《人工智能隐私保护:典型法律的支撑与保障》
图片来源于网络,如有侵权联系删除
一、欧盟《通用数据保护条例》(GDPR)
(一)适用范围与主体责任
1、GDPR具有广泛的适用范围,不仅适用于欧盟境内的企业处理欧盟公民个人数据的情况,还适用于在欧盟境外但向欧盟境内提供商品或服务或者监控欧盟境内数据主体行为的组织,这意味着只要与欧盟公民数据相关的人工智能应用,无论其开发者或运营者位于何处,都必须遵守GDPR。
2、对于人工智能系统而言,其数据控制者(如开发人工智能算法并决定数据处理目的和方式的企业或组织)和数据处理者(如负责存储和管理数据的云服务提供商等参与数据处理的实体)承担着明确的责任,数据控制者需要确保处理数据具有合法的基础,例如数据主体的同意、履行合同的必要等,数据处理者则需要按照数据控制者的指令处理数据,并遵守相关的安全和保密要求。
(二)数据主体权利
1、数据主体拥有强大的权利束,其中包括知情权,人工智能系统在收集数据时,必须向数据主体清晰、明确地告知数据收集的目的、范围、存储期限等信息,一个基于用户数据进行个性化推荐的人工智能购物助手,需要告知用户它收集了哪些数据(如购物历史、浏览偏好等),以及这些数据将如何用于推荐商品。
2、数据主体还有权要求数据控制者删除其个人数据,即被遗忘权,在人工智能环境下,如果数据主体发现其数据被用于违背其意愿的人工智能训练或分析,例如其医疗数据被用于未经同意的基因研究相关的人工智能项目,就可以要求删除数据。
图片来源于网络,如有侵权联系删除
3、数据主体的访问权也至关重要,他们有权获取人工智能系统中存储的关于自己的个人数据,并且以一种易于理解的形式呈现,这有助于数据主体监督人工智能系统对其数据的使用情况。
(三)数据安全与合规要求
1、GDPR要求数据控制者和数据处理者采取适当的技术和组织措施来保护数据安全,对于人工智能系统来说,这意味着在数据的存储、传输和处理过程中,要防止数据泄露、未经授权的访问等风险,采用加密技术对存储在人工智能训练数据库中的敏感数据进行加密,在数据传输过程中确保数据的完整性和保密性。
2、在数据处理的合法性方面,严格规定了只有在合法的情况下才能处理数据,对于人工智能中的数据挖掘和分析活动,必须有明确的法律依据,不能随意使用数据进行人工智能算法的训练,以避免对数据主体隐私的侵犯。
二、美国加利福尼亚州《消费者隐私法案》(CCPA)
(一)对消费者隐私的保护机制
1、CCPA赋予消费者对其个人信息更多的控制权,消费者有权要求企业披露收集了哪些关于他们的个人信息,企业必须在规定的时间内作出回应,这对于人工智能企业来说,意味着当他们使用消费者数据构建和优化人工智能模型时,必须能够准确地向消费者说明数据的使用情况,一家使用消费者图像数据来训练人脸识别人工智能的公司,在消费者提出请求时,要告知其收集了哪些图像数据、这些数据的来源以及如何在人工智能系统中被使用。
图片来源于网络,如有侵权联系删除
2、消费者有权选择退出企业对其个人信息的出售,在人工智能经济中,数据的商业价值巨大,很多企业可能会将消费者数据出售给第三方用于各种目的,包括进一步完善第三方的人工智能产品,CCPA允许消费者制止这种出售行为,保护自己的隐私免受不必要的商业利用。
(二)企业的合规义务
1、企业需要在其隐私政策中明确告知消费者其权利以及企业如何处理消费者个人信息,对于涉及人工智能的企业,这就要求在隐私政策中详细说明人工智能算法如何使用数据,例如是用于预测性分析、用户画像还是其他目的。
2、企业必须建立安全措施来保护消费者的个人信息,在人工智能的场景下,这包括保护用于训练人工智能模型的数据的安全,由于人工智能模型的训练数据往往包含大量的个人信息,一旦泄露可能会对消费者隐私造成严重损害,企业需要采取诸如访问控制、数据加密等措施来确保数据安全。
3、企业还需要对其数据处理行为进行合规审计,在人工智能领域,这有助于确保数据处理符合CCPA的规定,特别是在数据的收集、存储、使用和共享等环节,防止因人工智能算法的复杂性而导致的隐私侵犯问题。
这两部法律虽然在地域范围、具体条款和侧重点等方面存在差异,但都为人工智能时代的隐私保护提供了重要的法律框架和规范,促使企业和开发者在开发和运营人工智能系统时更加注重隐私保护。
评论列表