اتحادیه اروپا راهنمایی هایی را در مورد اینکه چگونه توسعه دهندگان هوش مصنوعی می توانند از قوانین حفظ حریم خصوصی پیروی کنند ارائه می دهد

از


هیئت حفاظت از داده های اروپا یک گزارش را منتشر کرده است نظر پرداختن به حفاظت از داده ها در مدل های هوش مصنوعی این ارزیابی ناشناس بودن هوش مصنوعی، مبنای قانونی برای پردازش داده ها، و اقدامات کاهشی برای تأثیرات بر موضوعات داده ها برای شرکت های فناوری فعال در بلوک را پوشش می دهد.

این در پاسخ به درخواست کمیسیون حفاظت از داده های ایرلند، مرجع نظارتی اصلی تحت GDPR برای بسیاری از شرکت های چندملیتی

نکات کلیدی راهنمایی چه بود؟

DPC به دنبال اطلاعات بیشتر در مورد:

  1. چه زمانی و چگونه می‌توان یک مدل هوش مصنوعی را «ناشناس» در نظر گرفت – مدل‌هایی که بعید است افرادی را که از داده‌هایشان در ایجاد آن استفاده شده است شناسایی کنند و بنابراین از قوانین حفظ حریم خصوصی مستثنی هستند.
  2. وقتی شرکت‌ها می‌توانند بگویند که «نفع مشروع» در پردازش داده‌های افراد برای مدل‌های هوش مصنوعی دارند و بنابراین، نیازی به جلب رضایت آنها ندارند.
  3. پیامدهای پردازش غیرقانونی داده های شخصی در مرحله توسعه یک مدل هوش مصنوعی.

آنو تالوس، رئیس EDPB، در یک بیانیه مطبوعاتیفن آوری های هوش مصنوعی ممکن است فرصت ها و مزایای بسیاری را برای صنایع و حوزه های مختلف زندگی به ارمغان بیاورد. ما باید اطمینان حاصل کنیم که این نوآوری ها از نظر اخلاقی، ایمن و به گونه ای انجام می شوند که به نفع همه باشد.

EDPB می خواهد از نوآوری مسئول هوش مصنوعی با اطمینان از محافظت از داده های شخصی و با رعایت کامل مقررات حفاظت از داده ها حمایت کند.

وقتی یک مدل هوش مصنوعی را می توان «ناشناس» در نظر گرفت

یک مدل هوش مصنوعی را می‌توان ناشناس در نظر گرفت اگر احتمال اینکه داده‌های شخصی مورد استفاده برای آموزش به هر فردی – چه به طور مستقیم یا غیرمستقیم، از طریق یک اعلان – ردیابی شود – «بی‌اهمیت» تلقی شود. ناشناس بودن توسط مقامات نظارتی بر اساس “مورد به مورد” ارزیابی می شود و “ارزیابی کامل احتمال شناسایی” مورد نیاز است.

با این حال، این نظر فهرستی از راه هایی را ارائه می دهد که توسعه دهندگان مدل ممکن است ناشناس بودن را نشان دهند، از جمله:

  • انجام اقداماتی در حین انتخاب منبع برای جلوگیری یا محدود کردن جمع آوری داده های شخصی، مانند حذف منابع نامربوط یا نامناسب.
  • اجرای اقدامات فنی قوی برای جلوگیری از شناسایی مجدد.
  • اطمینان از اینکه داده ها به اندازه کافی ناشناس هستند.
  • استفاده از تکنیک های کمینه سازی داده ها برای جلوگیری از داده های شخصی غیر ضروری.
  • ارزیابی منظم خطرات شناسایی مجدد از طریق آزمایش و ممیزی.

کاترین وین، وکیل حفاظت از داده از Pinsent Masons، گفت که این الزامات ادعای ناشناس ماندن را برای شرکت های هوش مصنوعی دشوار می کند.

او در یک گزارش گفت: «مضرات احتمالی به حریم خصوصی شخصی که از داده‌هایش برای آموزش مدل هوش مصنوعی استفاده می‌شود، بسته به شرایط، می‌تواند نسبتاً کم باشد و ممکن است از طریق اقدامات امنیتی و نام مستعار کاهش یابد.» مقاله شرکت.

