关注我们，学习更多隐私合规讯息

大型语言模型提供了诸如更高的效率、生产力、研究和创新等好处。欧洲数据保护委员会工作组在其5月23日发布的报告中也承认了这一点。所有LLM都是使用数据集开发和培训的。

目前在挪威有关于LLM发展的激烈的公开辩论，提出了重要的隐私问题，特别是考虑到EDPB特别工作组的报告及其对OpenAI在其聊天机器人ChatGPT背景下处理的调查。一些人认为，最好的法律依据是同意，而不是合法利益。

任何人工智能技术的使用和发展都涉及数据处理，有时还涉及个人数据。

然而，LLM通常不会以可检索的格式保存从个人那里了解到的或与个人相关的信息，因此可以讨论欧盟通用数据保护条例在多大程度上适用。

LLM不是具有可检索信息的数据库，但确实包含语言模式。然而，如果实际处理个人数据，则需要GDPR中规定的法律依据。

工作组将LLM的发展阶段分为五类，其中培训数据的收集、预处理(包括过滤)和培训与围绕法律基础的讨论有关。

开发LLM的公司通常使用合法权益作为法律依据。这是可以理解的，因为获得每个人的同意，如果不是不可能的话，他们的数据可能被用于训练模型，这在逻辑上是具有挑战性的。

虽然EDPB工作小组并没有就什么法律依据是适当的给出明确的答案，但它保留了合法利益的可能性。它的使用需要控制器进行仔细的平衡测试。

根据实际LLM的使用以及如何将其用于更广泛的公共利益，控制人可能拥有这样的合法利益。

然而，针对不同目的开发LLM的方法有很多，这意味着根据每种情况的具体事实，平衡测试可能会有所不同。

虽然工作组确定合法利益可以作为前三个阶段的法律基础，但也有其他有趣的收获。

该工作组的报告重点关注ChatGPT及其开发商OpenAI，以及基于通过“网络抓取”(即第三方数据)获得的数据的收集、预处理和培训。

网络抓取包括自动收集和提取来自互联网上公开可用资源的数据。收集实体从与其没有直接关系的个人那里获取数据。

工作组没有说明，在从实体自己的客户(即第一方数据)收集的LLM使用的数据的情况下，其评估和考虑是否会有所不同。但是，在培训LLM时，区分使用第一方数据和第三方数据重要吗?

在某种程度上，第一方数据是公开的，第一方数据和第三方数据之间的区别似乎无关紧要，因为根据定义，一个控制者的第三方数据总是另一个控制者的第一方数据。

而且，从概念上讲，由用户公开的公司的第一方数据将是收集公共数据的另一家公司的第三方数据。

虽然GDPR的基本原则适用于第一方和第三方数据，私人和公共个人数据，但当控制者与用户有关系时，实施的主要区别在于透明度要求。

平衡测试涉及评估各种要素，其中控制者应该考虑与个人的关系，如果他们可以预期他们的数据被用于相关的处理活动，数据处理活动的实际影响以及是否实施了选择退出机制。

从私隐的角度来看，就提供给数据主体的透明度而言，与相关数据主体缺乏直接关系意味着较低程度的控制。

在LLM培训或人工智能产品开发中使用其第一方数据的公司将更有能力随时通知其客户或用户预期的处理活动，以实施适当的保障措施，例如选择退出解决方案和管理数据主体请求的工具。

此外，特别工作组指出，适当的保障措施在减少对数据主体的不当影响方面发挥着特殊作用，这种保障措施可能会改变平衡测试，使其有利于控制者。

它指出，从数据源中排除某些“敏感”来源可能是一种保护措施，例如公共社交媒体资料。

有趣的是，工作组并没有提供任何基于GDPR的理由，来解释为什么人们表达自己并公开分享意见的公共社交媒体档案应该被排除在外，以确定LLM的语言模式。

这是该报告的一个弱点，也许是因为工作组关注的是OpenAI获得的第三方数据。

一般来说，GDPR并不禁止处理社交媒体平台的个人数据。处理此类数据可能会影响平衡测试，特别是如果这些数据由个人保密。

乍一看，从隐私的角度来说，OpenAI排除社交媒体数据的收集似乎有很好的理由。

然而，OpenAI和个人之间没有直接互动的事实适用于任何第三方数据——这并不适用于社交媒体数据。

此外，如果使用社交媒体平台的个人可能没有预料到OpenAI通过“网络抓取”收集他们的数据，那么同样的情况也适用于任何其他公开可用的数字资源，比如对酒店、餐馆、报纸文章或个人博客的评论。

