AI 和 PII 数据隐私合规性的新 ICO 指南

已发表: 2022-11-16

随着人工智能在我们的日常生活中变得越来越普遍，全球企业必须深入研究与人工智能系统使用相关的法律和监管职责。

2022 年 11 月，ICO 宣布了一套指导方针，指导组织如何根据英国的数据保护框架，以合乎道德和合法的方式使用人工智能和个人数据。

它补充了一些关于人工智能和个人数据使用的常见问题，例如是否应该进行影响评估，输出是否必须遵守准确性原则，以及组织是否需要授权才能分析个人数据。

本指南解释了数据保护规则如何应用于 AI 计划，同时关注此类项目可能提供的许多优势，帮助组织降低从数据保护的角度特别产生的风险。

在 ICO 网站上阅读更多关于这个方向的信息。

如何合法收集人工智能数据

ICO 的指南承认，虽然利用人工智能具有不可否认的优势，但如果不认真对待数据保护，它也会危及人们的自由和权利。为此，他们的指南为企业应如何评估和减轻这些风险提供了一个有用的框架。

该指南涵盖了企业可以采用的八个战略要素，以改进他们处理人工智能和个人数据的方式：

1. 在创建和实施 AI 时使用基于风险的程序

使用 AI 时，您应该根据情况确定是否有必要。当人工智能与个人信息交互时，它通常被认为是一种高风险技术。公司需要大量数据来改进其系统以使其正常工作，而我们的数据可能会被转售，变得不知道谁在接收它或如何使用它。

因此，可能会有更有效和保护隐私的替代品。

正如 ICO 所述，您必须评估风险并采取必要的组织和技术保障措施来降低风险。实际上，完全消除所有风险是不可能的，数据保护法也没有强制要求您这样做，但请确保您：

采用数据保护影响评估 (DPIA) 来确定和降低因使用人工智能而导致的不遵守数据保护法的风险，并防止对个人造成伤害
从您使用 AI 可能会影响到的许多团体寻求意见，以便更好地了解危险

当法律要求进行 DPIA 时，您必须在部署 AI 系统之前进行一次，并引入适当的组织和技术保障措施，以帮助减少或管理您发现的风险。在进行任何处理之前，如果您发现无法充分缓解的风险，法律要求您与 ICO 交谈。

2. 考虑如何向受影响的人解释人工智能系统的决定

根据 ICO 的说法，解释人工智能如何产生某些决策和结果可能具有挑战性，尤其是在涉及机器学习和复杂算法时——但这并不意味着你不应该向人们提供解释。

以下是 ICO 的建议：

对人们清楚、公开和透明地说明您如何以及为何收集和使用他们的个人数据
想想在你的人工智能系统将被使用的环境中需要什么理由
考虑人们可能如何看待你的解释
分析您的 AI 系统选择的可能影响，以确定您的理由应该有多彻底
考虑如何管理个人权利请求

3. 只收集创建人工智能系统所需的信息

ICO 建议尽可能限制数据收集。这并不是说不能收集数据——它仅意味着数据的管理方式符合 GDPR 标准。

你应该：

确保您使用的个人信息准确、充分、相关且有限——这将根据您使用 AI 的环境而有所不同
思考哪些隐私保护方法适合您使用 AI 处理个人数据的情况

数据保护的准确性原则并不要求人工智能系统 100% 正确。相反，组织应确保程序到位，以保证结果的公平性和整体准确性。

4. 在早期阶段标记偏见和歧视风险

人工智能系统在某些方面可能会产生偏见或导致歧视。这会产生不准确、不平衡的数据集，尽早解决这个问题是数据隐私合规的一个重要方面。

ICO 建议您：

确定您正在收集的数据对于社区或受 AI 系统影响的不同人群是否准确、有代表性、可靠、相关和最新
通过绘制对不同群体的潜在影响和结果，确定人工智能系统做出的判断是否可以接受

5. 投入时间和资源来正确准备数据

如前所述，人工智能的可靠性取决于它收集的数据。因此，组织需要确保投入足够的资源和时间来收集必要的数据。

ICO 建议：

当涉及到涉及受保护特征或特殊类别数据的数据标签时，应该有明确的标准和责任线
为了保持一致性并帮助处理异常情况，您应该让多个人工贴标机参与进来

6. 确保你的人工智能系统是安全的

人工智能系统有可能增加风险或引入新的安全漏洞。

在安全措施方面，没有放之四海而皆准的方法。但是，您必须遵守法律并采取适当的组织和技术保障措施，以提供与所识别的任何风险成比例的安全级别。

ICO 建议企业：

执行安全风险评估，其中包括所有 AI 系统的当前清单，以便您可以大致了解潜在事件可能发生的位置
执行模型调试，这是识别和解决模型缺陷的过程——由内部安全审计员或外部安全审计员执行
实施主动监控系统，调查任何违规行为

7. 人工智能决策的人类审查应该是有意义的

应该尽早确定输出是否用于帮助人类决策者，或者决策是否完全自主，具体取决于 AI 的目标。

ICO 强调数据主体有权知道涉及他们数据的选择是完全由他们自己还是在 AI 的帮助下做出的。该指南还建议，当它们被用来帮助一个人时，应对它们进行有意义的评估。

为确保这些评论有意义，评论者应该：

足够熟练地评估和质疑人工智能系统的结果
能够推翻自动判断
了解输入数据中未反映的其他因素

当决定具有法律或其他重大影响时，数据主体有权根据 GDPR 不受其约束。他们还有权期望获得有关决定背后原因的有意义的信息。

因此，即使是建议，人工智能在做重要决策时仍然需要人工审核。

8. 咨询外部供应商以确保您对 AI 的使用是适当的

从第三方购买人工智能系统并不能免除您遵守数据保护法规的责任。在大多数情况下，您将成为数据控制者，决定如何部署人工智能系统。

因此，您必须能够证明人工智能系统如何遵守数据保护法规。

ICO 建议企业：

通过在任何采购之前进行尽职调查来选择合适的供应商
在部署前与外部供应商合作进行评估（例如 DPIA）
与外部供应商建立角色和职责并记录下来（例如，谁将响应个人权利请求或进行安全检查）
向外部供应商索取证明他们尊重“设计隐私”的文件
考虑是否有任何个人数据将在国际范围内传输——如果是，确保尊重人们的隐私权

GDPR 和人工智能

尽管人工智能有可能成为一种有价值的工具，但随着它的发展，它也会对数据安全和隐私以及监管问题构成风险。

在讨论人工智能 (AI) 规则时，很难避免提到通用数据保护条例 (GDPR)。数据是 AI 应用程序的重要组成部分，而 GDPR 在创建更加规范的数据市场方面具有最大的全球影响力。

查看我们的 GDPR 和数据隐私中心，深入了解法规和合规性。