_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

合规
| 合规与政府管制

支付清算 监察稽核 机构合规 网络套路贷 稽察稽核 矿业法务 纪检监察 行政合规 巡视巡察 党风廉政 医药反腐 行政监督 党内法规

| 企业合规

消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规

| 网络安全与隐私保护

网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规

| 法证会计与反舞弊

法证会计 涉案企业合规 调查及法证会计 舞弊审计 金融科技合规 司法会计 价格舞弊

| 反洗钱与制裁合规

反洗钱知识系列宣传 经济制裁和出口管制 反洗钱中心

| 反垄断中心

反垄断合规 竞争法(反不正当竞争、反垄断)

| 企业合规管理咨询

上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 信用规制 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对

| 合规中心

征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 合规科技 劳务派遣合规 采购合规 财务风控 招投标合规

| 转创全球企业合规

国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球企业合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规 合规与诚信

| 合规律师事务所

企业法务 涉外企业合规 合同内控 反腐败合规 不正当接触 泄露公司机密罪 合规法务 刑事合规 贪污贿赂 科技法律 信披违规 企业刑事风险防控及刑事合规 法律风险管理 洗钱犯罪

| 金融安全与合规

证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 信用合规 股权合规 内保外贷合规 外汇合规 保理合规

| 海关及全球贸易合规

海关及贸易合规 农食产品技术贸易 国际经贸预警 国际商事认证 出口管制 海关税收征管 走私罚罪研究 出口退税行政诉讼 跨境电商合规 AEO海关认证 出口骗税 外贸企业合规 全球贸易规则

| ESG合规
| 反欺诈中心

反欺诈实践 反欺诈反冒领专栏 欺诈调查

| 合规中心(产业)

医药合规 环保合规 医美合规 生态环境合规专题 教育合规

| 知识产权合规专题

知识产权合规 知产纠纷调解案例 知识产权确权

| 私募股权基金合规

私募投资基金 融资合规 基金合规

| 欧盟新指南对生成式人工智能数据合规的启示当前您所在的位置:首页 > 合规 > 转创全球企业合规 > 全球企业合规事务

2024年6月,欧盟数据保护监管机构(EDPS)发布了关于生成式人工智能数据合规的指南。(以下简称《指南》)(Generative AI and the EUDPR. First EDPS Orientations for ensuring data protection compliance when using Generative AI systems.)该《指南》的发布,是为了指导欧盟机构(Union institutions, bodies, offices and agencies,本文统称为“欧盟机构”)在生成式人工智能应用方面遵守2018/1725条例的规定。(2018/1725条例为《关于欧盟机构、机关、办公室和代理处在处理个人数据时保护自然人以及此类数据自由流动的条例》,Regulation 2018/1725 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data)

虽然本次《指南》主要针对的对象是欧盟政府机构(EUIs),但它作为欧盟第一份关于生成式人工智能数据合规的指南,对于一般主体的生成式人工智能数据合规也具有指导意义。实际上,2018/1725条例与《通用数据保护条例》(GDPR)密切相关。GDPR普遍适用于各类处理个人数据的主体,而2018/1725条例更侧重于对欧盟机构处理个人信息的规范。与此类似的是,我国《个人信息保护法》也有国家机关处理个人信息的专门规定,要求国家机关处理个人信息的活动,适用《个人信息保护法》中的一般规定和特别规定。通常而言,政府机构与非政府机构在个人信息保护义务上并无本质上的差异,而在具体细节上,政府机构可能承担更高的个人信息保护义务。因此,无论是政府机构还是非政府机构,都可以从《指南》中获得指引或者启示。

同时,对比《指南》及我国生成式人工智能的专门规定——《生成式人工智能服务管理暂行办法》,能发现很多一致性之处,结合EDPS对生成式人工智能服务数据合规的理解,也可以丰富我们适用《生成式人工智能服务管理暂行办法》的合规思路。

一、《指南》的主要内容及浓缩要义

《指南》以问答的形式给出生成式人工智能数据合规的指引,涉及14个问题(附录如下)。由于《指南》主要以EUIs为对象,后文将这14个问题进行归纳,总结出能够适用于一般主体的合规指引,通过对比适用能够获得生成式人工智能数据合规的启示。概括而言,主要包括概念(即适用范围)、主要义务、基本原则、自动化决策、用户权利和数据安全六个方面。从《指南》给出的回应来看,其基本遵守了欧盟数据保护法规的一般性要求,从适用生成式人工智能的角度给出了理解。《指南》并未提出新的数据合规工具,而是认为生成式人工智能系统加剧了数据合规风险,以此为基础就生成式人工智能数据合规的常见问题作出了回答。

  1. 什么是生成式人工智能?

