EDP​​B 就人工智能模型处理个人数据发布意见

fabiha01

随着人工智能（AI）日益融入日常生活，其对隐私的影响也不断增大。开发人工智能模型通常涉及大量数据，并且此类处理模型现已广泛参与众多处理活动。这一趋势引发了人们对隐私、透明度和公平性的担忧。

为了应对这些挑战，欧洲数据保护委员会（EDPB）根据爱尔兰监管局（SA）的要求发表了一份意见（“意见”）。欧洲数据保护委员会与包括欧盟人工智能办公室在内的各利益相关方合作，提供此指导，以确保人工智能发展尊重个人的权利和自由。

意见要点
《意见》主要解答了三个问题：

什么时候人工智能模型可以被视为匿名的？
合法利益能否作为人工智能模型开发和部署过程中数据处理的法律依据？
人工智能模型非法处理数据会带来什么后果？
人工智能模型中的匿名性
EDP​​B 澄清说，基于个人数据训练的 AI 模型不能自动被视为匿名。对于符合匿名条件的模型，提取或重新识别个人数据的可能性必须可以忽略不计。主管监督机构 (SA) 必须使用数据控制者提供的文件逐案评估匿名声明。确保匿名的有效方法包括限制数据收集、降低可识别性以及增强对数据提取的抵抗力。

合法利益作为法律基础
EDP​​B 提出了一个三步测试来评估合法利益，作为人工智能开发和部署期间处理个人数据的基础：

确定合法、明确和当前的利益；
通过证明处理是必要的和最低限度侵入来评估必要性；和
通过权衡对数据主体的权利和自由的影响与所述利益来平衡利益。人工智能模型的处理性质以及数据主体对其个人数据使用的期望也是这一评估中至关重要的因素。缓解措施可能会减少对数据主体的影响，但也必须由 SA 根据具体情况进行评估。
人工智能模型的非法数据处理
《意见》还概述了评估非法数据处理的三种情形：

如果同一控制者在人工智能模型的开发和部署过程中处理个人数据，比利时商业传真列表 则应逐案评估开发和部署目的的区别以及缺乏法律依据对后续处理的影响。
如果在部署过程中有不同的控制者处理个人数据，则 SA 应通过适当评估 AI 模型是否是通过合​​法的个人数据处理开发的，来考虑该控制者是否履行了《通用数据保护条例》（GDPR）规定的问责义务。
如果个人数据在开发过程中被非法处理，但在部署之前被匿名化，则使用匿名数据进行的后续操作不属于 GDPR 的范围。但是，部署期间处理的任何进一步的个人数据都必须符合 GDPR，并且最初的非法处理不得影响后续对不同个人数据的合法处理。
结论
该意见强调了人工智能技术的复杂性以及将创新与数据保护法相结合的迫切必要性。它强调了严格的逐案评估、问责制和透明度的重要性，以保障数据主体的权利，同时促进人工智能模型的合法使用。这些措施旨在平衡技术进步与 GDPR 合规的基本原则。