EDPB竭力维护各国数据主管部门在人工智能法下的监管主导权
2024年7月16日,欧洲数据保护委员会(EDPB)发布了一份关于数据保护主管机构(DPA)在《欧洲人工智能法》框架中角色的声明。根据EDPB的说法,DPA在处理人工智能对基本权利的影响方面已经拥有经验和专业知识,特别是个人数据保护权,因此在许多情况下应被指定为市场监督主管机构(MSA)。这将确保不同监管机构之间更好的协调,增强所有利益相关者的法律合规预期,并加强对《欧洲人工智能法》(本文也简称《人工智能法》)和欧盟数据保护法的监督和执行。
根据《欧洲人工智能法》,“市场监管主管机构”(Market Surveillance Authorities,MSA)将特别负责监督人工智能系统的合规性,确保它们在投放市场和使用过程中符合欧盟的相关规定。成员国应在2025年8月2日之前在国家层面任命MSA,以负责《人工智能法案》的实施。
为了论证EDPB自身的观点,EDPB从《欧洲人工智能法》中找寻了一些证据。EDPB指出,《欧洲人工智能法》旨在改善内部市场的运作并支持创新,同时促进以人为本和值得信赖的AI的使用,并确保《欧盟基本权利宪章》(以下简称“宪章”)所规定的基本权利的健康、安全和高水平保护,包括隐私权和个人数据保护权(分别是宪章的第7条和第8条)。从这个角度来看,《欧洲人工智能法》和欧盟数据保护立法(特别是GDPR、EUDPR和LED,以及电子隐私指令)原则上需要被视为互补和相互加强的工具。这必须在法律目标和提供的保护方面进行考虑,包括受影响人员的权利(这些人员在GDPR下也可能被称为“数据主体”)。此外,要特别强调,欧盟数据保护法完全适用于AI系统生命周期中涉及的个人数据处理,正如人工智能法案第2(7)条明确承认的(见《欧洲人工智能法》序言9和10)。
EDPB认为,个人数据的处理(这通常与非个人数据严格交织在一起)沿着AI系统的生命周期——特别是那些对基本权利构成高风险的AI系统的生命周期——显然是(并将继续是)人工智能法案第3(1)条所定义的AI技术的核心要素。因此,国家数据保护当局(DPA)已经在这些技术发展方面活跃起来,并且EDPB已经密切跟踪了人工智能法案的立法进程,并已经开始审查其与欧盟数据保护法的多方面互动。
通过这份声明,EDPB希望进一步强调由于成员国在与个人数据保护密切相关的领域指定主管机构而可能出现的监督和协调问题。应该考虑到,在国家层面,《人工智能法》的执行框架将需要在《人工智能法》生效后的一年内绕一个或多个已建立或指定的“国家主管当局”(以下简称“NCAs”)构建,特别是市场监管当局(以下简称“MSAs”),它们在彼此之间以及与DPA和其他保护基本权利的当局之间进行工作联系。EDPB认识到一些成员国已经决定任命MSAs,因此,这份声明中的一些建议在这些情况下可能不完全相关。
如EDPB和EDPS的联合意见中呼吁,在这种新的执行框架中,应承认DPA在国家层面的重要作用,特别是由于他们在制定指南和最佳实践以及在国家和国际层面上对与个人数据处理相关的AI问题执行行动方面积累的经验和专业知识。DPA已被证明并且正在证明是通往安全、以权利为导向和安全部署AI系统链中不可或缺的参与者。
此外,EDPB声称,将DPA指定为MSA将使AI价值链中的所有利益相关者受益,通过提供单一联系点,可促进受《人工智能法》和GDPR关注的不同监管机构之间的工作联系。
鉴于《人工智能法》的相关规定,EDPB认为以下几点特别重要:
- DPA除了在AI技术方面的现有专业知识外,还擅长许多《人工智能法》第70(3)条提到的领域,如数据计算和数据安全,以及评估新技术对基本权利构成的风险;
- 由于DPA的完全独立性,他们可以提供《人工智能法》第70(1)条要求的有效独立监督AI系统;