با این حال، روشی که EDPB قانون را تفسیر می‌کند، سازمان‌ها را ملزم می‌کند تا به تعهدات سنگین و در برخی موارد غیرعملی، مربوط به محدودیت هدف و شفافیت، به ویژه رعایت کنند.

زمانی که شرکت های هوش مصنوعی می توانند داده های شخصی را بدون رضایت افراد پردازش کنند

نظر EDPB بیان می‌کند که شرکت‌های هوش مصنوعی می‌توانند داده‌های شخصی را بدون رضایت بر اساس «منافع مشروع» پردازش کنند، اگر بتوانند نشان دهند که منافع آنها، مانند بهبود مدل‌ها یا خدمات، بر حقوق و آزادی‌های افراد بیشتر است.

این امر به‌ویژه برای شرکت‌های فناوری مهم است، زیرا کسب رضایت برای حجم عظیمی از داده‌های مورد استفاده برای آموزش مدل‌ها نه بی‌اهمیت است و نه از نظر اقتصادی مقرون‌به‌صرفه. اما برای واجد شرایط بودن، شرکت ها باید این سه آزمون را بگذرانند:

  1. تست مشروعیت: یک دلیل قانونی و مشروع برای پردازش داده های شخصی باید شناسایی شود.
  2. تست ضرورت: پردازش داده ها باید برای هدف ضروری باشد. هیچ راه جایگزین دیگری برای دستیابی به هدف شرکت نمی تواند وجود داشته باشد و میزان داده های پردازش شده باید متناسب باشد.
  3. تست تعادل: منافع مشروع در پردازش داده ها باید بیشتر از تأثیر آن بر حقوق و آزادی های افراد باشد. این در نظر می‌گیرد که آیا افراد به طور منطقی انتظار دارند داده‌هایشان به این روش پردازش شود، مثلاً اگر آن‌ها را در دسترس عموم قرار دهند یا با شرکت رابطه داشته باشند.

حتی اگر شرکتی در آزمون تعادل رد شود، در صورت اعمال اقدامات کاهنده برای محدود کردن تأثیر پردازش، ممکن است باز هم نیازی به جلب رضایت افراد داده نباشد. چنین اقداماتی عبارتند از:

  • حفاظت فنی: اعمال حفاظتی که خطرات امنیتی را کاهش می دهد، مانند رمزگذاری.
  • نام مستعار: جایگزینی یا حذف اطلاعات قابل شناسایی برای جلوگیری از پیوند داده ها به یک فرد.
  • پوشش داده ها: جایگزینی داده های شخصی واقعی با داده های جعلی زمانی که محتوای واقعی ضروری نیست.
  • سازوکارهایی برای افراد سوژه داده برای اعمال حقوق خود: آسان کردن افراد برای استفاده از حقوق داده خود، مانند انصراف، درخواست پاک کردن، یا ادعای تصحیح داده ها.
  • شفافیت: افشای عمومی شیوه های پردازش داده ها از طریق کمپین های رسانه ای و برچسب های شفافیت.
  • اقدامات ویژه خراش دادن وب: اعمال محدودیت‌هایی برای جلوگیری از حذف غیرمجاز داده‌های شخصی، مانند ارائه فهرست انصراف به افراد سوژه داده یا حذف داده‌های حساس.

مالکوم داودن، وکیل فناوری از Pinsent Masons در مقاله شرکت گفت که تعریف «منافع قانونی» اخیراً بحث برانگیز بوده است، به ویژه در لایحه داده های بریتانیا (استفاده و دسترسی)..

او گفت: «حامیان هوش مصنوعی پیشنهاد می‌کنند که پردازش داده‌ها در زمینه هوش مصنوعی منجر به نوآوری می‌شود و منافع و منافع اجتماعی ذاتی را به همراه دارد که یک «منافع قانونی» برای اهداف قانون حفاظت از داده‌ها است. مخالفان بر این باورند که این دیدگاه خطرات مرتبط با هوش مصنوعی، مانند حریم خصوصی، تبعیض یا انتشار احتمالی «دیپ‌فیک» یا اطلاعات نادرست را در نظر نمی‌گیرد.»

