EDPB：人工智能模型个人数据保护的意见（CN）.docx

EDPB关于AI模型的意见：GDPR基本原则支持负责任的AI

布鲁塞尔，12月18日-欧洲数据保护委员会（EDPB）采纳了一项关于使用个人数据开发和部署人工智能（AI）模型的意见。这项意见审视了

1）何时以及如何将AI模型视为匿名

2）是否可以以及如何将合法利益用作开发或使用AI模型的法律依据，

3）如果AI模型是使用非法处理的个人数据开发的，会发生什么。

它还考虑了第一方（译者注：直接收集）和第三方（译者注：间接收集）数据的使用。

这项意见是由爱尔兰数据保护局（DPA）请求发出的，旨在寻求全欧洲范围内的监管协调。为了收集这项涉及快速发展技术对社会产生重要影响的意见，EDPB组织了一次利益相关者活动，并与欧盟AI办公室进行了交流。

EDPB主席Talus表示：“AI技术可能为不同行业和生活领域带来许多机会和好处。我们需要确保这些创新在道德、安全的方式下进行，并且使每个人都受益。EDPB希望通过确保个人数据得到保护，并充分尊重通用数据保护条例（GDPR），来支持负责任的AI创新。”

关于匿名性，意见指出，是否一个AI模型是匿名的，应由DPA逐案评估。要使模型匿名，应该非常不可能（1）直接或间接识别出用于创建模型的个人数据的个体，以及（2）通过查询从模型中提取此类个人数据。意见提供了一个非规定性和非穷尽性的方法列表，以证明匿名性。

关于合法利益，意见提供了一般性考虑，DPA在评估合法利益是否是处理个人数据用于开发和部署AI模型的适当法律依据时应该考虑这些因素。

一个三步测试有助于评估合法利益作为法律依据的使用。

EDPB给出了一个对话Agent协助用户的例子，以及使用AI改善网络安全的例子。这些服务可以为个人带来好处，并且可以依赖合法利益作为法律依据，但前提是必须证明处理是严格必要的，并且尊重权利平衡。

意见还包括一系列标准，以帮助DPA评估个人是否合理预期他们的个人数据的某些用途。这些标准包括：个人数据是否公开可用，个人与控制者之间的关系性质，服务的性质，收集个人数据的背景，数据收集的来源，模型的潜在进一步用途，以及个人是否实际上知道他们的个人数据在线。

如果平衡测试显示，由于对个人产生负面影响，处理不应该进行，缓解措施可能会限制这种负面影响。意见包括了一系列非穷尽性的缓解措施示例，这些措施可以是技术性的，或者使个人更容易行使其权利或增加透明度。

最后，如果AI模型是使用非法处理的个人数据开发的，这可能会影响其部署的合法性，除非模型已经适当地匿名化。

考虑到爱尔兰DPA的请求范围，AI模型的巨大多样性及其快速发展，意见旨在为进行逐案分析提供各种元素的指导。

此外，EDPB目前正在制定涵盖更具体问题（如网络抓取）的指南。

关于人工智能模型背景下处理个人数据的些数据保护方面的意见（28/2024）

采纳日期：2024年12月17日

执行摘要

人工智能技术在广泛的行业和社会活动中创造了许多机会和好处。

GDPR通过保护数据进而保护基本人权，并促进其他欧盟基本权利，包括思想、表达和信息自由的权利，受教育权或经营自由的权利。通过这种方式，GDPR是一个鼓励负责任创新的法律框架。

在此背景下，考虑到这些技术引起的数据保护问题，爱尔兰监管机构根据GDPR第64条第2款请求EDPB就一般适用的事项发表意见。请求涉及在人工智能（“AI”）模型的开发和部署阶段处理个人数据。更详细地说，请求询问了：

（1）何时以及如何可以将AI模型视为“匿名”的；

（2）控制者如何证明在开发阶段将合法利益作为法律依据的妥当性；

（3）控制者如何证明在使用阶段将合法利益作为法律依据的妥当性；

（4）在AI模型的开发阶段非法处理个人数据对AI模型后续处理或操作的后果是什么。

关于第一个问题，意见提到，应该由监管机构（“SA”或“SAs”）逐案评估AI模型的匿名性声明，因为EDPB认为，用个人数据训练的AI模型在所有情况下都不能被视为匿名的。要使AI模型被视为匿名的，必须同时满足：

（1）直接（包括概率性）提取用于开发模型的个人数据的可能性，以及

（2）从查询中有意或无意获取此类个人数据的可能性都是微不足道的，考虑到控制者或其他人“合理可能使用的所有手段”。

为了进行评估，SAs应该审查控制者提供的文档，以证明模型的匿名性。在这方面，意见提供了一个非规定性和非穷尽性的方法列表，这些方法可能被控制者用于证明匿名性，并因此被SAs在评估控制者匿名性声明时考虑。这包括，例如，控制者在开发阶段采取的方法，以防止或限制用于训练的个人数据的收集，减少其可识别性，防止其提取或提供关于抵抗攻击的必威体育精装版技术保证。

关于第二和第三个问题，意见为SAs提供了一般考虑，以考虑在评估控制者是否可以依赖合法利益作为开发和部署AI模型背景下的处理活动的适当法律基础时。

意见回顾说，GDPR提供的法