两个框架,一个AI系统

处理欧盟公民个人数据的每个AI系统必须同时符合GDPR和EU AI法案。这些不是替代框架--它们是同时适用的累积义务。围绕一个框架构建AI治理而不考虑另一个框架的组织面临重大合规缺口。

自动化决策:GDPR第22条

GDPR第22条为个人创建了不受仅基于自动化处理的决定约束的权利,该决定产生法律效果或类似重大影响。「仅自动化」门槛被数据保护机构解释为限制有意义的人工参与构成什么的方式--只是点头批准AI建议而不真正审查的人类不构成有意义的人工参与。人类必须能够理解AI逻辑,访问相关信息,并做出独立决定。

数据最小化与目的限制的张力

GDPR的数据最小化原则与AI模型开发产生直接张力--更多数据产生更好模型的一般原则。GDPR的目的限制原则意味着为一个目的收集的个人数据不能在没有新的法律依据或兼容性评估的情况下重新用于实质上不同的目的。将为一个目的收集的客户交易数据用于为不同产品训练欺诈检测模型并不自动合法。实践策略:将GDPR的数据保护影响评估(DPIA)流程扩展到AI系统,并将EU AI法案特定的影响评估与其整合;确保GDPR同意框架明确涵盖AI训练的数据使用。

对于处理欧盟公民个人数据的AI系统的组织,同时管理GDPR和EU AI法案合规的最有效方法是将它们视为互补的而非竞争的义务。两个框架都旨在保护个人免受AI风险,只是从不同角度:GDPR关注数据处理本身,EU AI法案关注特定高风险应用。建立将两者整合在一起的治理框架,而不是为每个框架建立单独的合规孤岛,是最有效率且最可持续的方法。

对于GDPR和EU AI法案双重合规,最具挑战性的是让两个不同的合规团队协调工作:数据保护官(DPO)负责GDPR合规,以及AI合规或风险团队负责EU AI法案合规。这两个团队可能对相同的AI系统有不同的视角和优先事项。建立跨职能工作组,明确协调两个合规领域的职责,以及创建整合GDPR和EU AI法案要求的统一AI系统评估框架,是管理双重合规复杂性的关键步骤。

随着AI技术和监管格局的持续演变,AI治理实践也需要不断适应。建立在坚实原则基础上的治理框架--问责制、透明度、人工监督、公平性--将比任何特定法规要求更加持久。投资于这些核心能力的组织不仅将在当前监管环境中做好准备,而且将在AI治理预期不可避免地提高的未来做好准备。AI治理不是一项要完成的项目,而是需要随着组织AI使用的演变而持续关注的能力。

处理两种制度下的监管调查

随着GDPR和EU AI法案的执法增加,对于两个框架都适用的AI系统,组织可能面临来自不同监管机构的并行调查--数据保护机构(GDPR)和国家市场监督机构(EU AI法案)。管理并行调查的最佳实践包括:建立协调这些关系的单一内部联系人;明确界定两个框架的适用范围(某些问题严格属于GDPR,某些属于EU AI法案,许多属于两者);维护统一的文件存储库,以便在不同的监管请求之间一致地响应;以及在两个监管框架都适用时考虑主动接触监管机构,以澄清要求并建立良好关系。EU AI法案的相对新颖性意味着监管机构本身仍在形成对某些场景如何适用这两种制度的看法--早期接触可以帮助塑造实践,同时保护您的组织免受意外的解释风险。