  2. EUIs可以使用生成式人工智能吗?

  3. 如何确定生成式人工智能中是否处理了个人信息?

  4. 数据保护官在开发或部署生成式人工智能系统中的作用是什么?

  5. EUI想要开发或部署生成式人工智能时应当如何开展数据保护影响评估(DPIA)?

  6. 设计、开发和验证生成式人工智能系统时,如何确定个人信息处理的合法性基础?

  7. 使用生成式人工智能系统时如何保证数据最小化原则?

  8. 生成式人工智能系统是否遵从数据准确性原则?

  9. EUIs使用生成式人工智能系统时如何履行向个人的告知义务?

  10. 2018/1725条例第24条关于自动化决策的含义是什么?

  11. 使用生成式人工智能系统时如何保证公平性并无偏见?

  12. 如何保证个人权利行使?

  13. 数据安全问题。

  14. 更多其他问题。

二、生成式人工智能的概念以及个人信息处理的场景

人工智能的概念是构建和适用人工智能立法的基础,准确理解概念是开展合规的前提条件。《指南》中明确,生成式人工智能属于人工智能的一种,其通过机器学习来生成丰富的内容,包括文本、图片或者音频(《指南》中只提到音频,但以sora等为例,视频生成也应包含在内)。同时,《指南》区分了基础模型(foundation model)、大语言模型(large language model)等细分概念,这对于不同服务提供者确定应适用的法律规定具有很好的帮助。欧盟《人工智能法》中定义了“人工智能系统”(AI system),简单来说就是指能够接收信息并自动输出结果的机器系统。我国的《生成式人工智能服务管理暂行办法》中明确,生成式人工智能服务是指利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务。综合而言,相较于传统的网络信息服务,生成式人工智能侧重于机器自动产生,而在生成过程中没有人类的干预。

《指南》认为,生成式人工智能服务的全生命周期中都可能涉及个人信息处理活动,包括训练数据集创建阶段、模型训练阶段、使用阶段等,增加新的信息或者运行过程中输入输出等都可能涉及个人信息处理活动。生成式人工智能的开发者或者提供者可能声称其系统不涉及个人信息,比如使用了匿名化数据或者合成数据,但是需要特别注意其是否采取了相关的步骤及措施,以保证模型中没有处理个人信息。《指南》假设一个例子,如虚构的欧盟机构EUI-X购买了一项产品,可以自动识别和转录语音,其中运用了生成式人工智能的语音识别和翻译模型,该产品将用于会议录音,因此需要处理个人信息,相应地应当遵守2018/1725条例的规定。

《指南》特别强调了数据爬取技术(web scraping techniques),通过数据爬取技术获得的个人信息,可能导致数据主体失去对其个人信息的控制,个人信息处理的目的、方式等也会发生改变,这是违反欧盟关于个人数据保护法规的规定的。这一点在中国法框架下也是同样适用的。根据《个人信息保护法》第十四条和第二十七条规定,个人信息处理者仅可在合理范围内处理个人自行公开或者其他已经合法公开的个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意(基于个人同意的个人信息处理场景);《网络数据安全管理条例(征求意见稿)》第十七条第二款明确,自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施;《网络反不正当竞争行为暂行规定》第十九条规定,经营者不得利用技术手段,非法获取、使用其他经营者合法持有的数据,妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行,扰乱市场公平竞争秩序。