طرفداران خیریه Privacy International ابراز نگرانی کرده اند که مدل های هوش مصنوعی مانند سری GPT OpenAI ممکن است به درستی تحت این سه آزمایش مورد بررسی قرار نگیرند زیرا فاقد آن هستند. دلایل خاص برای پردازش داده های شخصی.

پیامدهای پردازش غیرقانونی داده های شخصی در توسعه هوش مصنوعی

اگر مدلی با پردازش داده‌ها به گونه‌ای توسعه یابد که GDPR را نقض کند، این بر نحوه عملکرد مدل تأثیر می‌گذارد. مقام مربوطه «شرایط هر مورد جداگانه» را ارزیابی می‌کند اما نمونه‌هایی از ملاحظات احتمالی را ارائه می‌کند:

  1. اگر همان شرکت داده های شخصی را حفظ و پردازش کند، قانونی بودن هر دو مرحله توسعه و استقرار باید بر اساس مشخصات مورد ارزیابی شود.
  2. اگر شرکت دیگری در حین استقرار داده های شخصی را پردازش کند، EDPB بررسی می کند که آیا آن شرکت از قبل ارزیابی مناسبی از قانونی بودن مدل انجام داده است یا خیر.
  3. اگر داده‌ها پس از پردازش غیرقانونی ناشناس شوند، پردازش داده‌های غیرشخصی بعدی مسئولیتی در قبال GDPR ندارد. با این حال، هر گونه پردازش داده های شخصی بعدی همچنان مشمول مقررات خواهد بود.

چرا شرکت های هوش مصنوعی باید به راهنمایی ها توجه کنند؟

راهنمایی EDPB برای شرکت های فناوری بسیار مهم است. اگرچه هیچ قدرت قانونی ندارد، اما بر نحوه اجرای قوانین حفظ حریم خصوصی در اتحادیه اروپا تأثیر می گذارد.

در واقع، شرکت‌ها را می‌توان تا 20 میلیون یورو یا 4 درصد از گردش مالی سالانه آنها – هر کدام بزرگتر – به دلیل نقض GDPR جریمه کرد. حتی ممکن است از آنها خواسته شود که نحوه عملکرد مدل های هوش مصنوعی خود را تغییر دهند یا آنها را به طور کامل حذف کنند.

ببینید: قانون هوش مصنوعی اتحادیه اروپا: قوانین جدید اروپا برای هوش مصنوعی

شرکت‌های هوش مصنوعی به دلیل حجم گسترده داده‌های شخصی مورد نیاز برای آموزش مدل‌ها، که اغلب از پایگاه‌های داده عمومی تهیه می‌شوند، برای پیروی از GDPR تلاش می‌کنند. این امر چالش‌هایی را در حصول اطمینان از پردازش قانونی داده‌ها و رسیدگی به درخواست‌های دسترسی، اصلاحات یا پاک کردن موضوع داده ایجاد می‌کند.

این چالش ها در مبارزات حقوقی و جریمه های متعدد خود را نشان داده است. به عنوان مثال:

علاوه بر این، در ماه سپتامبر، اداره حفاظت از داده هلند Clearview AI 30.5 میلیون یورو جریمه شد برای جمع آوری غیرقانونی تصاویر چهره از اینترنت بدون رضایت کاربر، نقض GDPR. در همان ماه، DPC ایرلندی بلافاصله پس از اینکه ایلان ماسک را با موفقیت متقاعد کرد که ایکس X را متقاعد کرد، این نظر ارائه شود. استفاده از پست های عمومی کاربران اروپایی برای آموزش ربات چت هوش مصنوعی خود، Grok را متوقف کنید، بدون کسب رضایت آنها.



منبع: https://www.techrepublic.com/article/eu-guidance-ai-privacy-laws/