人工智能以大数据为基础,依托海量的个人数据、图像数据、文本数据以及传感器数据,通过强大的数据分析与处理能力,已成为驱动经济社会高质量发展的关键动力。然而,尽管人工智能显著增强了信息的获取、挖掘与共享能力,但也带来了数据滥用与数据泄露的潜在风险,对数据安全与隐私保护带来了新挑战。[1]2025年2月,法国国家信息和自由委员会(以下简称CNIL)发布了两项建议,旨在促进人工智能(AI)的负责任使用,同时确保其符合数据保护要求。[2]
一、法国CNIL以推动GDPR适用作为目标
法国国家信息与自由委员会(CNIL)成立于1978年,其核心使命在于避免信息技术的发展对公民权利造成损害。CNIL在现阶段的主要职责是监督《通用数据保护条例》(GDPR)在法国的实施状况。为应对人工智能时代下的个人数据保护挑战,并推动数据保护与数字伦理规则的完善,CNIL采取了一系列积极举措。早在2017年,CNIL发布了关于算法与人工智能伦理挑战的研究报告。2023年1月,CNIL在技术与创新理事会下设了专门的人工智能部门,该部门由5位来自法律与工程领域的专家组成。2023年5月,随着生成式人工智能技术的重大突破,CNIL发布了《人工智能行动计划》。自该计划发布以来,CNIL持续推进工作,致力实现技术创新与个人数据保护之间的平衡。
二、人工智能场景下对GDPR的灵活适用
鉴于人工智能系统的特殊性,在人工智能系统中适用GDPR时,可考虑对适用规范进行灵活调整。
(一)人工智能系统的特殊性
1、数据处理的复杂性。
训练人工智能模型时,需要处理大型数据集,而数据集的来源一般为公开数据、用户生成内容及第三方数据,其中会涉及大量个人数据。人工智能模型可能会在数据训练的过程中无意识地“记忆”部分个人数据,并在内容生成时予以展现。对于此种无法避免的数据处理行为,需审慎评估并制定相应的风险管理策略。
2、系统的多用途性。
GDPR要求数据处理的目的需特定、明确、合法,且后续数据处理活动不得偏离此目的。然而,通用型人工智能系统应用场景广泛,在开发阶段难以预见其后续的所有可能用途。因此,对目的限制原则的解释需采取更为灵活的方式。
3、算法的黑箱性。
GDPR强调数据处理的透明度和保障用户的知情权。但人工智能算法因包含多层“隐藏层”,导致输入与输出间的因果关系难以明确阐述,用户仅能被动接受算法结果而无法洞悉其运作机制,形成技术“黑箱”。为此,数据处理者需探索新方法增强算法的可解释性,以适应GDPR要求。
4、技术的不可逆性。
GDPR赋予用户对其个人数据享有访问、更正、删除等权利,但用户在人工智能系统中行使上述权利存在技术障碍。特别是,当人工智能模型训练完毕后,用户修改或删除特定数据更为困难。
(二)对GDPR适用的灵活调整
1、目的限制原则的调整。
针对通用型人工智能系统的多用途性,在适用目的限定原则时可进行适当调整。若开发者在训练阶段难以完全界定人工之智能系统可能的应用场景,其只需向用户告知系统的类型及核心功能,无需详细列举应用场景。
2、数据最小化原则的再理解。
人工智能模型的效能往往取决于训练数据集的多寡,数据最小化原则不应成为人工智能技术发展的制度阻碍。可以认为,数据最小化原则并不否定大规模数据处理活动的合法性,但开发者需优化数据筛选与处理流程,以规避不必要的个人数据处理情形。
3、数据保留期限的延长。
GDPR要求处理目的已实现时,及时删除数据。不过,在目的正当(如针对已投入大量科学研究资金的数据集)且已采取安全保障措施的前提下,应允许适当延长数据的保留期限。
4、数据库再利用的规范。
在确保数据来源合法的基础上,可对数据库(含在线数据库)进行重复使用,但须确保后续使用目的与数据收集时的目的保持一致。
三、建议要点概述
(一)建议1:数据处理告知义务的履行
当人工智能系统的训练数据集中包含个人数据,且个人数据有可能被模型记忆时,开发者有义务向相关主体进行明确告知。
告知的方式应根据数据安全风险等级及实际操作场景进行灵活调整。例如,当人工智能模型使用第三方数据源且开发者无法直接联系数据主体时,可通过在官方网站发布公告的方式进行告知。
对于通用型人工智能系统,允许采用概括性方式说明数据来源类别,无需详尽列出每项数据的来源。
(二)建议2:数据主体权利的保障与行使
开发者需在设计阶段融入隐私保护机制,并严格确保训练数据的合规性,可采取以下措施:在不影响模型功能的前提下,尽可能对数据进行匿名化处理;对技术进行创新,防止人工智能模型泄露个人数据。
若因技术限制、成本高昂或操作难度大等原因,导致数据处理者无法满足数据主体的权利请求时,CNIL将对具体情况进行评估,并给予数据处理者以响应用户权利请求的宽限期。
四、展望:从个人控制模式向信任机制的转变
在人工智能时代,个人数据保护面临着前所未有的挑战。传统的个人控制模式,已逐渐显现出局限性。随着大数据、云计算等技术的快速发展,个人难以有效控制数据的流向和使用情形。“法律应该反映社会结构的变化”。[3]因此,个人数据保护应当从个人控制模式向信任机制转变。信任对一个社会的秩序生成与经济繁荣均发挥着基础性作用,若无法在最基础的层面上建立起最基本的信任关系,再多的赋权与规制也都无济于事。[4]
参考文献:
[1]参见李欣倩:人工智能对个人信息保护的挑战及其应对,载《人民论坛》2024年第19期,第107页。
[2]CNIL, AI and GDPR: the CNIL publishes new recommendations to support responsible innovation , at https://www.cnil.fr/en/ai-and-gdpr-cnil-publishes-new-recommendations-support-responsible-innovation (Last visited on February 14, 2025).
[3]Tamar Frankel, Fiduciary Law, 7l Califomia Law Review 798(1983).
[4]参见弗朗西斯·福山:《信任:社会美德与创造经济繁荣》,郭华译,广西师范大学出版社2016年版,第26页。
来源: CAICT互联网法律研究中心
作者:杨婕,中国信通院互联网法律研究中心高级工程师
