AI 和 PII 數據隱私合規性的新 ICO 指南

已發表: 2022-11-16

隨著人工智能在我們的日常生活中變得越來越普遍，全球企業必須深入研究與人工智能係統使用相關的法律和監管職責。

2022 年 11 月，ICO 宣布了一套指導方針，指導組織如何根據英國的數據保護框架，以合乎道德和合法的方式使用人工智能和個人數據。

它補充了一些關於人工智能和個人數據使用的常見問題，例如是否應該進行影響評估，輸出是否必須遵守準確性原則，以及組織是否需要授權才能分析個人數據。

本指南解釋了數據保護規則如何應用於 AI 計劃，同時關注此類項目可能提供的許多優勢，幫助組織降低從數據保護的角度特別產生的風險。

在 ICO 網站上閱讀更多關於這個方向的信息。

如何合法收集人工智能數據

ICO 的指南承認，雖然利用人工智能具有不可否認的優勢，但如果不認真對待數據保護，它也會危及人們的自由和權利。為此，他們的指南為企業應如何評估和減輕這些風險提供了一個有用的框架。

該指南涵蓋了企業可以採用的八個戰略要素，以改進他們處理人工智能和個人數據的方式：

1. 在創建和實施 AI 時使用基於風險的程序

使用 AI 時，您應該根據情況確定是否有必要。當人工智能與個人信息交互時，它通常被認為是一種高風險技術。公司需要大量數據來改進其係統以使其正常工作，而我們的數據可能會被轉售，變得不知道誰在接收它或如何使用它。

因此，可能會有更有效和保護隱私的替代品。

正如 ICO 所述，您必須評估風險並採取必要的組織和技術保障措施來降低風險。實際上，完全消除所有風險是不可能的，數據保護法也沒有強制要求您這樣做，但請確保您：

採用數據保護影響評估 (DPIA) 來確定和降低因使用人工智能而導致的不遵守數據保護法的風險，並防止對個人造成傷害
從您使用 AI 可能會影響到的許多團體尋求意見，以便更好地了解危險

當法律要求進行 DPIA 時，您必須在部署 AI 系統之前進行一次，並引入適當的組織和技術保障措施，以幫助減少或管理您發現的風險。在進行任何處理之前，如果您發現無法充分緩解的風險，法律要求您與 ICO 交談。

2. 考慮如何向受影響的人解釋人工智能係統的決定

根據 ICO 的說法，解釋人工智能如何產生某些決策和結果可能具有挑戰性，尤其是在涉及機器學習和復雜算法時——但這並不意味著你不應該向人們提供解釋。

以下是 ICO 的建議：

對人們清楚、公開和透明地說明您如何以及為何收集和使用他們的個人數據
想想在你的人工智能係統將被使用的環境中需要什麼理由
考慮人們可能如何看待你的解釋
分析您的 AI 系統選擇的可能影響，以確定您的理由應該有多徹底
考慮如何管理個人權利請求

3. 只收集創建人工智能係統所需的信息

ICO 建議盡可能限制數據收集。這並不是說不能收集數據——它僅意味著數據的管理方式符合 GDPR 標準。

你應該：

確保您使用的個人信息準確、充分、相關且有限——這將根據您使用 AI 的環境而有所不同
思考哪些隱私保護方法適合您使用 AI 處理個人數據的情況

數據保護的準確性原則並不要求人工智能係統 100% 正確。相反，組織應確保程序到位，以保證結果的公平性和整體準確性。

4. 在早期階段標記偏見和歧視風險

人工智能係統在某些方面可能會產生偏見或導致歧視。這會產生不准確、不平衡的數據集，儘早解決這個問題是數據隱私合規的一個重要方面。

ICO 建議您：

確定您正在收集的數據對於社區或受 AI 系統影響的不同人群是否準確、有代表性、可靠、相關和最新
通過繪製對不同群體的潛在影響和結果，確定人工智能係統做出的判斷是否可以接受

5. 投入時間和資源來正確準備數據

如前所述，人工智能的可靠性取決於它收集的數據。因此，組織需要確保投入足夠的資源和時間來收集必要的數據。

ICO 建議：

當涉及到涉及受保護特徵或特殊類別數據的數據標籤時，應該有明確的標準和責任線
為了保持一致性並幫助處理異常情況，您應該讓多個人工貼標機參與進來

6. 確保你的人工智能係統是安全的

人工智能係統有可能增加風險或引入新的安全漏洞。

在安全措施方面，沒有放之四海而皆準的方法。但是，您必須遵守法律並採取適當的組織和技術保障措施，以提供與所識別的任何風險成比例的安全級別。

ICO 建議企業：

執行安全風險評估，其中包括所有 AI 系統的當前清單，以便您可以大致了解潛在事件可能發生的位置
執行模型調試，這是識別和解決模型缺陷的過程——由內部安全審計員或外部安全審計員執行
實施主動監控系統，調查任何違規行為

7. 人工智能決策的人類審查應該是有意義的

應該儘早確定輸出是否用於幫助人類決策者，或者決策是否完全自主，具體取決於 AI 的目標。

ICO 強調數據主體有權知道涉及他們數據的選擇是完全由他們自己還是在 AI 的幫助下做出的。該指南還建議，當它們被用來幫助一個人時，應對它們進行有意義的評估。

為確保這些評論有意義，評論者應該：

足夠熟練地評估和質疑人工智能係統的結果
能夠推翻自動判斷
了解輸入數據中未反映的其他因素

當決定具有法律或其他重大影響時，數據主體有權根據 GDPR 不受其約束。他們還有權期望獲得有關決定背後原因的有意義的信息。

因此，即使是建議，人工智能在做重要決策時仍然需要人工審核。

8. 諮詢外部供應商以確保您對 AI 的使用是適當的

從第三方購買人工智能係統並不能免除您遵守數據保護法規的責任。在大多數情況下，您將成為數據控制者，決定如何部署人工智能係統。

因此，您必須能夠證明人工智能係統如何遵守數據保護法規。

ICO 建議企業：

通過在任何採購之前進行盡職調查來選擇合適的供應商
在部署前與外部供應商合作進行評估（例如 DPIA）
與外部供應商建立角色和職責並記錄下來（例如，誰將響應個人權利請求或進行安全檢查）
向外部供應商索取證明他們尊重“設計隱私”的文件
考慮是否有任何個人數據將在國際範圍內傳輸——如果是，確保尊重人們的隱私權

GDPR 和人工智能

儘管人工智能有可能成為一種有價值的工具，但隨著它的發展，它也會對數據安全和隱私以及監管問題構成風險。

在討論人工智能 (AI) 規則時，很難避免提到通用數據保護條例 (GDPR)。數據是 AI 應用程序的重要組成部分，而 GDPR 在創建更加規範的數據市場方面具有最大的全球影響力。

查看我們的 GDPR 和數據隱私中心，深入了解法規和合規性。