行业研究公司研究宏观策略财报招股书会议纪要稀土低空经济 DeepSeek AIGC 智能驾驶大模型

首份生成式人工智能数据合规指南

信息技术2024-06-03-EDPSB***

AI智能总结

Generative AI and Data Protection Compliance: Key Insights from the EDPS Orientations

Overview:

The European Data Protection Supervisor (EDPS) has issued guidelines focusing on the integration of generative artificial intelligence (AI) systems within European Union Institutions, Bodies, Offices, and Agencies (EUIs), particularly regarding personal data protection. These orientations aim to provide practical advice to ensure compliance with the General Data Protection Regulation (GDPR), emphasizing the importance of adhering to data protection principles while leveraging generative AI.

Key Areas of Focus:

Definition and Scope: Generative AI refers to a subset of AI that creates a diverse array of outputs through machine learning models, often utilizing large language models as foundational architectures. These models can be adapted for various tasks and applications, such as text, image, and audio generation.
Use of Generative AI by EUIs: The guidelines clarify that EUIs can use generative AI systems provided they adhere to GDPR principles. This includes ensuring that personal data processing is conducted lawfully, minimizing data use, maintaining data accuracy, informing individuals about data processing, avoiding biased outcomes, and protecting data security.
Data Protection Principles: The orientations emphasize the importance of adhering to general data protection principles, such as data minimization, data accuracy, and fair processing. Special attention is given to the avoidance of bias and the protection of individual rights.
DPO Role: Data Protection Officers (DPOs) play a crucial role in the development or deployment of generative AI systems, advising on privacy and data protection matters.
DPIA Requirement: An Impact Assessment (DPIA) must be carried out when developing or implementing generative AI systems to assess potential risks and ensure compliance.
Lawfulness of Processing: Processing of personal data during the design, development, and validation of generative AI systems must comply with GDPR, focusing on the conditions for lawful processing.
Ongoing Guidance: The EDPS intends to refine and expand these initial orientations over time, addressing new questions and challenges as the technology evolves.

Conclusion:

These EDPS orientations serve as a foundational guide for EUIs looking to incorporate generative AI systems while safeguarding personal data protection. By focusing on practical advice and general principles, the guidelines aim to facilitate compliance with GDPR, fostering innovation while respecting individuals' fundamental rights and freedoms.

