作者:宁宣凤 吴涵 方禹

2024年6月,欧盟数据保护监管机构(EDPS)发布了关于生成式人工智能数据合规的指南。(以下简称《指南》)(Generative AI and the EUDPR. First EDPS Orientations for ensuring data protection compliance when using Generative AI systems.)该《指南》的发布,是为了指导欧盟机构(Union institutions, bodies, offices and agencies,本文统称为“欧盟机构”)在生成式人工智能应用方面遵守2018/1725条例的规定。(2018/1725条例为《关于欧盟机构、机关、办公室和代理处在处理个人数据时保护自然人以及此类数据自由流动的条例》,Regulation 2018/1725 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data)

虽然本次《指南》主要针对的对象是欧盟政府机构(EUIs),但它作为欧盟第一份关于生成式人工智能数据合规的指南,对于一般主体的生成式人工智能数据合规也具有指导意义。实际上,2018/1725条例与《通用数据保护条例》(GDPR)密切相关。GDPR普遍适用于各类处理个人数据的主体,而2018/1725条例更侧重于对欧盟机构处理个人信息的规范。与此类似的是,我国《个人信息保护法》也有国家机关处理个人信息的专门规定,要求国家机关处理个人信息的活动,适用《个人信息保护法》中的一般规定和特别规定。通常而言,政府机构与非政府机构在个人信息保护义务上并无本质上的差异,而在具体细节上,政府机构可能承担更高的个人信息保护义务。因此,无论是政府机构还是非政府机构,都可以从《指南》中获得指引或者启示。

阅读更多