人工智能技术发展及其法律监管早在如今已是重要议题,共同反映了国际社会对于AI技术监管的关注和努力,以及确保技术发展与社会价值观相协调的必要性。提出构建一个健康、安全、透明和负责任的人工智能生态系统,既促进了技术的进步,也保护了社会价值和公民权利。
01 《加州数字内容溯源标准法案》
随着生成式人工智能技术的突破与应用,生成合成内容已成为互联网信息内容的重要部分,需要关注其治理挑战。加州通过了《加州数字内容溯源标准法案》,要求在AI合成图像与视频的元数据中嵌入来源水印,提示用户内容的合成性质,增强数据可靠性,来确保内容的透明度和可追溯性。
- 主要内容:法案明确了合成内容、生成式人工智能提供者、大型在线平台、元数据、数字指纹、水印和来源数据等概念,并提出了相关主体的义务。
- 生成式AI提供者义务:包括添加来源数据、进行对抗性测试、提供检测服务等。
- 大型在线平台义务:要求明确标记人工智能合成内容,对来源数据进行标识,并发布透明度报告。
- 软件和在线服务提供商、录音录像设备制造商的义务:禁止提供移除来源数据的应用程序、工具或服务,并整合内容来源数据和水印技术到产品中。
- 法律责任:违反法案的企业将面临罚款。
02 《关于数据抓取与隐私保护的最终联合声明》
加拿大发布的关于数据抓取与隐私保护的联合声明,确保社交媒体公司和网站运营商保护公开可访问的个人信息,强调大规模数据抓取可能构成数据泄露,中小企业也应通过技术控制保护个人数据。
加拿大隐私专员办公室(OPC)发布了《关于数据抓取与隐私保护的最终联合声明》,旨在规范网络上的个人信息数据抓取行为,并强调社交媒体公司和网站运营商保护个人数据的义务。
社交媒体公司面临数据抓取者增多、技术发展、区分抓取者和合法用户等挑战,但已有措施如速率限制、监测新账户、采用CAPTCHA程序等来防范非法抓取。中小企业虽资源有限,但也需采取技术和管理措施保护个人数据免受非法抓取。
声明中提到社交媒体公司在某些情况下允许合法的数据抓取,但强调合法性基础和透明度的重要性。为研究和其他潜在社会公益目的而获取数据的情形,社交媒体公司可能被要求或自愿向第三方提供数据访问,但必须确保符合数据保护和隐私法律。在使用抓取数据和自有数据进行人工智能开发时,企业同样必须遵守。
03 《人工智能公约》
欧盟公布《人工智能公约》,企业承诺人工智能治理战略,识别高风险AI系统并提高员工对AI的认识,采取具体行动提前遵守《人工智能法案》。来自不同的行业和规模的超百家企业签署欧盟《人工智能公约》,包括IT、电信、医疗保健等。
《人工智能公约》旨在促进欧盟《人工智能法案》的有效实施,突出了企业在实施人工智能法案中的自愿承诺和责任。该公约围绕两个支柱构建,支柱一是创建协作社区,分享经验和知识;支柱二是促进公司承诺,鼓励企业提前准备并采取行动以符合立法要求,通过企业参与和自愿承诺,提前实施《人工智能法案》的要求和义务。参与企业将通过建立共识、采取具体行动、共享知识等方式,建立对《人工智能法案》目标的共识,并确保AI技术的可信赖性。
04 《人工智能与人权、民主和法治框架公约》
随着人工智能技术的广泛应用,其带来的潜在风险和挑战也日益显现,因此制定《人工智能与人权、民主和法治框架公约》,为AI系统的活动提供了全面的法律框架。该公约作为一个全球性的法律框架,由欧洲委员会起草并开放给各国签署,旨在规范AI系统的发展和应用,确保符合人权、民主和法治的原则。
公约通过建立管理框架来识别、评估、预防和缓解AI风险,提供有效补救措施和保障知情权、申诉权,引导人工智能技术的健康发展,保护人类的基本权利和自由。公约明确了AI系统的定义,规定了缔约方在AI系统生命周期内的活动中的责任和义务,包括保护人权、尊重法治、确保透明度、落实问责制、保障平等和非歧视、保护隐私、促进安全创新等原则。