2024年6月3日生成式人工智能并且EUDPR。首次确保在使用生成式人工智能系统时符合数据保护合规性的EDPS导向。这些关于生成式人工智能（生成式AI）和个人数据保护的EDPS指导旨在为欧盟机构、机构、办公室和机关（EUIs）提供实用建议和指令，以便在使用生成式AI系统处理个人数据时，它们能够符合规定的数据保护义务，尤其是《欧盟条例》（EU）2018/1725中的义务。这些指导旨在涵盖尽可能多的场景和应用，不规定具体技术措施。相反，它们强调了数据保护的一般原则，这有助于EUIs根据《欧盟条例》（EU）2018/1725的要求遵守数据保护要求。这些导向是向更详细的指导迈出的第一步，将考虑生成式人工智能系统和技术的发展，它们在教育机构中的使用，以及EDPS监视和监督活动的结果。欧洲数据保护监督局（EDPS）在其作为数据保护监督机构的角色下发布这些指导方针，而非在其根据人工智能法案担任人工智能监督机构的新角色下。这些方向不损害人工智能法案。 8. 生成式人工智能系统是否尊重数据准确性原则？...........................1514. 您想了解更多吗？ ............................................................................................25如何知道使用生成式人工智能系统是否涉及个人数据处理？3.7关于数据安全？.........................................................................................................................................2. 欧洲大学间机构（EUIs）可以使用生成式人工智能吗？.......................................................................引言与范围 ............................................................................................................31. 什么是生成式AI？.........................................................................................................412. 关于个人权利的行使？ ...............................................................227. 如何在使用生成式人工智能系统时保证数据最小化原则？..............................................................................................................................149. 如何在EUIs使用生成式AI系统时，告知个人关于个人信息处理的情况？......................................................................................................176. 在设计、开发和验证生成型人工智能系统期间，何时处理个人数据是合法的？ ...................................................................1111. 如何确保在运用生成式AI系统时公平处理并避免偏差？..............................................................................................................................205. 欧洲联盟机构（EUI）希望开发或实施生成式人工智能系统。何时应进行数据保护影响评估（DPIA）？..........................................................................................................................910. 关于《条例》第二十四条所指的自动化决策，………184. 在生成式AI系统的开发或部署过程中，数据保护官（DPOs）扮演什么角色？...........................................................................................................................8 引言与范围 1. 这些导向旨在为欧盟机构、机构、办公室和机构（EUIs）提供一些实用建议，关于他们在使用生成式AI系统处理个人数据时的操作，以确保他们履行其数据保护义务，尤其是根据《条例》（EU）2018/1725（“条例”或EUDPR）规定的义务。即使条例没有明确提及人工智能（AI）的概念，正确理解和应用数据保护原则对于实现这些系统的有益使用、不损害个人的基本权利和自由至关重要。 2. 数据保护专员办公室（EDPS）作为数据保护监管机构的角色发布这些指南，而非在其作为人工智能法案下的新角色——人工智能监管机构时发布。 3. 这些导向并不旨在全面详细地涵盖所有与使用受数据保护当局分析生成式人工智能系统相关的个人信息处理相关问题。其中一些问题仍处于开放状态，并且随着这些系统的使用增加以及技术以允许更好地理解生成式人工智能工作方式的方式演变，可能还会出现更多的问题。 