三、生成式人工智能处理个人信息的主要义务

生成式人工智能服务提供者需要借助有效的监管交流手段,确保个人信息处理活动合规且风险可控。2018/1725条例和GDPR的规定,符合条件的个人信息处理者应当设置个人信息保护负责人(DPO,Data Protection Officer),而作为公共机构的EUIs,设置DPO是一项强制义务。我国《个人信息保护法》明确,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。实际上,DPO只是一项形式要求,其所承担的责任是我们所需要关注的。《指南》指出,DPO主要负责内部合规管控、开展影响评估(DPIA)并进行监管交流。无论企业是否设置DPO,内部个人信息合规都是应有的义务。其中,《指南》中提到的DPIA值得我们注意,这在2018/1725条例和GDPR中都有规定,涉及高风险应用的处理活动应当提前开展影响评估。我国《个人信息保护法》中同样规定了个人信息保护影响评估制度(PIA,Privacy Impact Assessment),要求开展相关高风险个人信息处理活动之前完成个人信息保护影响评估,且个人信息保护影响评估报告和处理情况记录应当至少保存三年。

通过生成式人工智能处理个人信息的,EUI应当持续在全生命周期采取措施,搭建内部沟通协调机制,覆盖DPO、法务部门、技术部门等,密切进行沟通交流,共同促进可信赖的生成式人工智能和良好的数据治理水平。EUI应当识别并管理生成式人工智能服务中的风险,如通过DPIA进行风险识别并缓解风险,但如果数据控制者不能够确认风险能否被有效控制,则应当与数据保护机构进行磋商,以寻求相应的解决方案。

设计、开发和验证生成式人工智能系统过程中,确保个人信息处理具备合法性基础十分重要。生成式人工智能系统可能从公开数据源中获取个人信息,也有可能在用户交互中,通过用户输入-输出信息获取个人信息。我国《生成式人工智能服务管理暂行办法》中明确,生成式人工智能服务提供者开展预训练、优化训练等训练数据处理活动,涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形。(第七条第三项)《指南》指出,以“同意”为合法性基础的,需要个人明确、自愿、具体、知情、清晰地作出同意,符合有关“同意”作为合法性基础的所有条件。如果不能保证个人信息处理的合法性基础,生成式人工智能系统需要删除相关数据。《指南》指出,如果以“法定职责”为合法性基础,则其相关法律必须为欧盟法律。我国亦可以将“法定职责”作为合法性基础,相应地也应以中国法律作为法律依据,而实践中涉及法定职责的情形主要指向社会公共利益等范畴,如反恐怖主义、反洗钱、反电信诈骗等。《指南》还提到以“数据控制者合法利益”作为合法性基础,而我国《个人信息保护法》并未将个人信息处理者自身的合法利益作为合法性基础,因此其参考性不大。值得注意的是,《指南》还提到了全球隐私大会(GPA)关于生成式人工智能的一份重要决议《Resolution on Generative Artificial Intelligence Systems》(2023年11月,第45届全球隐私大会)。该决议正是由EDPS提出,要求生成式人工智能系统处理个人信息必须具备合法性基础——即使相关个人信息可以通过公开渠道获取,开发者在系统上线前就应确保其合法、安全。生成式人工智能的开发者、提供者和运营者应当在一开始就确定个人信息处理的合法性基础,其中几种情形都可能涉及个人信息:(1)因开发生成式人工智能系统而收集数据;(2)因开发或改善生成式人工智能系统而训练、验证和测试数据集;(3)通过生成式人工智能系统进行用户交互;(4)生成式人工智能系统产生的内容。

《指南》特别强调了生成式人工智能系统数据跨境流动应当遵守欧盟有关法律规定,其中明确使用云服务的,也会落入数据出境的范畴。一般而言,欧盟对数据出境管理较为严格,需要满足充分性认定条件或者具备其他保障性措施(如SCCs, BCRs等)。我国《生成式人工智能服务管理暂行办法》中没有明确规定生成式人工智能服务数据出境的情形,但其明确,鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定(第六条第一款)。同时,《暂行办法》还有阻断要求,对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置(第二十条),这其中应包含数据入境的情形。虽然《暂行办法》没有明确数据出境的场景要求,但是我们理解,《网络安全法》《数据安全法》《个人信息保护法》以及相关配套规定等跨境管理法律规定,也应该适用于生成式人工智能服务的数据出境场景,达到相应条件的应当履行相关申报义务。

