युरोपेली डाटा प्रोटेक्शन बोर्डले प्रकाशित गरेको छ राय AI मोडेलहरूमा डाटा सुरक्षालाई सम्बोधन गर्दै। यसले AI गुमनामता, डाटा प्रशोधनका लागि कानुनी आधार, र ब्लकमा सञ्चालन गर्ने प्राविधिक कम्पनीहरूका लागि डेटा विषयहरूमा पर्ने प्रभावहरूको लागि न्यूनीकरण उपायहरू समावेश गर्दछ।

यो आयरल्याण्डको डाटा संरक्षण आयोगको अनुरोधको प्रतिक्रियामा प्रकाशित गरिएको थियो, धेरै बहुराष्ट्रिय कम्पनीहरूको लागि GDPR अन्तर्गत प्रमुख पर्यवेक्षक प्राधिकरण।

निर्देशनका मुख्य बुँदाहरू के थिए?

DPC ले यस बारे थप जानकारी माग्यो:

1. कहिले र कसरी एआई मोडेललाई “अज्ञात” मान्न सकिन्छ – ती व्यक्तिहरू पहिचान गर्न असम्भव छन् जसको डाटा यसको सिर्जनामा ​​प्रयोग गरिएको थियो, र त्यसैले गोपनीयता कानूनबाट छुट छ।
2. जब कम्पनीहरूले AI मोडेलहरूको लागि व्यक्तिहरूको डेटा प्रशोधन गर्नमा “वैध चासो” छ भन्न सक्छन् र त्यसैले, तिनीहरूको सहमति खोज्न आवश्यक छैन।
3. एआई मोडेलको विकास चरणमा व्यक्तिगत डेटाको गैरकानूनी प्रशोधनको नतिजा।

ईडीपीबी अध्यक्ष अनु तालुसले भने प्रेस विज्ञप्ति: “एआई प्रविधिहरूले विभिन्न उद्योगहरू र जीवनका क्षेत्रहरूमा धेरै अवसरहरू र फाइदाहरू ल्याउन सक्छ। हामीले यी आविष्कारहरू नैतिक रूपमा, सुरक्षित रूपमा र सबैलाई फाइदा पुग्ने तरिकामा सुनिश्चित गर्न आवश्यक छ।

“ईडीपीबी व्यक्तिगत डाटा सुरक्षित र सामान्य डाटा सुरक्षा नियमनको पूर्ण सम्मानमा सुनिश्चित गरी जिम्मेवार एआई नवाचारलाई समर्थन गर्न चाहन्छ।”

जब एआई मोडेललाई ‘अनाम’ मान्न सकिन्छ

एआई मोडेललाई गुमनाम मान्न सकिन्छ यदि प्रशिक्षणको लागि प्रयोग गरिएको व्यक्तिगत डेटा कुनै पनि व्यक्तिलाई फिर्ता पत्ता लगाइने मौका – या त प्रत्यक्ष वा अप्रत्यक्ष रूपमा, प्रम्प्ट मार्फत – “तुलनीय” मानिन्छ। पर्यवेक्षक अधिकारीहरूले “केस-दर-केस” आधारमा अज्ञातताको मूल्याङ्कन गरिन्छ र “पहिचानको सम्भावनाको पूर्ण मूल्याङ्कन” आवश्यक हुन्छ।

यद्यपि, रायले मोडेल विकासकर्ताहरूले गुमनाम प्रदर्शन गर्न सक्ने तरिकाहरूको सूची प्रदान गर्दछ, जसमा:

• अप्रासंगिक वा अनुपयुक्त स्रोतहरू बाहेक व्यक्तिगत डेटाको सङ्कलनलाई रोक्न वा सीमित गर्न स्रोत चयनको क्रममा कदमहरू लिने।
• पुन: पहिचान रोक्न बलियो प्राविधिक उपायहरू लागू गर्दै।
• डेटा पर्याप्त रूपमा अज्ञात छ भनेर सुनिश्चित गर्दै।
• अनावश्यक व्यक्तिगत डाटाबाट बच्न डाटा न्यूनीकरण प्रविधिहरू लागू गर्दै।
• नियमित रूपमा परीक्षण र लेखा परीक्षण मार्फत पुन: पहिचान को जोखिम को मूल्यांकन।

पिन्सेन्ट मेसन्सका डाटा सुरक्षा वकिल क्याथरिन विनले भने कि यी आवश्यकताहरूले एआई कम्पनीहरूलाई गुमनाम दाबी गर्न गाह्रो बनाउनेछ।

“एआई मोडेललाई तालिम दिनको लागि डेटा प्रयोग गर्ने व्यक्तिको गोपनीयतालाई सम्भावित हानि, परिस्थितिमा निर्भर गर्दछ, अपेक्षाकृत न्यून हुन सक्छ र सुरक्षा र छद्म नामकरण उपायहरू मार्फत थप घटाउन सकिन्छ,” उनले भनिन्। कम्पनी लेख।

“यद्यपि, EDPB ले कानूनको व्याख्या गर्ने तरिकाले संस्थाहरूलाई बोझपूर्ण, र केही अवस्थामा अव्यावहारिक, विशेष रूपमा उद्देश्य सीमितता र पारदर्शिताको वरिपरि अनुपालन दायित्वहरू पूरा गर्न आवश्यक छ।”

