二つのフレームワーク、一つのAIシステム

EU市民の個人データを処理するすべてのAIシステムは、GDPRとEU AI法の両方に準拠しなければなりません。これらは代替フレームワークではありません--同時に適用される累積的な義務です。一方のフレームワークの周りにAIガバナンスを構造化した組織は、もう一方を考慮せずに重大なコンプライアンスのギャップに直面します。

自動化意思決定:GDPR第22条

GDPR第22条は、個人が法的効果または同様に重大な効果を生み出すプロファイリングを含む自動化処理のみに基づく決定に従わない権利を生み出します。「専ら自動化された」閾値はデータ保護当局によって意味のある人間の関与を何が構成するかを制限する方法で解釈されています。AIの推奨を実際にレビューすることなく承認する人間は意味のある人間の関与を構成しません。人間はAIロジックを理解し、関連情報にアクセスし、独立した決定を下すことができなければなりません。

データ最小化対モデルパフォーマンス

GDPRのデータ最小化原則は、個人データが処理される目的に必要な最小限に制限されなければならないことを要求します。この原則はAIモデル開発との直接的な緊張を生み出します。より多くのデータがより良いモデルを生み出すという一般原則があります。

大きなリッチなデータセットで信用リスクモデルをトレーニングすること--予測的でないと判明する変数を含む--は一般的なML実践です。GDPRの観点からは、トレーニング入力として使用されるだけのために人々の個人データを収集することは、特定の目的なしにデータ最小化原則に違反する可能性があります。

目的制限とトレーニングデータ

GDPRの目的制限原則は、一つの目的のために収集された個人データが新しい法的根拠または適合性評価なしに実質的に異なる目的に再利用されることを制限します。サービス提供のために収集された顧客トランザクションデータを別の製品の詐欺検出モデルをトレーニングするために使用することは自動的に合法ではありません--トレーニング使用が元の収集目的と適合しているかどうかの評価が必要です。

実践的なコンプライアンス戦略

GDPRとEU AI法の両方の要件を満たすための実践的なアプローチ:まず、GDPRのデータ保護影響評価(DPIA)プロセスをAIシステムに拡張します。GDPRはすでに特定の処理活動にDPIAを要求しており、AI固有の影響評価(EU AI法が高リスクAIに要求するもの)と統合できます。次に、GDPRの透明性要件(個人が自分のデータがどのように使用されているかを知る権利)をAIの開示要件(EU AI法が特定のAIの使用に要求するもの)と整合させます。最後に、GDPRの同意フレームワークがAIトレーニングへのデータ使用を明示的にカバーしているかどうかを確認します。