- 根据《人工智能法》第74(8)条,DPA - 或其他具有相同独立性要求的当局(根据指令(EU)2016/680第41至44条的条件) - 必须被指定为用于执法目的、边境管理和司法及民主的高风险AI系统以及人工智能法案附件III第1点所列的高风险AI系统的MSA,以及附件III第6、7和8点所列的关键民主秩序要素的高风险AI系统;
- 从体系的角度来看,当欧盟机构、办公室或代理机构属于《人工智能法案》的适用范围时,根据《人工智能法》第70(9)条的规定,欧洲数据保护监督官(EDPS)应作为它们的主管监督机构,这一点尤其有价值。
此外,根据《人工智能法》第26(9)条、第27(4)条以及附件VIII第C节第5点的规定,预计数据保护影响评估与基本权利影响评估之间应存在密切的关系。
EDPB发出的建议
EDPB建议成员国应将数据保护机构(DPA)指定为《人工智能法》第74(8)条中提到的高风险人工智能系统的市场监管机构(MSA)。此外,EDPB建议,在考虑国家DPA的意见的基础上,成员国考虑将DPA任命为附件III中列出的其余高风险人工智能系统的MSA,特别是当这些高风险人工智能系统位于可能影响自然人权利和自由的领域,涉及个人数据处理时,除非这些领域由《人工智能法》要求的强制性任命所涵盖(例如金融部门)。
考虑到上述情况,根据《人工智能法》第70(2)条的规定,单一联系点应为市场监管机构(MSA),因此,数据保护机构(DPA)在担任MSA时,应被指定为公众和成员国及欧盟层面的对应方的单一联系点。这不会损害成员国代表在欧洲人工智能委员会中的代表权,这些代表可能不同,正如《人工智能法案》第65(4)(b)条所指明的。这也将有助于实现不同领域之间的统一、一致且有效的方法。
从更广泛的角度来看,需要在MSA和其他负责监督AI系统的实体之间进行良好的合作,包括DPA,并且必须根据人工智能法案第74(10)条提供明确的程序。这些程序应根据《欧盟条约》第4(3)条提供的真诚合作原则建立和发展,正如欧洲法院在Bundeskartellamt案中所强调的。这样,可以防止不同监管当局和机构做出的决定之间的不一致性,并在数字生态系统中利用协同作用,采取连贯、有效和互补的执行行动,以造福个人和法律确定性。
尽管在监督人工智能系统可以由数据保护机构(DPA)已经具备的法律和技术技能来完成,但为DPA赋予的新任务和权力,包括作为市场监管机构(MSA)的角色,意味着需要成员国提供适当的额外人力和财政资源。
到目前为止,关于国家数据保护机构(DPA)与市场监管机构(MSA)在《人工智能法》下的关系所做的考虑,同样适用于AI办公室对通用人工智能模型进行的监督活动。这些模型也可能经过个人数据的训练,其输出可能影响个人的隐私和数据保护权利。在这方面,《人工智能法》目前尚未在AI办公室与DPA/EDPB之间建立清晰的协调机制。
EDPB强调,每当通用人工智能模型或系统涉及个人数据的处理时,它可能会像其他任何人工智能系统一样,根据适用的情况,属于相关国家数据保护机构(DPA)的监管范围(也根据GDPR第七章进行合作)以及欧洲数据保护监督官(EDPS)的监管范围(当它属于EUDPR时)。因此,在监督这些系统时,一旦涉及到属于欧盟数据保护法范围内的问题,国家DPA和EDPS必须适当参与。这符合《宪章》第8条和《欧盟运作条约》第16条的要求,包括对《人工智能法》第56条提到的实践守则进行评估的过程。
因此,EDPB呼吁欧洲委员会和作为其一部分的欧盟人工智能办公室注意与国家DPA和EDPB合作的必要性,并与它们协商建立适当的相互合作,以最有效的方式并完全遵守欧洲法院所回顾的真诚合作原则。
欧洲数据保护委员会主席
(Anu Talus)
来源:EDPB官网,清华大学智能法治研究院整理