无论如何，通过社交媒体或其他方式产生的第三方使用提出了如何向这些个人提供有关设想的培训和选择退出程序的充分信息的问题。

这些考虑在平衡测试中是相关的。限制更可能是个人数据密集型的来源类型——例如，可识别的公共个人资料或私人信息，而不是公共评论——因此，对第三方数据的网络抓取可能是组织改变平衡测试以支持控制者的保障。

换句话说，在使用第三方数据时，有充分的理由评估和排除特定的来源。但是，如果控制器打算使用其第一方数据来培训自己的LLM，那么同样适用吗?再说一次，这些第一方数据是私人的还是公开的有关系吗?

当然，答案取决于平衡测试中需要考虑的各种因素。然而，我们有充分的理由不太精确地解释工作组的措辞。毕竟，该报告关注的是第三方数据的处理，特别是ChatGPT。

从隐私的角度来看，第一方数据的处理并不需要根据GDPR第14(5)(b)条使用豁免。控制器将能够向用户提供信息，并提前选择退出处理。无论手头的数据是第一方数据还是第三方数据，选择退出程序必须是公平的。

提供信息和选择退出的可能性相结合，将使数据主体能够更容易地行使其权利，并有更大的控制和更高的透明度。

此外，对于第一方数据，控制者和用户之间通常存在合同关系。与不存在这种关系的数据处理相比，使用与之存在合同关系的数据的控制者可以保持更高水平的透明度。

基于第一方和第三方数据处理之间的固有差异，以及这些数据的私有和公共性质之间的差异，没有很好的理由断然排除为开发法学博士而处理第一方数据，无论这些数据是通过社交媒体还是其他方式产生的。

我们认为，在许多情况下，这种使用可能是基于合法利益。

挪威的数据保护机构Datatilsynet正在解决什么样的法律依据是正确的问题。似乎DPA将与欧洲经济区的数据保护当局协调讨论的结果，可能还有EDPB。这是一个重要的讨论。

dpa的观点和EDPB的观点的后果对欧洲未来如何发展人工智能有很大的影响。

在这种情况下，将同意作为唯一可能的法律依据，很难增强欧盟开发健全人工智能工具的可能性。我们希望基于合理的平衡测试和公平的选择退出解决办法的合法利益得到承认。

文章整理于：

https://iapp.org/news/a/ai-development-raises-question-of-legal-basis

由隐私合规交流圈 隐小私整理，转发请备注出处

随着人工智能技术的扩展，各行各业的专业人员都需要了解并执行负责任的人工智能治理。AIGP（人工智能治理专家） 证书表明个人可以确保道德人工智能的开发和部署以及人工智能系统的持续管理的安全性和信任度。

这个证书是IAPP协会2024年第一季度发行的人工智能领域的证书，目前持有者较少，是现阶段市场上权威性较高的人工智能领域方面的证书。该证书表明，个人可以确保道德人工智能的开发和部署以及人工智能系统的持续管理的安全和信任。

第一，建立人工智能系统及其用例、人工智能的影响以及负责任的人工智能原则的理解的基础知识。

第二，展示对当前和新兴法律如何适用于人工智能系统的理解，以及如何能够负责任地管理主要框架。

第三，展现对人工智能生命周期、人工智能风险的管理背景以及负责任的人工智能治理实施的理解。

第四，展示对人工智能不可预见的问题的认识以及对围绕人工智能治理的争论问题的了解。

‍适学群体：

推荐理由：

更多课程在线听讲

『 扫码获取解析，并评估AIGP考试资格 』

感觉不错你就赞赞我吧！

点分享

点点赞

点在看

戳这个，领取AIGP备考资料