公约建立了缔约方会议,负责定期磋商和促进公约的有效应用。缔约方需要建立监督机制,确保公约义务的遵守,并在必要时提供补救措施。公约规定了条款变更的程序和公约的生效机制。公约对签署方开放,经过批准后生效,并允许非参与制定的国家在满足一定条件后加入。
05 企业责任
企业在利用人工智能技术带来的便利和创新的同时,确保个人数据的隐私得到充分的保护。首先,确保AI在处理个人数据时遵守隐私保护原则,首要步骤是遵守相关的法律和政策框架。其次,采用加密、匿名化、去标识化等技术措施来保护个人数据的隐私。
再次,与第三方服务提供商合作时,确保他们也遵守相应的隐私保护标准,并通过合同条款强化这一要求。最后,积极参与公众教育活动,提高公众对隐私权和个人数据保护的认识。
企业在使用AI处理个人数据时,需要承担以下责任:
- a. 数据最小化原则
只收集实现特定目的所必需的最少数据。
避免过度收集或存储个人数据。
- b. 透明性原则
向数据主体清晰地通报数据的收集、处理目的、共享情况等。
提供明确的隐私政策,并确保易于访问和理解。
- c. 用户同意
在收集和处理个人数据前,获取数据主体的明确同意。
对于敏感数据,应当获取显式同意。
- d. 数据安全
实施适当的技术和组织措施保护个人数据免受未经授权或非法的处理、意外丢失、破坏或损坏。
定期进行安全评估和风险分析。
- e. 数据保留期限
根据数据的性质和处理目的,设定合理的数据保留期限,并在期限结束后删除数据。
- f. 数据主体权利
尊重并实施数据主体的权利,包括访问、更正、删除(被遗忘权)、限制处理、数据携带权和反对自动化决策(包括剖析)的权利。
- g. 法律责任
在数据泄露或其他违规行为发生时,及时通知相关监管机构,并向受影响的个人提供必要的信息和支持。
承担因违反隐私保护原则所产生的法律责任。
- h. 隐私影响评估
在开发新产品或服务,或对现有产品和服务进行重大更新时,进行隐私影响评估,以识别和缓解潜在的隐私风险。
- i. 内部政策和程序
制定和维护内部数据保护和隐私政策及程序,确保员工了解并遵守相关法律和公司政策。
对处理个人数据的员工进行隐私和数据保护方面的培训。
- j. 持续监控和改进
定期监控和评估数据处理活动,确保隐私保护措施的有效性。
根据技术进步、法律变更和业务需求的变化,不断改进隐私保护措施。
确保AI向善和可持续发展,海外接连陆续颁布有关数字内容、个人数据保护以及企业责任的法案、联合声明以及公约等,为我们明确需要通过以下六个方面的努力:
- 一是增强透明度和可追溯性,通过数字水印和来源数据的嵌入,提高AI生成内容的透明度,允许用户了解内容的真实来源。
- 二是强化个人数据保护,加强对个人信息的保护,防止未经授权的数据抓取和滥用,尤其是对于公开可访问的个人信息。
- 三是明确企业责任,企业需采取主动措施,包括实施AI治理战略,提高员工对AI的理解,以及遵守即将生效的法规。
- 四是维护人权和法治,通过国际公约确保AI的发展和应用尊重人权、民主原则和法治,包括建立监督机制和问责制度。
- 五是促进多方合作,政府、企业和个人之间的合作,共同推动AI的负责任发展和应用。
- 六是建立风险评估和管理框架,对AI系统进行风险评估,采取适当措施以减轻可能的负面影响。
来源:CAICT互联网法律研究中心,本篇针对全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
欢迎领取数字人才中国方案,一起产研内训、知识平台共建!请在我们的微信公众号“idtzed”对话框内,发送“入”添加老邪企业微信获取。
欢迎先注册,登录后即可下载检索个人信息等相关标准、白皮书及报告。更多高质量纯净资料下载,进入公众号菜单“治库”。
一条评论