关注我们,学习更多隐私合规讯息
向其他企业及其客户销售个人数据处理服务的组织通常更喜欢供应商根据 《加州消费者隐私法》作为服务提供商,根据《欧盟通用数据保护条例》和类似法律作为处理者。
随着公司寻找额外数据来源来训练人工智能的竞争压力越来越大,根据数据隐私和保护法,处理器的组成参数将会受到越来越严格的审查。
处理器遵循说明
尽管商界对人工智能的关注仍处于开始阶段,但决定处理个人数据的方式和目的的实体(控制者)和代表控制者处理数据的实体(处理者)之间的区别已经存在了几十年,包括根据欧盟数据保护指令95/46/EC。
同样,根据1996年《美国健康保险可携带性和责任法案》,涵盖的实体与其商业伙伴(例如处理者)的区别也存在。
一个实体是否充当另一个实体的处理者是一个事实问题,控制者通常被要求对其处理者施加某些数据处理条款,包括禁止将个人数据用于未经授权的目的的合同禁令。
处理者只能代表控制者处理个人数据,否则他们可能面临监管制裁和违反合同和其他责任理论的私人索赔。
那么,处理者能对他们接收到的个人数据做些什么呢?
处理器可以使用数据来执行服务。在实践中,处理者指定了他们的服务,以及作为这些服务的一部分可以和将要执行的处理操作,例如在标准化服务描述或技术规范文档中,控制器决定是否要购买服务,并指示处理器对客户提供或生成的数据执行指定的处理操作。
处理者可能希望聚合客户数据,或以其他方式将其呈现为不构成适用法律规定的个人数据的数据,并使用非个人数据来改进和构建其服务,包括人工智能产品。但聚合或匿名化步骤必须由客户指示,并使客户受益。
如果供应商寻求客户的许可、同意或授权,将数据用于自己的目的——CCPA或HIPAA等法规没有明确规定——数据处理会破坏供应商作为处理者的地位,并可能迫使客户在向供应商披露个人数据之前履行各种义务,例如获得数据主体的特定同意。
如果客户授予供应商将个人数据用于自己目的的许可证,这也可能表明客户正在向供应商出售数据,从而触发美国州隐私法规定的合规义务,该法律不适用于处理器。
因此,控制者和处理者应明确控制者是否以及在多大程度上指示处理者将个人数据呈现为不再受数据隐私和保护法约束的数据,并可用于改进处理者自己的产品和服务。
CCPA
CCPA及其法规列出了服务提供商和承包商(即处理者)可以在其职责范围内执行的特定业务目的。
CCPA明确允许服务提供商执行的商业目的包括建立或提高向企业提供的服务的质量,以及出于防止欺诈的目的保留、使用或披露个人信息。
有趣的是,CCPA规定表明,服务提供商和承包商可以追求这些目的,“即使双方之间的书面合同中没有规定”。然而,各方应清楚合同中允许或不允许服务提供商和承包商做什么,因为CCPA不会凌驾于合同限制之上。
GDPR
欧洲数据保护委员会关于控制器和处理器的指导意见明确指出,控制器的指示和利益至关重要。在第三页,它指出:
“除非按照控制者的指示,否则处理者不得处理数据。控制者的指令仍可能在如何最好地为控制者的利益服务方面留下一定程度的自由裁量权,允许处理者选择最合适的技术和组织手段。然而,如果处理者超出控制者的说明,并开始确定自己的处理目的和方式,则该处理者将被视为该处理的控制者,并可能因超出控制者指令而受到制裁。”
因此,如前所述,控制器和处理器应专注于确保处理器的指令是清晰的,并且任何个人数据处理都是为了控制器的利益而进行的。
HIPPA
HIPAA要求涵盖的实体,如医疗保健提供者、健康计划和医疗保健信息交换所,在处理受保护的健康信息方面,对其业务伙伴施加某些合同条款。
受保护的实体本身将受到如何以及出于何种目的使用受保护的健康信息的限制,并且必须将这些限制传达给其业务伙伴。
有趣的是,HIPAA考虑到,受保护的实体可以但不必允许业务伙伴使用受保护的健康信息来提供数据聚合服务或对业务伙伴进行适当的管理和管理。
条例中的这一特定程度表明,缺乏此类合同许可可能意味着业务伙伴不得将受保护的健康信息用于与改进或发展其自身服务相关的任何目的。
五个关键考虑因素:
1.如果供应商数据的使用被限制在法定的处理器或服务提供商角色的范围内,客户和供应商将受益。每个数据处理合同都应限于法律要求的限制,并与商业条款分开。
2.供应商通常应寻求并以合同形式记录说明,而不是许可或执照。指令可以利用法定许可,如CCPA法规或HIPAA,并且可以与法律要求的数据处理/服务提供商条款分开。
3.供应商应详细描述服务和数据处理活动,以获得有意义的指示并使客户处于控制之中。
4.依赖供应商提供数据处理服务的公司还应考虑个人数据的披露是否过度。美国和世界各地的各种法律对控制器和所涵盖的实体提出了数据最小化要求。
5.真正的匿名数据不受隐私法的限制。没有人拥有数据。
文章整理于
https://iapp.org/news/a/can-processors-use-data-to-train-ai-improve-products-while-remaining-a-processor,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
AIGP试听课新鲜出炉
AIGP中英文双语视频课新鲜出炉,了解《欧盟人工智能法案》的要求及主要风险管理、法律法规!快来抢先学习!
往期直播回顾
扫码即可立即学习
电脑端观看:http://navo.top/Z3MvEf
扫码即可立即学习
电脑端观看:http://navo.top/YJFBfq
扫码即可立即学习
电脑端观看:http://navo.top/eQvUfi
扫码即可立即学习
电脑端观看:http://navo.top/VRru6z
扫码即可立即学习
电脑端观看:http://navo.top/yYJRFn
更/多/AI/文章
学员经验
往/期/回/顾
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
AIGP证书的报考条件是什么?如何备考呢?一起听听老师的分享