随着生成式人工智能模型训练时使用的数据集越来越大,个人信息往往在相关个人不曾同意或知晓的情况下被使用。有关个人和组织应始终遵守现有隐私保护法律和义务。下文将从罗思国际所涉各大主要司法辖区的角度展开阐述。
中国
和许多其他司法辖区一样,中国的人工智能法律也强调要按照现行法律保护个人信息。了解中国数据监管框架的最新动态。
人工智能服务提供者须确保在训练人工智能模型时不侵犯他人的个人信息和知识产权,同时确保人工智能生成的内容也不侵犯他人的个人信息和知识产权。中国有关人工智能算法的监管规定还特别要求尊重用户权益并保护弱势群体(如劳动者、未成年人和老年人)。
欧盟
在欧盟境内使用的人工智能系统须遵守《通用数据保护条例》(简称"GDPR")的原则性规定,包括数据只能用于特定目的、数据使用须透明、提供者须对数据使用负责等规定。如果人工智能系统被划分到欧盟《人工智能法案》下的高风险类,则提供者应评估风险并采取适当的个人数据处理措施。
遵守欧盟成员国的相关规定。提供者须保留文档记录,证明遵守了欧盟成员国有关数据保护和风险管理方面的规定。他们还有义务清楚地向用户介绍人工智能系统的各方面情况,并告知可能存在的风险。
《人工智能法案》还规定了人工智能系统侵犯用户权利时,用户可以通过哪些途径维护自身权利。用户可以向有关部门投诉,要求提供者对造成的损害做出补救。用户还可以要求人工智能在做出影响其权利或权益的重大决策时需有人工干预。
海合会地区
在阿联酋,使用人工智能对目标客户进行精准营销须遵循严格的数据隐私保护法规。
根据《个人数据保护法》( 2021 年第 45 号联邦法令),在直接营销中使用个人数据须征得数据所有者明确、清晰且毫无歧义的同意。该法规定,前述同意须可验证并由数据所有者直接授予,并且可以通过一个简单的程序撤回。数据主体有权随时暂停或终止提供者对其数据的处理。
旨在打击网络犯罪的 2021 年第 34 号联邦法令规定,滥用个人数据可能招致刑事处罚。
沙特阿拉伯的《人工智能伦理原则》(2023 年 9 月第 2 版)规定了有关人工智能开发与使用的七项原则,其中一条就是"隐私与安全"。
东南亚
泰国通过《个人数据保护法》规范对个人数据的收集、披露与使用。这些规定同样适用于人工智能领域的数据使用。
《关于使用人工智能系统的商业运营的皇家法令(草案)》和 《促进和支持人工智能创新法(草案)》等人工智能相关法令草案也提及了数据问题,规定了数据管理规则。
与其他国家的情况相似, 越南目前也没有制定专门法律来规范人工智能中的数据使用。不过,该国法律框架中有一些个人数据使用和保护方面的条款,这些条款同样适用于前述情形。
越南目前在这个领域的法律(包括 关于个人数据保护的第 13/2023/ND-CP 号法令),主要由一些通用条款和消费者权益保护、电子商务等专项法律组成。2024 年 2 月,越南方面宣布将 制定《个人数据保护法》来加强这方面的实践。目前草案尚未公布。我们将对此保持关注。
在印度尼西亚,相关活动须遵循 《数据保护法》。同时,人工智能被视为 印度尼西亚《电子信息和交易法》中的 "电子代理 "。
因此,电子系统运营者如果使用人工智能管理用户信息,他们将需要为可能发生的用户数字隐私权等法律问题负责。
我们建议的最佳做法
罗思建议有关个人和组织在现有法律基础上遵循常识性做法,同时关注相关法律的发展变化。
虽然不存在放之四海而皆准的做法,但有关个人和组织通常可以借鉴以下标准指导自身实践:
总体原则
对个人信息的收集和处理应遵循一些重要原则和最佳做法,包括数据最小化、透明度、准确性等原则。 处理数据的法律依据
处理个人信息之前,尽可能先征得相关个人同意。同时,制定允许相关个人撤回同意的程序。
影响评估
根据人工智能应用程序的性质,在必要时进行影响评估以帮助识别可能的风险,并证明相关活动合法合规。 个人权利
确保合规协议的到位,尊重用户权利,包括访问权、更正和删除权、撤回同意权等。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