4. 由于人工智能技术发展迅速，提供这些类型服务所使用的具体工具和手段多样化，且可能迅速变化。因此，这些方针已制定，以覆盖尽可能多的场景和应用。 5. 这些导向结构如下：关键问题，随后是初步回应和一些初步结论，以及进一步的澄清或例子。 6.这些初步导向被视为发展更全面指导的初步步骤。随着时间的推移，这些导向将得到更新、完善和扩展，以解决支持EUIs在这些系统的开发和实施中所需进一步考虑的要素。此类更新应在发布本文件后不超过十二个月内进行。 1. 什么是生成式AI？生成式AI是人工智能的一个子集，它使用专门设计的机器学习模型，旨在产生广泛和多样化的输出，能够执行各种任务和应用，例如生成文本、图像或音频。具体而言，它依赖于使用所谓的基座模型，这些模型作为其他生成式AI系统的基线模型，并从它们中进行“微调”。一个基础模型作为核心架构或基础，其他更专业的模型在此基础上构建。这些模型基于多样化和广泛的数据库进行训练，包括包含公开可用信息的数据库。它们可以表示复杂的结构，如图像、音频、视频或语言，并且可以根据特定任务或应用进行微调。是在巨量文本上训练的特定类型的基础模型大型语言模型数据（从数百万到数十亿单词）能够根据单词和短语之间的模式和关系对广泛的输入生成自然语言响应。用于训练该模型的大量文本可能来自互联网、书籍以及其他可用来源。一些已经投入使用中的应用包括代码生成系统、虚拟助手、内容创作工具、语言翻译引擎、自动语音识别、医疗诊断系统、科研工具等。这些概念之间的关系是层级的。生成式人工智能是一个广泛类别，包括旨在创建内容的模型。基础模型，例如大型语言模型，作为更专业模型构建的基础架构。基于基础模型构建的专业模型针对特定任务或应用，利用基础架构的知识和能力。生命周期的生成型人工智能模型涵盖了不同的阶段，始于对模型用例和范围的定义。在某些情况下，可能可以识别一个合适的基座模型作为起点，在其他情况下，则可能需要从头开始构建一个新模型。接下来的阶段包括使用与未来系统目的相关的数据集来训练模型，包括使用满足模型用例所需的特定、定制数据集对系统进行微调。为了完成训练，使用需要人类介入的特定技术以确保更准确的信息和受控的行为。接下来的阶段旨在评估模型并建立评估指标的度量，以定期评估准确性等因素，以及模型与用例的一致性。最后，模型被部署和实施，包括使用先前阶段建立的指标进行持续监控和定期评估。相关生成式人工智能的应用案例包括面向大众消费者的应用（例如ChatGPT和类似系统，这些系统已经以不同版本和规模存在）。1包括那些可以在手机上执行的应用）。也有特定领域的商业应用，预训练模型，以及针对特定领域应用进行调整的基于预训练模型的应用。活动和最后，整个开发过程，包括训练过程，都由责任实体执行的模式。生成式人工智能，和其他新技术一样，在多个领域提供解决方案，旨在支持和增强人类能力。然而，它也带来了挑战，这些挑战可能对基本权利和自由产生影响，存在被忽视、被轻视、未得到充分考虑和评估的风险。大型语言模型（LLM）的培训（以及任何机器学习模型）是一个迭代、复杂且资源密集的过程，涉及多个阶段和技术，旨在创建一个能够根据用户提供的命令（或提示）生成类似人类文本的模型。该过程从模型在大量数据集上进行训练开始，其中大部分通常是无标签的，并使用网络抓取技术从公共来源获取（-数据保护机构已经表示关注，并概述了使用公开可访问的个人数据的隐私和数据保护风险）。之后，LLMs不是在所有情况下都通过监督学习或涉及人类代理的技术（例如，通过领域专家进行的人机增强学习（RLHF）或对抗测试）进行微调，以帮助系统更好地识别和处理信息和上下文，以及确定首选的响应，是否限制对敏感问题的输出，并将其与开发者的价值观保持一致（例如，避免产生有害或有毒的输出）。一旦进入生产阶段，一些系统将用户交互中获取的输入数据作为新的训练数据集，以完善模型。 2. EUIs能否使用生成式AI？作为一个欧盟机构，在欧盟机构的规则允许的情况下，在公共服务的提供中开发和部署生成式AI系统原则上没有障碍，只要满足所有适用的法律要求，特别是在考虑到公共部门在利用新技术时确保充分尊重个人基本权利和自由的特殊责任。无论如何，如果生成式人工智能系统的使用涉及个人数据的处理，本法规将全面适用。本法规在技术上保持中立，适用于所有个人数据处理活动，无论使用何种技术，且不妨碍其他法律框架，特别是人工智能法案。责任原则要求在生成式人工智能模型供应链中涉及的各方中明确识别和尊重责任。 EUIs可以开发和部署他们自己的生成式AI解决方案，或者可以选择在市场上部署适用于他们自身的解决方案。在两种情况下，EUIs可以使用提供商来获取生成式AI系统中的所有或部分元素。在此背景下，EUIs必须明确确定具体角色。 - 控制器、处理器、联合控制权 - 对于具体处理操作的实施及其在《规定》下的义务和责任方面的影响。随着人工智能技术的迅速发展，EUIs必须在何时以及如何负责任和有益地使用生成式AI以服务于公共利益方面进行慎重考虑。生成式AI解决方案的生命周期各个阶段都应遵循适用的法律框架，包括《条例》，当系统涉及个人数据处理时。 → 可信或负责任的AI术语是指确保AI系统以道德和合法的方式开发的必要性。这包括考虑AI技术使用的非预期后果，以及遵循基于风险的策略，涵盖系统的整个生命周期。这还意味着在使用训练数据和其来源方面的透明度，以及算法的设计和实施方式，系统可能存在的偏见类型及其解决方法，以及如何应对对个人基本权利和自由的潜在影响。在此背景下，生成式AI系统必须具有透明度、可解释性、一致性、可审计性和可访问性，以确保个人数据的公平处理。 3. 如何判断使用生成式AI系统是否涉及个人数据正在处理... 个人数据在生成式AI系统的生命周期中可以在多个层次和阶段进行处理，这可能在最初并不明显。这包括在创建训练数据集时、在训练阶段本身、通过在模型创建和使用后推断新的

点击免费查看完整报告