处理器是否可以使用数据来训练人工智能，且在保留处理器的同时改进产品？_项目动态_考试资讯_IAPP_合规类

当前位置：首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >

处理器是否可以使用数据来训练人工智能，且在保留处理器的同时改进产品？

2024-07-12 10:17:02

浏览量：0

关注我们，学习更多隐私合规讯息

向其他企业及其客户销售个人数据处理服务的组织通常更喜欢供应商根据《加州消费者隐私法》作为服务提供商，根据《欧盟通用数据保护条例》和类似法律作为处理者。

随着公司寻找额外数据来源来训练人工智能的竞争压力越来越大，根据数据隐私和保护法，处理器的组成参数将会受到越来越严格的审查。

处理器遵循说明

尽管商界对人工智能的关注仍处于开始阶段，但决定处理个人数据的方式和目的的实体（控制者）和代表控制者处理数据的实体（处理者）之间的区别已经存在了几十年，包括根据欧盟数据保护指令95/46/EC。

同样，根据1996年《美国健康保险可携带性和责任法案》，涵盖的实体与其商业伙伴（例如处理者）的区别也存在。

一个实体是否充当另一个实体的处理者是一个事实问题，控制者通常被要求对其处理者施加某些数据处理条款，包括禁止将个人数据用于未经授权的目的的合同禁令。

处理者只能代表控制者处理个人数据，否则他们可能面临监管制裁和违反合同和其他责任理论的私人索赔。

那么，处理者能对他们接收到的个人数据做些什么呢？

处理器可以使用数据来执行服务。在实践中，处理者指定了他们的服务，以及作为这些服务的一部分可以和将要执行的处理操作，例如在标准化服务描述或技术规范文档中，控制器决定是否要购买服务，并指示处理器对客户提供或生成的数据执行指定的处理操作。

处理者可能希望聚合客户数据，或以其他方式将其呈现为不构成适用法律规定的个人数据的数据，并使用非个人数据来改进和构建其服务，包括人工智能产品。但聚合或匿名化步骤必须由客户指示，并使客户受益。

如果供应商寻求客户的许可、同意或授权，将数据用于自己的目的——CCPA或HIPAA等法规没有明确规定——数据处理会破坏供应商作为处理者的地位，并可能迫使客户在向供应商披露个人数据之前履行各种义务，例如获得数据主体的特定同意。

如果客户授予供应商将个人数据用于自己目的的许可证，这也可能表明客户正在向供应商出售数据，从而触发美国州隐私法规定的合规义务，该法律不适用于处理器。

因此，控制者和处理者应明确控制者是否以及在多大程度上指示处理者将个人数据呈现为不再受数据隐私和保护法约束的数据，并可用于改进处理者自己的产品和服务。

CCPA

CCPA及其法规列出了服务提供商和承包商（即处理者）可以在其职责范围内执行的特定业务目的。

CCPA明确允许服务提供商执行的商业目的包括建立或提高向企业提供的服务的质量，以及出于防止欺诈的目的保留、使用或披露个人信息。

有趣的是，CCPA规定表明，服务提供商和承包商可以追求这些目的，“即使双方之间的书面合同中没有规定”。然而，各方应清楚合同中允许或不允许服务提供商和承包商做什么，因为CCPA不会凌驾于合同限制之上。

GDPR

欧洲数据保护委员会关于控制器和处理器的指导意见明确指出，控制器的指示和利益至关重要。在第三页，它指出：

“除非按照控制者的指示，否则处理者不得处理数据。控制者的指令仍可能在如何最好地为控制者的利益服务方面留下一定程度的自由裁量权，允许处理者选择最合适的技术和组织手段。然而，如果处理者超出控制者的说明，并开始确定自己的处理目的和方式，则该处理者将被视为该处理的控制者，并可能因超出控制者指令而受到制裁。”

因此，如前所述，控制器和处理器应专注于确保处理器的指令是清晰的，并且任何个人数据处理都是为了控制器的利益而进行的。

HIPPA

HIPAA要求涵盖的实体，如医疗保健提供者、健康计划和医疗保健信息交换所，在处理受保护的健康信息方面，对其业务伙伴施加某些合同条款。

受保护的实体本身将受到如何以及出于何种目的使用受保护的健康信息的限制，并且必须将这些限制传达给其业务伙伴。

有趣的是，HIPAA考虑到，受保护的实体可以但不必允许业务伙伴使用受保护的健康信息来提供数据聚合服务或对业务伙伴进行适当的管理和管理。

条例中的这一特定程度表明，缺乏此类合同许可可能意味着业务伙伴不得将受保护的健康信息用于与改进或发展其自身服务相关的任何目的。

五个关键考虑因素：