人工智能时代的 GDPR 合规性

了解人工智能与 GDPR 的交叉点

从简单的基于规则的模型到复杂的机器学习算法，人工智能系统都依赖于包括个人信息在内的大量数据进行训练和改进。虽然不同的法律框架对各种类型的数据进行管理，但 GDPR 的具体目标是保护个人数据并确保其自由流动。作为一项全面的数据保护法，GDPR 适用于全球处理欧盟公民个人数据的组织。

GDPR 和人工智能在处理个人数据方面有着共同点。然而，某些人工智能系统，特别是那些基于机器学习的系统，其复杂性和不透明性给确保和证明遵守 GDPR 带来了挑战。在人工智能处理方面，必须坚持 GDPR 的合法、公平、透明、数据最小化、准确、目的和存储限制、完整性、保密性和问责制等原则。此外，GDPR 还赋予个人一些权利，如获取信息、纠正、删除、限制处理、数据可移植性、反对以及与自动决策和特征分析相关的权利。

透明度和个人自动决策

人工智能系统的一个重大挑战在于其 "黑箱 "性质，这阻碍了我们对决策如何做出以及这些系统的潜在复杂性和自主性的理解。这种缺乏透明度的情况与 GDPR 的透明度原则相冲突。尽管提供有关人工智能系统处理个人数据的清晰易懂的信息似乎令人生畏，但企业必须优先努力应对这一挑战。

GDPR 规定，个人有权不接受仅基于自动处理（包括剖析）而对其产生重大影响的决定。在涉及特定类别的个人数据时，这项权利变得更加严格。无论是基于个人提供的数据，还是从观察或推断数据得出的数据，自动决策都必须是可预测的，并且符合法律规定。各组织必须确保其决策不会导致歧视性影响或违反平等待遇原则。

《人工智能法》：欧盟的人工智能监管框架 欧盟

为了应对人工智能带来的挑战并促进负责任的使用，欧盟提出了《人工智能法》，作为一个全面的监管框架。这项立法采用基于风险的方法，根据人工智能系统的相关风险水平，对人工智能提供商和部署商规定了义务。被认为会带来不可接受的高风险的人工智能系统，如操纵个人或剥削弱势群体的系统，应予以禁止。

《人工智能法》引入了对人工智能系统（包括 ChatGPT 等生成式人工智能系统）披露其人工智能生成内容的透明度要求。该法案还旨在防止生成非法内容，并引入了防范与冒名顶替相关的欺诈风险的措施。各组织必须有能力解释其人工智能系统是如何做出决策的，并应采用可解释的人工智能技术来提高透明度和合规性。

公平与非-歧视

如果人工智能系统是在有偏见的数据基础上训练出来的，或者如果其算法设计或控制不当，就可能无意中产生不公平或歧视性的结果。基于宗教、性别、种族或性取向等敏感变量的决策可能被视为不公平，并违反 GDPR 的公平原则。采用具有公平意识的机器学习技术有助于减少此类问题，但企业还必须纳入人工监督，并定期进行审计和影响评估，以识别和解决人工智能系统中的偏见。

数据准确性、最小化、目的性和稳定性ge 限制

虽然人工智能系统可以从广泛的数据资源中获益以提高其性能，但这可能与 GDPR 的数据最小化和目的限制原则相冲突。各组织必须只收集用于特定目的的必要数据，并遵守数据处理和存储的限制。根据提供的数据生成或推断新内容的人工智能系统也必须确保准确性和相关性。

随着人工智能的不断进步，企业必须驾驭 GDPR 合规性的复杂性，以保障个人隐私和权利。要克服与人工智能系统的不透明性、透明度要求、公平性问题以及数据准确性和目的限制有关的挑战，就必须在创新和法规遵从之间取得谨慎的平衡。拟议的《人工智能法》为企业提供了指导，使其人工智能系统符合法律要求，但关键是要不断适应人工智能和数据保护的不断发展。

由 DQS 提供

• DQS 提供认可的ISO 27001 认证和ISO 27701 认证服务
• DQS HK 提供私隱影響評估 (PIA)服務
• DQS HK 提供安全風險評估及審計 (SRAA)服務
• DQS 学堂 提供ISO 27001:2022 内部审核员培训
• DQS 学堂 提供ISO 27701:2019 PIMS 理解培训