欧洲数据保护委员会:人工智能的使用是可能的
ChatGPT 最新版本的推出,进一步引发了关于在企业环境中使用人工智能(AI)时数据保护风险的讨论。欧洲数据保护监督最高机构欧洲数据保护委员会(EDPB)发布了关于人工智能模型中个人数据处理的意见。目的是支持公司在使用人工智能时确保符合数据保护的流程。该声明是应爱尔兰数据保护局的要求而发表的,旨在澄清关键问题。声明明确表示,人工智能可以在符合数据保护法规的前提下进行运营和使用。EDPB 认为,它解决了三个关键问题:
使用个人数据训练的人工智能模型的输出可以匿名吗?
人工智能模型基于合法利益处理个人数据是否被允许?
人工智能模型非法处理个人数据会造成什么后果?
人工智能模型的输出是否应该始终被视为匿名?
EDPB 首先强调,使用个人数据训练并旨在针对自然人提供结果的人工智能模型必然会处理个人数据。通过使用个人数据进行训练但目的并非生成有关自然人的信息的人工智能模型,事情变得更加令人兴奋。 EDPB 认为此类模型可以“吸收”有关自然人的信息。这些信息可能与原始训练数据不同,但仍可能包含模型输出的个人元素。
EDPB 的结论是,AI 模型不会自动产生匿名结果,因为它不是为输出个人数据而设计的。
然而,根据 EDSA 的说法,在以下假设下,AI 模型可以被视为匿名的:
确保与训练数据相关的个人数据不能从模型中提取。
确保查询模型时生成的所有结果与用于训练模型的个人数据的数据主体无关。
为了评估情况是否确实如此,需要澄清三个问题:
匿名化技术是否已经实现了确保数据被视为匿名(即无法获取任何个人信息)的目标?
相关因素包括训练数据的类型、AI模型的预期用途、能够识别的附加信息,以及获取信息的成本和精力、比利时商业传真列表 可用的技术和可能的未来发展。至关重要的是,该公司已采取措施确保匿名化。这些包括针对诸如中毒、逃避或探索性攻击等攻击的保护机制。
是否已经发现可能导致未经授权访问 AI 模型的风险?
是否可以基于合法利益来处理个人数据?
EDPB 承认根据第 6 条在合法利益的基础上运营 AI 模型的可能性。 GDPR 第 6(1)(f)条。这样做是基于对艺术要求的经典考察。 GDPR 第 6(1)(f)条:
控制者必须拥有合法利益。
数据处理对于实现合法利益是必要的,并且
数据主体的冲突权利不超过控制者的合法利益。
合法利益可以是任何合法的经济利益或非物质利益。然而,根据 EDSA 的规定,它必须清晰、准确、真实、存在。
此外,必须不存在对数据主体的权利影响较小且同样能实现人工智能模型目的的替代方案。
公司必须检查是否存在这样的替代方案。如果没有,则应评估进一步的选项以尽量减少数据处理。这涉及要处理的个人数据的范围以及使用假名数据的可能性。
最后,必须在公司利益和数据主体利益之间取得平衡。数据主体的利益可能尤其在于对其数据的控制和不对其进行处理。然而,EDPB 强调,数据处理也可以为数据主体带来好处,例如:
财务、个人或社会经济利益,
收入增加,
改善医疗保健,
更容易获得教育。
EDPB 认为,在数据主体不知情或违背其意愿的情况下访问个人数据尤其存在风险。例如,这可能通过未经授权的访问或对 AI 模型的训练数据的攻击而发生。此类事件的后果可能是声誉受损、身份盗窃或欺诈。
EDPB 发现,处理大规模、可公开访问的数据集还存在进一步的风险。受影响的个体可能会产生被监视的感觉,并因此产生自我审查。其中一个例子是Facebook 宣布将使用用户数据来训练自己的人工智能模型。
如果国籍或性别等特征导致申请过程中出现歧视,那么在处理申请人数据时也会出现实际问题。
总而言之,EDPB 强调,在权衡风险和收益时,还必须考虑数据主体的利益。当处理特别大或敏感的数据时,风险会增加。这不仅包括根据 GDPR 第 9 条和第 10 条的健康数据或其他数据,还包括财务数据,这些数据的处理可能会增加风险。
EDPB 呼吁在进行此评估时考虑数据主体可能遭受的负面影响。公司有义务采取一切技术和组织措施来尽量减少这种可能性。这包括针对隐私攻击、深度伪造、聊天机器人、虚假信息、网络钓鱼和操纵人工智能代理的措施。
还需要考虑数据主体对其个人数据在人工智能模型中被处理的程度的预期。这里的关键点是有关AI模型的使用信息,无论如何都必须提供这些信息。
頁:
[1]