四、生成式人工智能处理个人信息的原则

个人信息保护问题产生于批量化、大规模处理个人信息的时代背景,个人信息处理活动十分频繁、普遍,场景十分丰富,因此在构建个人信息保护规则的同时,也非常有必要确定个人信息保护的基本原则,从而能够在规则不能适用或者不能准确适用时,通过基本原则来确定个人信息保护的具体要求。自经济与合作发展组织(OECD)于1980年提出隐私保护八项原则以来,个人信息保护的原则不断固化和演化,成为个人信息保护的重要内容之一。我国《个人信息保护法》在总体上确定了“合法、正当、必要和诚信原则”,同时还可进一步细化为最小必要原则、公开透明原则、质量原则等,并广泛应用于个人信息保护活动之中。然而,生成式人工智能系统适用相关原则时,却产生了实际的困难。对此,《指南》分别解释了关于最小化原则、准确性原则和透明性原则在生成式人工智能系统中的适用逻辑。

1. 最小化原则(principle of data minimisation)

直观理解,数据最小化原则与“数据喂养”的人工智能及生成式人工智能具有天然的矛盾。然而,《指南》指出了这样的一个误区,即数据最小化原则无法在人工智能领域应用。《指南》提出这个误区,并非鼓励生成式人工智能系统大量处理个人数据而忽视最小化原则。相反,《指南》认为数据最小化原则并不会影响生成式人工智能系统。大量处理个人数据并不意味着生成式人工智能可以变得更好,应当强调数据集的质量而非数量,同时对数据训练进行监督并进行定期审计。

《指南》援引2018/1725条例第4条(1)(c)明确,数据最小化原则是指处理的个人数据是充分的、相关的且限于处理目的以内。这项义务应当涵盖生成式人工智能的全生命周期,包括测试、接受和生产阶段。生成式人工智能不应随意收集个人信息,《指南》要求EUIs必须确保其工作人员了解不同的技术手段,以实现最小化原则。《指南》认为生成式人工智能系统应当使用高质量的数据集,处理必要的个人信息以满足处理目的。这些数据集中的数据应当仔细筛选并进行合适地标注,需要有妥当的数据治理机制来管理这些数据集,如对数据集进行定期、系统的审查。EUIs应当备好关于数据集和系统的文件,以说明其结构、维护和使用目的等信息。如果由第三方提供或运营生成式人工智能系统,EUIs应当评估其是否符合最小化原则。我国《生成式人工智能服务管理暂行办法》也体现了最小必要原则,其第十一条中规定,提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。

2. 准确性原则(data accuracy principle)

生成式人工智能的生成内容的准确性本身就是一个应用性问题,是评价生成式人工智能能力水平的重要指标之一。《指南》援引2018/1725条例第4条(1)(d)明确,准确性原则是指数据应当准确、最新,数据控制者应当删除或者更新不准确的数据。在生成式人工智能系统开发和使用的全生命周期中,都应当坚持数据准确性原则。对此,生成式人工智能系统应当采取必要措施来践行“设计即保护”理念(data protection by design),以确保全生命周期过程中的数据准确性。如果使用第三方提供的生成式人工智能系统或者通过第三方进行数据集训练、测试和验证,EUIs应当通过合同约定等书面文件形式,确保数据准确性原则的落实。其中包括数据收集、准备(如数据更新、标注、清洗、改进和汇集等)阶段,都有可能影响数据的准确性。不过,《指南》承认即便采取相应的措施保证数据的准确性,但是生成式人工智能系统仍然有可能产生不准确的结果,影响个人基本权利。我国《生成式人工智能服务管理暂行办法》中也规定了数据质量要求,生成式人工智能服务提供者开展预训练、优化训练等训练数据处理活动,需采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性。(第七条第四项)

3. 透明性原则(principle of transparency)

