发送到您的收件箱
请在下面输入您的电子邮件地址开始使用。