其他
欧盟EDPS发布《生成式人工智能与EUDPR》指南
点击蓝字 关注我们
6月3日,欧洲数据保护监督机构(EDPS)在其官网上发布了题为《生成式人工智能与EUDPR》的指南,这是首份适用于欧盟机构的人工智能与数据安全指南。
生成式人工智能是人工智能的一个子集,它使用专门的机器学习模型来产生广泛而通用的输出,能够执行一系列任务和应用,例如生成文本、图像或音频。具体来说,它依赖于所谓的基础模型的使用,这些模型可以作为其他生成式人工智能系统的基线模型,这些系统将从中进行“微调”。基础模型作为核心体系结构或基础,在此基础上构建其他更专业的模型。这些模型是在各种广泛的数据集的基础上训练的,包括那些包含公开信息的数据集。它们可以表示复杂的结构,如图像、音频、视频或语言,并可以针对特定的任务或应用进行微调。大型语言模型是在大量文本数据(从数百万到数十亿个单词)上训练的一种特定类型的基础模型,它可以根据模式和单词和短语之间的关系对广泛的输入生成自然语言响应。用于训练模型的大量文本可能来自互联网、书籍和其他可用资源。生成式人工智能模型的生命周期涵盖了不同的阶段,从定义用例和模型范围开始。在某些情况下,确定一个合适的基础模型作为开始是可能的,在其他情况下,一个新的模型可能是从头开始构建的。接下来的阶段涉及使用未来系统的相关数据集训练模型,包括使用特定的定制数据集对系统进行微调,以满足模型的用例。为了完成训练,需要使用特定的技术来确保更准确的信息和控制行为。接下来的阶段旨在评估模型,并建立标准来定期评估因素,比如准确性,以及模型与用例的一致性。最后,部署和实现模型,包括使用在前面阶段中建立的度量进行持续监视和定期评估。二、EUI可以使用生成式人工智能吗?作为EUIs(欧盟机构),原则上在提供公共服务方面开发、部署和使用生成式人工智能系统没有障碍,前提是欧盟的规则允许,并且所有适用的法律要求都得到满足,特别是考虑到公共部门在使用新技术时确保充分尊重个人基本权利和自由的特殊责任。在任何情况下,如果使用生成人工智能系统涉及处理个人数据,则该规例完全适用。该条例在技术上是中立的,适用于所有个人数据处理活动,无论使用何种技术,并且不影响其他法律框架,特别是人工智能法案。问责原则要求在生成式人工智能模型供应链中涉及的各种参与者之间明确识别和尊重责任。EUIs可以开发和部署自己的生成式人工智能解决方案,也可以部署市场上可用的自己使用的解决方案。在这两种情况下,欧盟都可以使用提供者来获取作为生成式人工智能系统一部分的全部或部分元素。在这种情况下,欧盟必须明确确定所进行的特定处理操作的具体角色-控制者,处理者,共同控制者-及其在法规下的义务和责任方面的影响。三、如何知道生成式人工智能系统的使用是否涉及个人数据处理?生成式AI系统中的个人数据处理可以发生在其生命周期的各个层面和阶段,而不一定是第一眼就能看到的。这包括在创建训练数据集时,在训练阶段本身,通过在模型创建和使用后推断新的或额外的信息,或者在系统运行时简单地通过系统的输入和输出。当生成式人工智能系统的开发人员或提供商声称他们的系统不处理个人数据时(出于诸如在其设计、开发和测试期间据称使用匿名数据集或合成数据等原因),询问为保证这一点而实施的具体控制措施至关重要。从本质上讲,EUIs可能想知道提供者使用了哪些步骤或过程来确保模型不处理个人数据。电子数据处理署已就使用网页搜集技术收集个人资料提出警告,因为可能会在不知情的情况下,违反个人的期望,以及出于与最初收集目的不同的目的而收集个人资料,从而失去对个人资料的控制。EDPS还强调,对公开可用的个人数据的处理仍受欧盟数据保护立法的约束。在这方面,使用网页抓取技术从网站收集数据并将其用于培训目的,可能不符合相关的数据保护原则,包括数据最小化和准确性原则,因为没有评估来源的可靠性。四、DPO(数据保护办公室)在生成式人工智能系统的开发或部署过程中扮演什么角色?DPO就相关的数据保护义务提供通知和建议,协助控制者监控内部合规性。