GDPR 与 AI 法案：协调而复杂的监管格局

fabiha01

欧盟近期出台了《人工智能法案》，有望成为整个欧盟人工智能治理的基石。这项开创性的法规旨在解决人工智能系统对健康、安全和基本权利构成的风险，补充《通用数据保护条例》（GDPR）已经建立的保护措施。这些框架共同构建了一个强有力的监管结构，旨在促进创新，同时保障基本权利。但是这两个框架如何相交，以及它们在哪里可能发生冲突？

这篇博客文章探讨了 GDPR 和 AI 法案之间的微妙关系，强调了组织必须采取的协同作用、冲突和合规策略，以应对不断变化的形势。

不同的目标，共同的原则
GDPR 致力于通过规范个人数据处理来保护个人权利。它强调合法性、透明度和责任制等原则，确保数据得到公平、安全的处理。

相比之下，《人工智能法案》是一项产品安全法规，旨在解决与人工智能系统相关的技术风险。它制定规则以确保这些系统值得信赖、可靠且符合道德原则。尽管目标不同，但这两个框架都致力于透明度和问责制原则，特别是在高风险应用方面。例如：

根据 GDPR，组织必须告知个人有关数据处理的信息（第 13 条和第 15 条）并证明其合规性（第 5 条第 2 款）。
同样，《人工智能法案》要求高风险人工智能系统的提供商提供清晰、透明的指示（第 13 条）并维护详细的技术文档（第 11 条）。
GDPR 和 AI 法案是互补的，而不是等级制的，这意味着任何一个法案都不会取代另一个法案。第2条第1款7 AI法案确保AI法案不影响现有的联盟数据保护立法，明确引用了GDPR。然而，它们的应用取决于具体情况：

GDPR 仍然是欧盟处理个人数据的总体法律。任何处理个人数据的人工智能系统都必须符合GDPR的要求。这意味着必须始终遵守透明度、问责制、数据最小化和合法处理等原则。

《人工智能法案》是一个专门的框架，为人工智能系统增加了具体的规则，包括处理个人数据的系统。它并不能取代 GDPR，而是建立在其原则之上，重点关注透明度、人工监督和稳健性等特定于人工智能的风险。

共享领土范围：超越欧盟边界
GDPR 和 AI 法案均采用了域外方式。如果非欧盟实体在欧盟境内提供服务或系统，则必须遵守这些规定。 《人工智能法案》管辖在欧盟使用或提供的人工智能系统。这种协调可确保在这些司法管辖区内运营的任何组织都符合全球合规性。

角色和职责：提供者、部署者、控制者和处理者
这两个框架之间的一个显著区别是用于定义角色的术语。 GDPR 将实体分为控制者（确定处理目的和方式的人）和处理者（代表控制者处理数据的人）。 《人工智能法案》引入了提供者（开发人工智能系统的实体）和部署者（将这些系统集成到运营中的实体）。

这些角色经常重叠。例如，部署人工智能招聘工具的公司可能根据《人工智能法案》充当部署者，奥地利商业传真列表 根据《GDPR》充当控制者，需要同时遵守这两个框架。在开发或使用人工智能系统时涉及处理个人数据的组织必须评估其在 GDPR 和欧盟人工智能法案下的责任。

GDPR 与 AI 法案之间的潜在冲突
两项法规之间可能会出现一些冲突领域：

自动决策和人工监督
虽然 GDPR 第 22 条侧重于保护个人免受产生法律或重大影响的纯自动化决策的影响，但《人工智能法案》通过要求对所有高风险人工智能系统进行人工监督（无论决策是否完全自动化）提供了更广泛的保护。这确保了在高风险人工智能系统的设计、部署和使用过程中嵌入安全措施，从而创建更全面的框架。 《人工智能法案》还规定了提供商和部署者的问责机制，以解决人工智能系统生命周期每个阶段的风险。这种关系体现出一种积极的冲突，因为《AI法案》扩展并加强了GDPR的保护。然而，对于 GDPR 下何种程度的监督才算“完全自动化”，可能存在一些模糊性，这可能导致如何有效协调两个框架的合规性的不确定性。

敏感数据处理
《AI法案》允许处理敏感数据以纠正偏见（《AI法案》第 10 条），该规定与 GDPR 对此类处理的严格限制（《GDPR》第 9 条）相冲突。根据《人工智能法案》，组织只能在“绝对必要”的范围内处理特殊类别数据以消除偏见。这意味着组织必须不断检查他们是否仍然需要数据来消除偏见。
《人工智能法案》第 10 条规定，例外情况仅适用于组织不能使用其他数据（例如匿名数据或合成数据）的情况。该法案遵循了 GDPR 中对个人数据的定义：匿名数据不被视为个人数据，因此，GDPR 第 9 条下的禁令不适用。合成数据是一种虚假数据，它代表相同或相似的个人分布，但无法再与个人联系起来。

这要求组织证明没有任何替代数据（例如匿名数据或合成数据）可以实现相同的目的。然而，这可能会受到解释的影响，可能会导致其与 GDPR 例外情况一起应用的不确定性。

高风险分类
根据 GDPR 第 35 条，当处理个人数据对个人权利构成高风险时，数据控制者必须进行数据保护影响评估 (DPIA)。 《人工智能法案》要求提供商评估其人工智能系统是否具有高风险。冲突的起因是：

提供商可以根据《人工智能法案》确定人工智能系统不属于高风险。
如果系统以危及个人权利的方式处理个人数据，部署人员可能仍需要根据 GDPR 进行 DPIA。
这意味着，根据具体用途，同一人工智能系统可能在两部法律下面临不同的分类和风险管理要求。

DPIA 和 FRIA 之间的协同作用
这两个框架都需要评估来识别和减轻风险：

GDPR 要求对高风险数据处理进行数据保护影响评估 (DPIA)。
《人工智能法案》要求对高风险人工智能系统进行基本权利影响评估（FRIA），以及进行合格评定，以确保符合技术和道德标准。
通过协调这些评估，组织可以创建一个有凝聚力的过程，最大限度地减少重复，同时确保遵守两个框架。