AI治理合规:法国发布面向人工智能技术的GDPR合规指南
欢迎点击上方 TMT法律论坛 关注我们
AI治理合规:法国发布面向人工智能技术的GDPR合规指南
当地时间4月5日,法国数据保护局(Commission Nationale de l'Informatique et des Libertés, CNIL)发布面向人工智能技术(artificial intelligence,AI)的GDPR合规指南(以下简称“《指南》”)等系列文件,旨在促进建立健全基于人权和基本价值观的AI监管框架。
《指南》由12个相互关联的要点组成。
定义使用目的:在项目设计中首先明确AI技术的适用目的,如明确基于机器学习的AI模型在学习阶段(即开发和训练AI模型阶段)与生产阶段独立的个人数据处理目的。
明确法律基础:在GDPR提供的6类处理个人数据的法律基础中明确所适用的法律基础。需特别注意,为“科学研究”处理个人数据并非法定的法律基础之一。
构建数据库:为涉及的个人数据创建数据库,数据库的构成包括1)专为数据库建立(以用于算法验证等)目的收集的数据;2)重复利用已经为其他目的所收集的数据。就后一种情形,需充分评估其合法性。
最小化数据:严格遵循GDPR第9条的要求,确保收集和使用的个人数据的最小化。建议采取的措施包括明确并清晰区分AI模型训练和运行所必须的数据类型、批判性地评估所需的数据类型与数量、应用数据假名化技术或数据过滤/混淆机制、建立并保留数据处理日志、评估数据处理风险、采用访问控制管理以确保数据安全等。
设置数据保存期限:设置与数据处理目的相适应的数据保存期限。对于为科学研究目的实施的AI处理,一般可将数据保留更长时间。
持续改进框架:区分AI模型学习阶段与生产阶段。若需将AI模型学习阶段所处理的数据沿用至AI模型生产阶段,需评估两阶段的数据处理目的是否不可分割、两阶段之间是否难以分开,并思考如何分配与处理相关方在两阶段的责任。
防范与AI模型相关的风险:避免基于非法收集的数据训练AI模型。同时,尽管根据个人数据训练的AI模型不必然包含个人数据,但仍需注意避免AI模型遭受攻击导致数据泄露。
确保透明度与可解释性:AI技术应用的某些特性,如AI模型的复杂性与不透明性,可能导致向个人数据主体解释说明个人数据处理规则变得困难;因此,某些情况下,若数据不是直接向个人数据主体收集的,可以适当减损个人知情权。
响应个人数据主体行权请求:需确保尊重并实现GDPR设置的个人数据主体权利,但在为科学研究目的实施的AI处理的情况下,可以援引行使某些权利的例外情况。
自动化决策:确保遵循GDPR第22条规定,实施自动化决策。
评估:对AI模型进行评估,如验证其在设计与开发阶段是否符合预期,在部署阶段是否满足要求等。
避免算法歧视:应知悉其使用的数据或算法设计缺陷可能使AI应用产生歧视风险,因此须采取可行的举措,避免扩大歧视造成的影响。
除该《指南》外,CNIL同时发布有:
以普通公众为受众的AI相关书籍、资源、示例介绍与《人工智能小型词汇表》等;
以人工智能从业者为受众的《人工智能系统自我评估指南》;
以人工智能专家为受众的AI技术介绍、AI领域公认专家言论与AI相关前沿演讲等。
详细内容,请点击“阅读原文”了解。
本期编辑:陈瑊 陈煜烺 林婉琪