在欧盟机构实施处理个人数据的生成式人工智能系统的背景下,重要的是要确保DPOs在其职责范围内,以独立的方式就该法规的应用提供建议和协助,并正确理解欧盟机构正在考虑采购、设计或实施的生成式人工智能系统的生命周期,以及它是如何工作的。这意味着,获取有关这些系统何时以及如何处理个人数据、输入和输出机制如何工作以及通过模型实施的决策过程的信息。正如该条例所指出的,在进行数据保护影响评估时,向控制者提供建议是很重要的。控制者必须确保所有流程都有适当的文件记录,并保证透明度,包括更新处理记录,并作为最佳实践,对生成人工智能驱动的系统和应用程序进行特定的清单。最后,数据事务厅应参与审查与模式提供者签署的数据共享协议中的遵守问题。五、EUI希望开发或实现生成式AI系统,什么时候应该进行DPIA ?欧盟机构有责任管理与使用生成式人工智能系统相关的风险,定期和系统性地监控模型运行是否加剧已识别的风险或出现新的风险。并在生成式人工智能系统的整个生命周期内采取数据保护设计和默认保护原则,提前考虑并充分减轻可能的威胁和风险。六、在生成式人工智能系统的设计、开发和验证过程中,何时处理个人数据是合法的?生成式人工智能系统背景下的个人数据处理需要符合该条例的法律依据。如果数据处理是基于法律义务或公共权力的行使,则该法律依据必须在欧盟法律中明确而准确地规定。使用同意作为法律依据需要仔细考虑,以确保其符合该规例的规定,以确保其有效。七、当使用生成式人工智能系统时,如何保证数据最小化的原则?使用大量数据来训练生成式人工智能系统并不一定意味着更高的效率或更好的结果。精心设计结构良好的数据集,用于质量优先于数量的系统,遵循适当监督的培训过程,并接受定期监测,对于实现预期结果至关重要,不仅在数据最小化方面,而且在涉及输出质量和数据安全时也是如此。八、生成式AI系统是否尊重数据准确性原则?尽管努力确保数据的准确性,但生成式人工智能系统仍然容易产生不准确的结果,这可能对个人的基本权利和自由产生影响。虽然供应商正在实施先进的培训系统,以确保模型使用和生成准确的数据,但eui应在生成式人工智能系统的整个生命周期中仔细评估数据的准确性,并在无法保持准确性的情况下考虑使用此类系统。九、当欧盟使用生成式人工智能系统时,如何告知个人数据的处理?欧盟机构在使用生成式人工智能系统处理个人数据时,必须向个人提供法规要求的所有信息。提供给个人的信息必须在必要时更新,以使他们适当地了解并控制自己的数据。十、自动决策如果生成式人工智能系统计划用于支持决策程序,欧盟必须仔细考虑是否将其投入运行,如果它们的使用引发了对其合法性的质疑,或者它们可能成为不公平、不道德或歧视性的决定。十一、在使用生成式人工智能系统时,如何确保公平处理并避免偏见?在生成式人工智能系统生命周期的所有阶段,应优先采用减少和减轻偏见的程序和最佳做法,以确保公平处理并避免歧视性做法。为此,需要监督和理解算法是如何工作的,以及用于训练模型的数据。十二、个人权利的行使欧盟机构作为数据控制者,有责任实施适当的技术、组织和程序措施,以确保个人权利的有效行使。这些措施应从系统生命周期的早期阶段开始设计和实施,以便对处理活动进行详细的记录和跟踪。十三、数据安全由于缺乏与使用生成式人工智能系统相关的安全风险以及它们可能如何演变的信息,欧盟必须非常谨慎,并对与IT安全相关的所有方面进行详细规划,包括持续监控和专业技术支持。欧盟必须意识到来自恶意第三方的攻击所带来的风险,以及缓解这些风险的可用工具。
关注本公众号:图灵财经
来源:欧盟EDPS
时间:2024年6月
精彩推荐
独家盘点 | 2022年数字经济大事记
权威快报丨中共中央国务院“数据二十条”解读(附全文)
腾讯研究院:2023年十大数字科技前沿应用趋势
行业报告|埃森哲:三步打造数据驱动型企业
2023全球数字科技发展研究报告:全球科研实力对比
更多精彩内容