透明性原则是个人信息保护基本原则之一,不过《指南》并未直接引用透明性原则,而是提出了一个具体的问题,生成式人工智能系统如何向用户告知个人信息处理活动?在生成式人工智能服务中,如何取得同意并保证同意的有效性,是一个新的实践问题。一般而言,生成式人工智能服务提供者多采用隐私政策/用户协议的方式予以规定,不过用户在使用过程中,基于输入-输出的交互行为,可能产生新的个人信息,此类信息会被生成式人工智能系统所收集并会用于模型的进一步完善,这种处理行为是否能够在隐私政策/用户协议中规定清晰,并符合个人信息处理的目的、范围和方式,是广泛讨论的话题。《指南》认为适当的信息和透明度政策可以较少个人信息风险。我国《生成式人工智能服务管理暂行办法》中,除了对同意作出规定(第七条第三项),还在透明度方面要求,生成式人工智能服务提供者应当明确并公开其服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术,采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。(第十条)《指南》在该项中举出的示例,也提到了未成年人个人信息处理问题,示例中的聊天机器人(chatbox)直接拒绝了未成年人使用其服务。实际上,处理未成年人个人信息需要承担更高的合规义务,如我国《个人信息保护法》将不满十四周岁未成年人个人信息纳入敏感个人信息保护范围,《未成年人网络保护条例》以专章的形式规定了未成年人个人信息保护要求。

五、关于自动化决策

生成式人工智能区别与决策式人工智能,但生成式人工智能系统同样涉及自动化决策问题。自动化决策问题在数据法中受到广泛关注,GDPR第22条即对自动化决策做出了专门规定,2018/1725条例第24条也做出了专门规定。我国《电子商务法》《个人信息保护法》等均对自动化决策问题作出了规定。自动化决策作为人工智能技术的一种,具有其价值和应用,但过度依赖自动化决策可能对个人权益造成损害。欧盟要求涉及个人重大权益的领域,不能完全使用自动化决策技术。我国则要求通过自动化决策方式处理个人信息的(信息推送、商业营销等),应当同时提供不针对个人特征的选项,或者向个人提供便捷的拒绝方式,而通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定(《个人信息保护法》第二十四条)。

《指南》指出,使用生成式人工智能系统并不必然意味着有自动化决策,但是有一些生成式人工智能系统仍然会涉及自动化决策,如一些自动化手段可能涉及到用户画像或者个人评估。如果生成式人工智能系统涉及自动化决策,则需要遵守欧盟有关自动化决策的规定,对于EUIs来说,应当符合2018/1725条例的要求。《指南》要求使用生成式人工智能系统的EUIs应当认识到自动化决策的特有风险和潜在危害,特别是涉及到弱势群体及未成年人的情况。如果在生成式人工智能系统中引入自动化决策方式,可能导致不公平、不道德或者歧视性的决定,EUIs必须慎重地考虑引入的必要性及合法性。

《指南》在该项的示例中再次强调了数据影响评估的重要性。通过影响评估,可以识别、分析在生成式人工智能系统中引入自动化决策的风险,以及评估是否已经采取适当措施保障个人权益。《指南》甚至更为保守地表示,在招聘场景下,EUIs可以考虑相对简单的技术方式,比如自动筛查工作年限、工作经验和教育经历的信息化工具,而非自动化决策工具。

《指南》进一步提出,使用生成式人工智能应当避免偏见,这实际上是对自动化决策应用保持警惕态度的原因之一。人工智能会放大人类的偏见,并有可能产生新的偏见,导致新的道德挑战以及法律合规风险。偏见可能产生于生成式人工智能的每个阶段,包括数据集训练、算法训练,以及开发、使用阶段。生成式人工智能的偏见会对个人基本权利造成重大影响。对此,《指南》提出了两个方面的合规措施。一方面,应当确保在创建和训练模型时,训练集中的数据应当优质、公平,能够反映真实世界而不存在偏见;另一方面,应当采取审计和监控机制,能够持续对生成式人工智能系统进行监督,确保其不产生偏见。我国《生成式人工智能服务管理暂行办法》中同样规定,提供和使用生成式人工智能服务,应当在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视。(第四条第二项) 

六、如何保障用户权利

作为新型个体权益,个人信息主体的相关权利在个人信息保护中本身就是新题和难题,在实践中还存在一定的争议,仍需要更细致、深入的指导。而这一问题在生成式人工智能服务中变得更为困难。《指南》承认,生成式人工智能系统对个人权利行使带来了特殊挑战,包括访问权、更正权、删除权和拒绝处理权。《指南》指出,最常见的困难是在生成式人工智能系统中识别和访问个人信息。生成式人工智能系统通常采用“词嵌入”(word embedding)的方式形成“数值向量”(numerical vectors)来存储单词,而非字符串的方式,这导致访问、更新或删除这些数据十分困难。同时,删除权等权利行使也可能会影响生成式人工智能系统的有效性。

