正文

透明度的双重奏:西班牙AEPD一文讲透欧盟AI法案与GDPR的共生艺术

admin
admin V管理员 /0 评论 /142 阅读
0910
此篇文章发布距今已超过141天,您需要注意文章的内容或图片是否可用!

人工智能透明度

AIA提案,其适用范围是人工智能(AI)系统,提出了一个与GDPR中相同术语所不同的透明度概念,GDPR的适用范围不是系统而是个人数据处理。这两个透明度术语涉及不同的参与者和不同的信息,旨在传递给不同的接收者。AIA中的透明度是主要从AI系统的AI提供者传递给AI用户/部署者的信息。当AI系统被包括在内或作为个人数据处理的方式时,控制者应获得足够的信息以履行他们对GDPR的不同义务:实施透明度和行使权利,履行责任原则,满足GDPR监管机构对其调查权力的要求,以及认证和行为守则监控机构的要求。

unsetunsetGDPR中的透明度规定unsetunset

GDPR的透明度原则在第5(1)(a)条中规定,在39、58至62条解释,并在第12条及以后详细说明。GDPR透明度原则的应用(让我们将其称之为“透明度-GDPR”)是数据控制者的一项义务,要求他们向数据主体通报其数据处理的影响。

unsetunset欧盟人工智能法中的透明度规定unsetunset

另一方面,“透明度”一词也用于人工智能(AI)。例如,在欧盟AI法案(以下简称为AIA)中,为某些AI系统规定了一些透明度义务。

在序言(27)中指出,透明度是指人工智能系统的开发和使用方式应允许适当的可追溯性和可解释性,同时让人类意识到他们与人工智能系统进行了交流或互动,并适当告知部署者该人工智能系统的能力和局限性,以及受影响者的权利。

第13条“透明度和向部署者提供信息”中,在(1)款中指出“高风险人工智能系统的设计和开发应确保其操作具有足够的透明度,使部署者能够解释系统的输出并加以适当使用。应确保适当类型和程度的透明度,以遵守第3节规定的提供者和部署者的相关义务。”在(2)款中指出,“应附有适当的数字格式或其他形式的使用说明,其中包括简明、完整、正确和清晰的信息,这些信息应与部署者相关、便于部署者使用和理解。”

在第50(1)条中还提到,“提供者应确保旨在与自然人互动的AI系统以自然人被告知他们正在与AI系统互动的方式设计和开发”。

关于AI系统的透明度义务应通过设计并在其生命周期中实施,无论是否处理个人数据。因此,AIA中的“透明度”术语(透明度-AIA)与透明度-GDPR的含义不同。

unsetunset适用范围不同unsetunset

AIA适用于AI系统,而GDPR适用于GDPR第2条和第4(2)条定义的个人数据处理活动。AI系统可能是用于实现一个或多个个人数据处理活动的手段之一。通常,个人数据处理将在多种系统上实施,如云系统、通信系统、移动系统、加密系统等。其中一些可能是AI系统。

图1:透明度-AIA适用于AI系统,透明度-GDPR适用于个人数据处理。

unsetunset透明度的义务主体不同unsetunset

AIA要求透明度的义务主体是AI系统的设计师、开发者、提供者和用户/部署者。GDPR要求透明度的义务主体是个人数据处理控制者。如果设计师和开发者在设计或开发AI系统时使用个人数据,他们可能是控制者或处理者。如果AI系统存储或处理已识别或可识别数据主体的数据,提供者可能是控制者或处理者。如果AI系统的用户/部署者将该系统包括在个人数据处理活动中,他们可能是控制者或处理者。所有作为控制者处理个人数据的人都应履行透明度-GDPR的义务,但如果他们不是控制者,则没有法定义务。

图2:关于透明度的义务主体

unsetunset透明度的信息接受者不同unsetunset

AIA要求向AI系统的用户/部署者和AI系统影响的自然人或人群提供信息。这些自然人即使不是数据主体(如GDPR中定义),也可能受到影响,即在自然人是AI系统创建的媒体内容的接收者的情况下。

GDPR为控制者规定了在个人数据处理活动中通知数据主体的义务,包括自动化决策和画像。关于自动决策,并非所有决策都是由AI系统实施的,另一方面,并非所有在个人数据处理活动中实施的AI系统都与根据GDPR第22(1)和(4)条的自动化决策或画像有关。

图3:透明度信息的接收者

unsetunset透明度提供的信息不同unsetunset

最后,提供的信息类型是不同的。不同的发送者、不同的接收者和不同的目的意味着要提供的信息的数量和类型是不同的。无论如何,要提供的信息由法规规定。

GDPR在第13条和第14条中规定了必须提供最少的数据,39、58至62条解释说,提供的信息应实现以下目标:使自然人“意识到风险”,“画像的存在及其后果”,“控制者”,“目的”,“权利”,“保障措施”以及“为确保公平和透明的处理,考虑到个人数据被处理的具体环境和背景,任何进一步的必要信息”,以“易于理解”的方式,使用“清晰和简单的语言”,并且至少当存在自动化决策,包括画像时,关于所涉及逻辑的有意义的信息,以及其重要性和预期后果。

透明度-AIA向部署者提供的信息与可解释性有关,与文档记录、记录保存和提供有关如何使用此类AI系统的信息有关。它应允许署者履行其合规义务。AIA对自然人的透明度要求在AIA的第50(1)条中指出,与通知自然人他们正在与AI系统互动的义务有关。

图4:信息的类型

总之,GDPR中的透明度和AIA中的透明度有不同的含义,为不同的参与者规定了义务,涉及内容和措辞不同的信息,并且针对不同的接收者。因此,将原本打算向部署者提供的透明度信息提供给数据主体,将不会履行GDPR透明度的义务。

当部署者担任控制者或处理者的角色时,他们有义务履行GDPR的责任原则。如果用于实施处理活动的系统无法履行相应的透明度义务,则数据控制者或处理者也无法履行其义务。如果处理方式是AI系统、云系统、移动系统、通信系统等,没有得到适当的文档记录,并且没有提供有关所需性能、隐私和安全要求的证据,控制者就不应该使用它们。因此,隐含地,AIA项下的透明度框架内可用的信息应该足够好,以允许控制者和处理者履行他们不同的GDPR义务。

最后,我们不应该将透明度义务与监管机构的调查权力、认证机构的评估或行为守则机构的监控活动混为一谈。向他们请求和提供的信息应该足够完整和深入,以履行他们的权力,而那些信息远远超出了履行GDPR项下的透明度义务所需的信息。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om