适用场景
面向全球市场、涉及开发或使用生成式人工智能(如AI对话、内容生成、算法推荐)的中国出海企业,尤其是在产品设计、上线及运营阶段。
核心要点
1. 全球监管趋严,数据保护是核心
以意大利对ChatGPT的禁令与整改为标志,欧美多国监管机构已对生成式AI展开密集调查与执法。监管焦点高度集中于个人数据处理的合法性、透明度及用户权利保障,企业需将数据保护置于AI合规的核心位置。
2. 明确数据处理的法律基础与角色
企业必须清晰界定自身在AI数据处理中的法律角色(控制者或处理者),并为数据处理(尤其是用于算法训练)建立坚实的合法性基础,如用户同意或合法利益,并确保用户拥有便捷的拒绝权。
3. 全面履行告知与用户权利保障义务
需以清晰易懂的方式,向所有受影响的个人(包括非用户)告知其数据如何被用于AI训练及服务运行。必须建立有效机制,响应用户的访问、更正、删除及拒绝处理其数据的权利请求。
4. 建立严格的年龄验证与未成年人保护机制
针对可能接触未成年用户的服务,必须设置可靠的年龄验证系统,严格过滤未达法定年龄的用户,并对13-18岁青少年用户要求获得监护人同意,这是监管审查的重点。
5. 确保内容准确性并管理自动化决策风险
需关注AI生成内容的准确性与潜在偏见,采取措施降低风险。若使用AI进行自动化决策,应考虑设置人工审查环节,以应对监管对歧视性结果和错误信息的关切。
实务建议
- 立即审查AI产品数据处理流程:明确数据收集、使用(特别是训练用途)的合法性基础,避免仅依赖‘履行合同’作为训练数据的依据。
- 制定并发布专项透明度声明:在官网显著位置发布关于算法训练原理、所用数据类型及用户权利的声明,并将其整合进用户注册流程。
- 上线便捷的用户权利行使渠道:在网站设置清晰入口,提供在线表单,方便用户行使数据删除、更正及拒绝用于训练的权利。
- 部署有效的年龄门槛系统:在产品登录或注册环节加入年龄确认步骤,并规划部署更严格的年龄验证技术方案。
- 提前进行数据保护影响评估(DPIA):对涉及个人数据的AI系统主动开展DPIA,识别并降低隐私与安全风险。
- 建立AI生成内容审核机制:对关键领域的AI输出内容(如医疗、金融建议)设置人工复核或质量监控流程。
风险提示
- 误区:认为仅遵守中国《生成式AI服务管理办法》即可,忽视欧美等地更严格的数据保护法(如GDPR)的域外适用效力。
- 误区:将用户协议作为处理数据用于算法训练的万能合法性基础,这可能不被欧盟等监管机构认可。
- 注意事项:AI训练数据中若包含个人数据,即使已脱敏,也可能因重新识别风险而受到监管关注。
- 注意事项:不要忽略对非用户数据主体的告知义务,若训练数据来源包含公开网络信息,可能涉及此类人群。
- 注意事项:年龄验证系统不能流于形式,简单的勾选确认可能无法满足监管要求,需投入技术手段确保有效性。