欧盟隐私机构对生成式AI合法性提出关键见解

OpenAI

近日，欧盟数据保护委员会（EDPB）发布了一份重要文件，该文件深入探讨了AI开发者在构建和部署如大型语言模型（LLM）等生成式AI工具时，如何处理个人数据以避免违反欧盟隐私法规的问题。EDPB作为欧盟内负责监督和协调数据保护政策实施的关键组织，在确保这些法律规定得到正确应用方面扮演着不可或缺的角色。

匿名化模型

针对AI模型是否可以被视为匿名这一议题，EDPB强调了每种情况都需要单独评估的原则。如果一个AI模型能够做到非常不可能直接或间接地识别出任何个体，或者使得用户无法通过查询提取个人信息，则该模型可能被认为达到了匿名的标准。然而，只有当数据完全不可逆地去除了所有重新识别的风险时，才会被认为是真正意义上的匿名数据，并因此不在GDPR管辖范围内。

正当利益基础

关于是否可以依赖正当利益作为合法处理个人数据的基础，EDPB指出这同样需要具体情况具体分析。正当利益是少数几种可用的法律依据之一，通常情况下，其他选项并不适用于AI领域。例如，获取每个涉及者的同意显然是不现实的，鉴于训练LLMs所需的数据量巨大。

正当利益测试包括三个步骤：确定处理的目的和必要性；检查是否有更少侵入性的替代方案；以及权衡这种处理对个人权利的影响。特别是最后一步，必须考虑到特定情境下的因素，比如数据来源、收集上下文及潜在的进一步用途等。

非法训练的数据模型

对于那些基于非法处理的数据建立起来的AI模型，EDPB建议采取“一事一议”的方式来决定。值得注意的是，如果开发者能够在部署前确保所有个人数据都已匿名化，那么即使最初的训练过程存在问题，也不会影响到后续的操作。

尽管如此，专家警告说，过分关注最终状态可能会无意中鼓励未经适当授权就抓取网络数据的行为，从而削弱GDPR的核心原则——即从收集到处置，个人数据必须始终依法处理。