主要趋势
人工智能仍然是数据保护机构关注的核心领域。例如,英国的信息专员办公室(ICO)、法国的国家信息科学与自由委员会(CNIL)、中国国家互联网信息办公室(CAC)以及中国香港的个人资料私隐专员公署(PCPD)等数据保护机构,都陆续发布了如何将数据保护规则应用于人工智能技术最新的指南。
英国
信息专员John Edwards在一次演讲中讨论了监管生成式人工智能的挑战与机遇,强调信息专员办公室(ICO)致力于在数据保护和创新之间找到平衡点。Edwards介绍了ICO提供的创新咨询服务和监管沙盒,旨在帮助各机构在开发新技术时确保遵守数据保护法。Edwards还提到了ICO正在进行的有关生成式人工智能的讨论,最近的一次讨论重点关注在训练和部署生成式人工智能模型时保护个人权利的问题。Edwards呼吁科技公司采取“通过默认设计来实现数据保护”原则,从产品开发之初就将数据保护的理念整合进去。
近日,ICO发布了一份题为“从过往错误中吸取教训”的报告,该报告敦促各机构加强网络安全,以应对日益增多的网络攻击事件。尤其是仅在2023年,就发生超过3,000起网络攻击事件,特别集中在金融、零售和教育领域。报告深入分析了常见的安全漏洞,并提供了增强安全措施的实用建议。报告指出网络安全漏洞的五个主要原因包括:
网络钓鱼:利用欺诈信息诱骗用户分享密码或下载有害软件。
暴力攻击:犯罪分子通过反复尝试强行猜测登录密码或加密密钥。
拒绝服务:犯罪分子利用网站或网络超载来破坏其正常运行。
错误:由于实施不善、缺乏维护或默认设置未更改而导致的安全配置错误。
供应链攻击:犯罪分子通过攻击产品、服务或技术来侵入其系统。
ICO强调,任何组织在遭受网络攻击导致数据泄露的情况下,必须在72小时内进行报告,除非该攻击不太可能给受影响的个人带来风险。
欧盟
德国数据保护机构正在准备实施欧盟人工智能法案(EU AI Act),强调了数据保护机构在监督高风险人工智能系统中的作用。根据德国数据保护会议(DSK)在2024年5月3日的声明提议,德国数据保护机构将成为EU AI Act在德国的核心监管机构。
EU AI Act已于2024年8月1日生效。成员国和其他机构需要关注的关键日期和相关更新包括:
2025年2月2日:针对特定人工智能的禁止性规定(EU AI Act第5条)将开始生效,其中包括原则上禁止在公共场所出于执法目的使用实时生物特征监控系统,以及禁止使用人工智能评估个人行为并将评估结果与社会歧视关联(例如被排除在公共服务之外)。
2025年8月2日:各成员国必须在此之前制定法律,指定市场监管机构执行EU AI Act。这类机构必须保持独立和公正,并且拥有充足的执法能力,以确保EU AI Act的有效实施。
监督和执法:数据保护机构将负责监督执法、司法、移民管理以及选举等领域中高风险人工智能系统的使用(EU AI Act第74(8)条),监管对象将延伸到为上述领域提供人工智能系统的软件公司、云服务和安全公司。
法国数据保护机构(CNIL)发布了关于EU AI Act的问答,详细介绍了其与GDPR的相互作用,阐明了EU AI Act的应用场景、合规优势,并强调了透明度和存档义务。
意大利数据保护机构(Garante)更新了关于工作场所电子邮件管理和元数据处理的指南,设定了保留限制,并要求雇主采取合规措施。Garante允许雇主在短时间内(通常不超过21天)保留电子邮件系统正常运行所需的元数据(即电子邮件管理和分类服务器生成的日志,来自电子邮件正文之外的外部数据,例如主题、发件人和收件人,以及与传输中的数据相关的其他信息,如IP地址和附件大小)。只有在因业务运营或网络安全的“特殊情况”而需要保留的情况下,才允许保留更长时间,并应当按照相关劳动法律的要求,与工会达成协议,如公司中未设立工会组织,则应当获得劳动监管机构的授权。鉴于此,雇主和数据控制者必须实施以下措施:
确保邮件系统的默认设置允许雇主管理基本设置,包括限制元数据的保留期限。
更新数据保留政策,以反映电子邮件正文中信息的保留(而不仅仅是其元数据),并与公司关于使用工作工具的政策保持一致,将公司电子邮件地址的使用限制在与工作相关的目的。
更新针对员工的隐私政策,指定处理电子邮件元数据的适用数据保留期限。
如果有必要保留元数据超过21天(必须有充分证据证明必要性),则应采取以下步骤:
与工会达成协议,如果未设立工会,则须获得主管劳动监管机构的授权。
进行数据保护影响评估(DPIA);
如果数据处理基于雇主的合法利益,则进行合法利益评估(LIA)。
卢森堡国家数据保护委员会(CNPD)在调查了一起关于滥用视频监控数据以解雇员工的投诉之后,对违反GDPR目的限制原则的行为发出了警告。调查结果显示,最初出于安全目的安装的视频监控图像被用于支持对某员工的解雇决定,违反了GDPR的目的限制原则。CNPD得出的结论是,该行为违反了GDPR第5.1.b)条,该条款规定数据必须为特定的、合法的目的而被收集。
中东
沙特数据和人工智能管理局(SDAIA)发布了关于在沙特阿拉伯任命数据保护官(DPO)的公开指南草案,旨在为公众和相关组织提供关于如何根据沙特阿拉伯即将实施的个人数据保护法(PDPL)任命DPO的明确指导。指南草案详细阐述了沙特阿拉伯DPO的任命标准、角色和职责及能力要求。目前,该草案已完成公众意见征询。
PDPL将于2024年9月14日实施。为此,沙特阿拉伯正在加强完善国家数据治理平台,其中包括用于DPO任命和隐私影响评估的工具,现已向私营实体开放。
亚洲
2024年7月,第二十届中央委员会第三次全体会议审议通过了中共中央关于进一步全面深化改革、推进中国式现代化的决定。该决定中涉及了数据、网络安全、人工智能及电信领域的多项内容,主要包括:
加快建立数据产权归属认定、市场交易、权益分配、利益保护制度,提升数据安全治理监管能力,建立高效便利安全的数据跨境流动机制。
健全网络综合治理体系。深化网络管理体制改革,整合网络内容建设和管理职能,推进新闻宣传和网络舆论一体化管理。完善生成式人工智能发展和管理机制。加强网络空间法治建设,健全网络生态治理长效机制,健全未成年人网络保护工作体系。
加强网络安全体制建设,建立人工智能安全监管制度。
中国香港个人资料私隐专员公署于2024年6月11日发布人工智能:个人数据保护框架模型,目的是引导各组织在采购及应用人工智能技术时,遵循个人资料(私隐)条例(PDPA)。这一做法顺应了当前的发展趋势,即众多中小企业倾向于购入成熟的解决方案,而非自行开发人工智能系统。总体而言,该框架推荐了四个主要领域的措施:构建人工智能策略与治理体系;开展风险评估及确保人类监督;定制人工智能模型及实施和管理人工智能系统;加强与各利益相关方的沟通与参与。尽管该模型框架并非具有法律效力,但被视为最佳实践指导。
新加坡的AI Verify基金会与信息通信媒体发展局共同发布了针对生成式人工智能的模型AI治理框架,目的是通过一种平衡的方式建立一个可信赖的生态系统。这种方法既解决了对生成式人工智能的担忧,也同时促进了创新。
联系人
特别声明
西盟斯律师事务所版权所有。以上信息(包括通过本文访问的任何网站链接)仅供一般性参考,不应视为针对特定事务的法律意见或依据。在因本文内容而采取任何行动之前,应获得专业法律意见。
本文系西盟斯律师事务所原创,如需转载,请联系我们。
