近日,法国数据监管机构发布了两项关于人工智能的新意见:《人工智能:向有关人员通报情况》和《人工智能:尊重和促进数据主体行使权利》。
法国于2025年2月6日至11日举办了人工智能行动峰会,突出人工智能在未来几年的创新和竞争力潜力。
自1978年以来,法国制定了管理数字技术使用个人数据的法规。在欧洲,这些规则通过通用数据保护条例(GDPR)进行协调,其原则启发了世界各地许多国家的法规。
CNIL认识到有必要澄清法律的框架,积极致力于为利益相关者提供安全保障,促进人工智能创新,同时确保保护基本权利。自2023年5月推出AI行动计划以来,CNIL已发布了一系列AI系统开发建议。通过这些澄清,GDPR合规将建立个人之间的信任,并为企业提供法律的确定性。
使GDPR原则适应AI的特殊性
一些AI模型是匿名的,因此不受GDPR的约束。但是,其他模型(如大型语言模型(LLM))可能包含个人数据。欧洲数据保护委员会(EDPB)最近提供了将GDPR应用于AI模型的相关标准。
当GDPR适用时,个人数据必须得到保护,无论是在训练数据集内,在可能存储数据的模型内,还是通过提示使用模型。虽然数据保护的基本原则仍然适用,但它们必须适应人工智能的特定环境。
CNIL已经确定:
- 目的的确定将灵活地应用于通用AI系统:无法在培训阶段定义所有潜在应用的操作员可以描述正在开发的系统类型并说明关键的潜在功能。
- 数据最小化原则并不妨碍使用大型训练数据集。但是,通常应选择和清理数据,以优化算法训练,同时避免对个人数据进行不必要的处理。
- 如果合理,并且数据集受到适当的安全措施的约束,可以延长训练数据的保留时间。这对于需要大量科学和财政投资的数据库尤其重要,这些数据库有时会成为研究界公认的标准。
- 在许多情况下,重复使用数据库,包括在线数据库,是可能的。前提是数据不是非法收集的,而且重复使用数据符合收集数据的最初目的。
新建议1:《人工智能:向有关人员通报情况》
CNIL发布了两项新建议,以促进负责任地使用人工智能,同时确保遵守个人数据保护。这些建议证实,GDPR的要求已经足够平衡,可以应对人工智能的具体挑战。它们提供了具体和相称的解决办法,以告知个人并促进其行使权利:
当个人数据用于训练人工智能模型并可能被其记忆时,必须通知相关个人。提供这一信息的方式可以根据个人面临的风险和业务限制加以调整。根据GDPR,在某些情况下-特别是当AI模型依赖于第三方数据源并且提供商无法直接联系个人时-组织可能会将自己限制在一般信息(例如,在其网站上发布)。当使用多个来源时,就像通用AI模型一样,广泛披露来源类别或列出几个关键来源通常就足够了。
新建议2:《人工智能:尊重和促进数据主体行使权利》
欧洲法规赋予个人访问、纠正、反对和删除其个人数据的权利。然而,在人工智能模型的背景下行使这些权利可能特别具有挑战性-无论是由于难以识别模型中的个体还是修改模型本身。CNIL敦促AI开发人员从设计阶段就纳入隐私保护,并通过以下方式特别关注训练数据集中的个人数据:
在不损害其预期目的的情况下,努力匿名模特;开发创新解决方案,以防止人工智能模型泄露机密个人数据。
在某些情况下,费用、技术上的不可能性或实际困难可能成为拒绝履行行使这些权利的请求的理由。然而,在必须保证权利的情况下,CNIL将考虑模型创建者可用的合理解决方案,并可能允许灵活的时间表。CNIL还强调,这一领域的科学研究正在迅速发展,并敦促人工智能利益相关者随时了解最新进展,以确保尽可能保护个人权利。
阅读原文:https://www.cnil.fr/en/ai-and-gdpr-cnil-publishes-new-recommendations-support-responsible-innovation
声明:本文来自互联网法律匠,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
