2025年1月22日,韩国个人信息保护委员会(PIPC)做出了对 KakaoPay 和 Apple 的处罚决定,因其在跨境数据转移中违反了《个人信息保护法》的相关规定。这一事件不仅凸显了数据保护的合规要求,更在人工智能(AI)技术监管方面提出了新的挑战,特别是在数字经济的背景下,数据与AI模型的监管应当是不可分割的。
事件背景:跨境数据转移与AI模型的合规问题
1. 违规行为概述
PIPC对KakaoPay与Apple的处罚源于未经用户同意进行的跨境数据转移。KakaoPay通过支付宝(Alipay)将4000万用户的个人数据传输至Apple,用于计算 NSF评分(资金不足评分),这一评分用于评估支付失败的风险。然而,整个过程中没有经过用户的明确同意,且Apple未公开其通过Alipay进行数据处理的行为。
具体来说:
- KakaoPay 在2018至2024年间,未经用户同意,将其个人信息传输给Alipay,总计涉及542亿条记录。
- Apple 将数据处理任务外包给Alipay,但未在隐私政策中披露这一行为,用户未被告知其个人信息的跨境转移。
- Alipay 使用这些未经授权的数据构建了一个 NSF评分模型,并每日更新该模型,用于计算支付风险。
这一系列违规行为最终导致了PIPC对三方的处罚和整改命令。
2. 处罚措施
- KakaoPay 被罚款 59.68亿韩元,并要求公开数据跨境转移事实,确保符合韩国的法律要求。
- Apple 被罚款 24.05亿韩元,附加罚款 220万韩元,并要求在隐私政策中公开跨境数据转移的信息。
- Alipay 被要求销毁基于非法数据构建的 NSF评分模型。
核心观点:数据与模型不可分割的合规监管
此次事件的最大启示在于,数据与其衍生模型是密切相关、不可分割的。这不仅是对跨境数据转移合规性的审视,更是对 人工智能技术和数据使用的深刻反思。在数字经济时代,仅仅从数据本身来看问题显然是不够的,必须将数据及其衍生产品(如AI模型)视为一体来监管。
1. 数据与模型的密切关系
在数字经济和AI技术高速发展的今天,数据不仅是决策和算法的基础,其与算法模型的关系也变得至关重要。在这次处罚中,PIPC不仅要求销毁非法转移数据,还特别关注了 NSF评分模型 的合法性。因为这一模型直接基于未经同意的数据构建,它的存在意味着即便数据本身被删除,依赖于这些数据训练的模型仍然可能存在隐私风险。
这种对数据与模型的双重监管,反映出数据和模型是不可割裂的。模型不只是对数据的加工,更是数据本身的一种延伸,任何基于不合规数据训练的模型都可能存在侵犯用户隐私和违反法律的风险。
2. 仅关注数据仍然存在监管盲区
如果只从数据的角度来进行合规监管,就会忽视数据在技术应用中的延伸效应。尽管GDPR等数据保护法规已经对数据本身进行了严格的监管,但对于数据如何在AI技术中转化为模型、模型如何进一步影响决策和行为的管理却相对滞后。像此次事件中,KakaoPay、Apple与Alipay之间的数据传输虽然不符合合规要求,但更深层的问题在于, 基于这些数据构建的模型在未经用户授权的情况下被使用,从而可能对用户产生更广泛的影响。
这种监管盲区的存在,促使监管机构开始对AI技术中的数据使用做出更细致的规定。模型作为数据的再生产和再利用形式,必须纳入监管范畴,以避免因模型依赖不合规数据而带来法律和道德上的风险。
3. 行为监管的必要性
除了对数据和模型本身的监管,行为监管同样至关重要。企业应当对其数据处理行为负起全责。此次案件的处理方式表明, 从不合规的行为着手进行处罚,而不是仅仅限制数据本身,是对数字经济下数据和技术使用的更深入反思。通过行为监管,监管机构可以追溯数据的传输路径、分析技术的应用方式,避免数据和技术的滥用。
专家评论:突破性的AI模型删除要求
这一案件在AI治理方面的突破性在于,PIPC要求销毁基于非法转移数据构建的 NSF评分模型。尽管在全球范围内,监管机构对非法数据的删除已有不少案例,但针对 AI模型的删除命令却是前所未有的。
专家指出, AI模型本身可能包含了对数据的深度加工和分析,单纯删除数据并不能完全消除隐私风险。因此,从全球范围看,数据保护的合规要求应当全面覆盖数据及其衍生技术,确保其使用不会侵犯用户隐私。
家普遍认为,PIPC此次决定具有重大意义,尤其是在AI技术和跨境数据传输的复杂背景下。对于数据和模型的监管,专家指出:
行为监管的穿透性:
行为监管不仅针对数据的非法使用,还深入到数据衍生产品——如机器学习模型——的使用场景。这种监管方式具有穿透性,从源头遏制了不合规行为的扩散。模型删除的前瞻性:
这一举措有可能成为全球数据保护与AI治理的一个重要先例。如果其他受 GDPR 启发的地区也采取类似的做法,那么数据和AI技术的管理模式可能会发生深刻变化。尽管数据和模型本质上是中性的,但如何规范其使用,成为了监管的关键。数据与模型的中立性:
数据和AI模型本身没有价值偏向,但其应用却可能导致不同的合规问题。监管机构应通过设置基本的法律护栏,确保其使用不侵害用户隐私或违背法律规定,而非过度限制其发展空间。
结论:数据与模型的全面合规监管是未来趋势
通过此次韩国PIPC的处罚决定,可以看出,数字经济时代,数据与其衍生的AI模型必须作为一个整体进行监管。在合规监管中,数据不仅仅是一个静态的对象,更是动态演化和深度加工的基础。随着人工智能等技术的发展,数据和模型的监管将逐渐成为全球隐私保护与技术治理的重点。
未来,数据保护法规将不仅仅关注数据本身,更应涵盖数据使用过程中的每一个环节,特别是在涉及人工智能等技术应用时。只有确保数据及其衍生技术的合规性,才能真正实现数字经济时代的全面隐私保护。
事件的重要性与全球影响
此次事件的意义远超罚款数字,尤其是在数据保护和人工智能监管领域:
全球化背景下的合规性要求:
随着全球平台服务的扩展,跨境数据转移已成为不可避免的问题。此次处罚明确了企业在跨境数据处理中的法律责任,尤其是在处理用户个人信息时,必须获得用户的明确同意,并遵守当地的法律法规。数据与AI模型的监管结合:
这一案件的重要突破在于,PIPC不仅处罚了数据转移行为,还要求销毁基于非法数据构建的AI模型。这是数据保护执法的一次创新,因为尽管类似的模型删除指令在其他地区偶有出现,但在受 GDPR 启发的地区却极为罕见。此次判决体现了监管机构开始将数据与其衍生产品(如机器学习模型)作为一体来进行审查与管理。人工智能治理的潜在转变:
传统上,数据保护的重点多集中在数据本身的管理和删除上,而此次要求销毁机器学习模型标志着人工智能监管进入了一个新阶段。随着AI技术的迅速发展,如何确保AI系统的训练数据合法合规,成为了全球数据保护领域的新挑战。
资料来源:
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=10955#LINK
声明:本文来自数据经济评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
