欧盟隐私机构就 GenAI 合法性的新问题发表了看法。该委员会探讨了人工智能开发人员可以利用的漏洞,以便在不违反现行法律的情况下处理个人数据。
欧洲数据保护委员会对人工智能开发商处理用户个人数据的合法性基础提出质疑。在 12 月 17 日发布的一份意见中,该委员会根据 GDPR 第 64(2) 条处理了各种一般适用事项。
欧盟隐私委员会就数据保护和人工智能部署问题进行权衡
欧洲数据保护委员会(EDPB)应爱尔兰监督当局的请求发布了该意见。委员会指出,根据《通用数据保护条例》(GDPR),它有法定授权在影响多个成员国的事务上发表意见。
该机构指出,爱尔兰机构提出的请求与人工智能(AI)开发和部署阶段处理个人数据相关。它将意见缩小到与欧盟内的数据保护相关的四个问题。
这些问题包括何时以及如何将人工智能模型视为匿名,以及控制者如何说明在部署中合法利益的必要性。委员会还探讨了在人工智能模型开发阶段非法处理数据对后续人工智能模型操作的影响。
关于如何以及何时确定人工智能模型匿名性的问题,该机构表示,应由有能力的地方当局根据具体情况作出此类判断。委员会表示,它并不认为所有使用个人数据匿名训练的人工智能模型都是匿名的。
该机构建议国家监督当局评估控制者提供的相关文件,以确定模型的匿名性。它还补充说,控制者应采取相关措施,以限制培训期间个人数据的收集,并减轻潜在攻击。
关于合法利益作为处理个人数据的适当法律依据的问题,委员会将确定处理此类数据的适当法律基础的责任留给控制者。
EDPB强调了监督机构确定合法利益的三步测试。这些步骤包括识别实际合法利益并分析其必要性。控制者还必须评估合法利益是否与数据主体的权利和自由相平衡。
在评估后果时,该机构将裁量权委托给各州的监督机构。它补充说,监督机构应根据每种情况的事实选择适当的后果。
爱尔兰数据保护委员会对欧洲数据保护委员会关于人工智能模型监管的意见进行了评论
爱尔兰数据保护委员会在一份声明中回应称,该意见将促进欧盟内有效和一致的人工智能模型监管。委员戴尔·桑德兰评论道:
这还将支持数据保护委员会与开发新人工智能模型的公司在他们在欧盟市场推出之前的互动,以及处理已提交给数据保护委员会的众多与人工智能相关的投诉。
戴尔·桑德兰
据报道,过去几个月对ChatGPT的制造商OpenAI提出了投诉。波兰数据保护局去年对这家人工智能开发者是否遵守GDPR提出了质疑。
该机构指控OpenAI忽视了诸如在存在个人数据泄露风险时与监管机构进行事先咨询等要求。监管机构指出,OpenAI在未咨询当地监管机构的情况下推出了ChatGPT,违反了GDPR指南。
意大利的Garante还要求OpenAI在2023年停止处理个人数据,然后再解决其发现的与公司平台相关的问题。它强调,位于旧金山的公司缺乏防止未成年人访问该技术的措施,这是法律所要求的。
监管机构警告称,未能遵守指南将招致处罚,包括四个百分点的年营业额或两千万欧元,以较大者为准。
在90天内找到高薪Web3工作:终极路线图
