Орган по защите конфиденциальности Европейского Союза высказался по возникающим вопросам о законности GenAI. Комитет исследовал лазейки, которые разработчики ИИ могут использовать для обработки персональных данных без нарушения действующего законодательства.
Европейский комитет по защите данных поднял вопросы о законных основаниях для обработки персональных данных пользователей разработчиками ИИ. В мнении, опубликованном 17 декабря, комитет рассмотрел различные вопросы общего применения в соответствии со статьей 64(2) GDPR.
Совет по защите конфиденциальности Европейского Союза рассматривает вопросы защиты данных и развертывания ИИ
Европейский комитет по защите данных (EDPB) выпустил мнение по запросу ирландского надзорного органа. Комитет отметил, что у него есть законный мандат в соответствии с Общими правилами защиты данных (GDPR) издавать мнение по вопросам, затрагивающим более одного государства-члена Европейского Союза.
Агентство указало на запросы, представленные ирландским органом, касающиеся обработки персональных данных во время разработки и развертывания ИИ (ИИ). Оно уточнило мнение по четырем вопросам, связанным с защитой данных в Европейском Союзе.
Вопросы включали, когда и как модель ИИ может считаться анонимной и как контролеры могут иллюстрировать необходимость законного интереса в развертывании. Комитет также изучил последствия незаконной обработки данных на этапе разработки модели ИИ для последующей работы модели ИИ.
Что касается вопроса о том, когда и как можно определить анонимность модели ИИ, орган заявил, что компетентный местный орган должен принимать такое решение в каждом конкретном случае. Комитет выразил мнение, что не все модели ИИ, обученные с использованием персональных данных, являются анонимными.
Орган рекомендовал национальным надзорным органам оценивать соответствующую документацию, предоставляемую контролером, для определения анонимности модели. Он добавил, что контролеры также должны предпринимать соответствующие шаги для ограничения сбора персональных данных во время обучения и смягчения потенциальных атак.
Что касается вопроса о законном интересе как подходящем юридическом основании для обработки персональных данных во время развертывания моделей ИИ, комитет оставил решение о подходящем юридическом основании для обработки таких данных на усмотрение контролеров.
EDPB подчеркнул трехступенчатый тест для определения законного интереса со стороны надзорных органов. Шаги включали в себя определение фактического законного интереса и анализ его необходимости. Контролеры также должны оценить, балансирует ли законный интерес с правами и свободами субъектов данных.
При оценке последствий орган передал дискрецию надзорным органам в соответствующих государствах. Он добавил, что надзорные органы должны выбирать соответствующие последствия в зависимости от фактов каждой ситуации.
Комментарии Комиссии по защите данных Ирландии к мнению EDPB о регулировании моделей ИИ
Комиссия по защите данных Ирландии ответила в заявлении, отметив, что мнение будет способствовать эффективному и последовательному регулированию моделей ИИ в ЕС. Комиссар Дейл Сандерленд прокомментировал:
Это также поддержит вовлеченность DPC с компаниями, разрабатывающими новые модели ИИ, прежде чем они выйдут на рынок ЕС, а также обработку многочисленных жалоб, связанных с ИИ, которые были поданы в DPC.
Дейл Сандерленд
Жалобы на производителя ChatGPT OpenAI, как сообщается, были представлены в последние месяцы. Польский орган по защите данных поднял вопросы о соответствии разработчика ИИ требованиям GDPR в прошлом году.
Орган утверждал, что OpenAI игнорировала требования, такие как предварительная консультация с регуляторами при наличии риска утечки персональных данных. Регулятор отметил, что OpenAI запустил ChatGPT без консультаций с местными регуляторами, что противоречит рекомендациям GDPR.
Итальянский Гарант также приказал OpenAI прекратить обработку персональных данных в 2023 году до решения выявленных проблем с платформой компании. Он подчеркнул, что компания из Сан-Франциско не имела мер для предотвращения доступа несовершеннолетних к технологии, как того требует закон.
Регулятор предупредил, что несоблюдение рекомендаций приведет к штрафам, включая 4% годового оборота или 20 миллионов евро, в зависимости от того, что больше.
Получите высокооплачиваемую работу в Web3 за 90 дней: окончательная дорожная карта