对此,《指南》希望能够对个人信息处理保留可追溯的记录,同时管理数据集以保证其可以对使用情况进行追溯,这样可以支持个人信息权利的行使。同时,数据最小化技术也可以帮助降低风险,处理越少的个人信息,意味着越少面对个人信息权利的主张。

我国《生成式人工智能服务管理暂行办法》中明确,提供者应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。(第十一条第二款)从立法技术层面来看,本款更倾向于表现为重申性、强调性规定,并未指出生成式人工智能服务场景下个人信息权利行使的具体要求,后续应有待于在个人信息权利行使的一般指引基础上,进一步明确生成式人工智能服务中的个人信息权利行使及响应的要求。

七、如何保障数据安全

《指南》指出,使用生成式人工智能系统有可能增加现有的安全风险或者形成新的安全风险。生成式人工智能系统具有特定的安全风险,主要来源于不可靠的数据训练、系统的复杂性、不透明性、测试不当、脆弱性等。对此,《指南》要求EUIs采取与风险水平相适应的安全措施,如在传统安全措施的基础上,引入一些特定的安全措施,应对模型逆向攻击(model inversion attacks)、提示词注入攻击(prompt injection,奶奶漏洞)、越狱攻击(jailbreaks)等安全漏洞,持续监控和评估生成式人工智能系统。具体而言,《指南》建议生成式人工智能系统使用可信来源的数据集,如内部数据集等。同时,还应当组织人员培训,以确保工作人员能够识别、处理生成式人工智能系统相关风险,掌握先进知识和技术来应对攻击方式发生的变化及其产生的新的安全风险。我国《生成式人工智能服务管理暂行办法》中并未规定具体的数据安全义务,但明确了生成式人工智能服务提供者开展预训练、优化训练等训练数据处理活动,应当遵守包括《数据安全法》在内的相关法律规定。(第七条第四项)

结语

《指南》更倾向于在方法论层面阐述生成式人工智能系统数据合规的方法论,而并非给出具体、直接可执行的操作指引。结合实践来看,经过数年的发展,数据合规工具已经不断丰富和成熟,生成式人工智能数据合规可以调用现有的工具,而方法论的意义在于,当数据合规工具与生成式人工智能运行模式和特点发生冲突时,可以指导实践决策,以选择合适的工具以及正确地使用工具。值得注意的是,今年2月,中国香港私隐公署完成了对28家机构的人工智能合规检查,其主要依据是中国香港地区的《个人资料(私隐)条例》,将人工智能合规问题转化为数据合规问题,并侧重于人工智能应用给出了方向性合规指引。

近期,中国香港私隐公署又发布了《人工智能(AI):个人资料保障模范框架》,进一步提出国际认可和切实可行的建议以及最佳行业实践,以帮助相关主体在引入、使用人工智能系统,包括生成式人工智能系统时,能够遵循《个人资料(私隐)条例》的规定。其中,提出四个方面建议:

1.制定人工智能治理策略及组织架构;

2.开展风险评估及人工监督;

3.定制人工智能模型和管理人工智能系统;

4.促进利益相关方的沟通交流。

我们理解,从欧盟以及中国香港关于生成式人工智能数据合规的思路来看,很大程度上仍将依赖于既有的数据合规方式,但对于特定工具的使用更为关注,如欧盟反复提及的影响评估,这在未来人工智能治理中可能占据更大的比重。对于我国来说,个人信息保护影响评估同样是重要的个人信息保护合规工具之一,这在生成式人工智能数据合规中的功能目前还没有看到明显的体现,相信未来应会发挥更大的作用。


转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
法证会计
国际财务管理
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
税律
财税中心
转创税务
华税律所
税务师事务所
IPO财税
国际税收
涉税服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用中心
法信中心
信用评级
价值办公室
联合资信
国际信用
安企中心
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
独立董事
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送