जब एआई कम्पनीहरूले व्यक्तिको सहमति बिना व्यक्तिगत डाटा प्रक्रिया गर्न सक्छन्

EDPB रायले रूपरेखा दिन्छ कि एआई कम्पनीहरूले “वैध चासो” को आधारमा सहमति बिना व्यक्तिगत डेटा प्रशोधन गर्न सक्छन् यदि तिनीहरूले प्रदर्शन गर्न सक्छन् भने तिनीहरूको रुचि, जस्तै मोडेल वा सेवाहरू सुधार गर्ने, व्यक्तिको अधिकार र स्वतन्त्रताभन्दा बढी छ।

यो विशेष गरी प्राविधिक फर्महरूका लागि महत्त्वपूर्ण छ, किनकि मोडेलहरू प्रशिक्षित गर्न प्रयोग गरिने डेटाको ठूलो मात्राको लागि सहमति खोज्नु न त तुच्छ छ न आर्थिक रूपमा व्यवहार्य। तर योग्य हुन, कम्पनीहरूले यी तीन परीक्षणहरू पास गर्न आवश्यक हुनेछ:

1. वैधता परीक्षण: व्यक्तिगत डेटा प्रशोधन गर्नको लागि वैध, वैध कारण पहिचान गर्नुपर्दछ।
2. आवश्यक परीक्षण: डाटा प्रोसेसिङ उद्देश्यको लागि आवश्यक हुनुपर्छ। कम्पनीको लक्ष्य हासिल गर्ने अन्य कुनै विकल्प हुन सक्दैन, कम हस्तक्षेपकारी तरिकाहरू, र प्रशोधित डाटाको मात्रा समानुपातिक हुनुपर्छ।
3. सन्तुलन परीक्षण: डाटा प्रशोधनमा वैध चासोले व्यक्तिको अधिकार र स्वतन्त्रतामा प्रभाव पारेको हुनुपर्छ। यसले खातामा लिन्छ कि व्यक्तिहरूले यथोचित रूपमा उनीहरूको डेटालाई यस तरिकाले प्रशोधन गर्न अपेक्षा गर्दछन्, जस्तै यदि उनीहरूले यसलाई सार्वजनिक रूपमा उपलब्ध गराए वा कम्पनीसँग सम्बन्ध छ।

यदि कुनै कम्पनीले सन्तुलन परीक्षणमा असफल भए तापनि, यदि तिनीहरूले प्रशोधनको प्रभावलाई सीमित गर्न न्यूनीकरण उपायहरू लागू गरेमा डेटा विषयहरूको सहमति प्राप्त गर्न आवश्यक पर्दैन। त्यस्ता उपायहरू समावेश छन्:

• प्राविधिक सुरक्षा उपायहरू: सुरक्षा जोखिमहरू कम गर्ने सुरक्षाहरू लागू गर्दै, जस्तै इन्क्रिप्शन।
• छद्मनाम: डेटालाई एक व्यक्तिसँग लिङ्क हुनबाट रोक्नको लागि पहिचान योग्य जानकारी बदल्ने वा हटाउने।
• डाटा मास्किङ: वास्तविक सामग्री आवश्यक नहुँदा वास्तविक व्यक्तिगत डाटालाई नक्कली डाटासँग प्रतिस्थापन गर्दै।
• आफ्नो अधिकार प्रयोग गर्न डेटा विषयहरूको लागि संयन्त्र: व्यक्तिहरूलाई तिनीहरूको डेटा अधिकारहरू प्रयोग गर्न सजिलो बनाउँदै, जस्तै अप्ट आउट गर्ने, मेटाउने अनुरोध गर्ने, वा डाटा सुधारको लागि दाबी गर्ने।
• पारदर्शिता: मिडिया अभियानहरू र पारदर्शिता लेबलहरू मार्फत सार्वजनिक रूपमा डाटा प्रोसेसिंग अभ्यासहरू खुलासा गर्दै।
• वेब स्क्र्यापिङ-विशिष्ट उपायहरू: अनाधिकृत व्यक्तिगत डेटा स्क्र्यापिङलाई रोक्नको लागि प्रतिबन्धहरू लागू गर्दै, जस्तै डेटा विषयहरूमा अप्ट-आउट सूची प्रस्ताव गर्ने वा संवेदनशील डेटा बाहेक।

पिन्सेन्ट मेसनका टेक्नोलोजी वकिल माल्कम डाउडेनले कम्पनी लेखमा भने कि “वैध रुचि” को परिभाषा हालै विवादास्पद भएको छ, विशेष गरी बेलायतको डाटा (प्रयोग र पहुँच) विधेयकमा।

“एआईका अधिवक्ताहरूले सुझाव दिन्छन् कि एआई सन्दर्भमा डाटा प्रशोधनले नवीनतालाई ड्राइभ गर्छ र अन्तर्निहित सामाजिक राम्रो र फाइदाहरू ल्याउँछ जुन डाटा सुरक्षा कानून उद्देश्यका लागि ‘वैध रुचि’ गठन गर्दछ,” उनले भने। “विपक्षीहरूले विश्वास गर्छन् कि दृश्यले एआई-सम्बन्धित जोखिमहरूको लागि खाता गर्दैन, जस्तै गोपनीयता, भेदभाव वा ‘डिपफेक’ वा विकृतिको सम्भावित प्रसारबाट।”

परोपकारी प्राइभेसी इन्टरनेशनलका अधिवक्ताहरूले चिन्ता व्यक्त गरेका छन् कि ओपनएआईको जीपीटी श्रृंखला जस्ता एआई मोडेलहरू तीनवटा परीक्षणहरू अन्तर्गत राम्रोसँग छानबिन हुन सक्दैन किनभने तिनीहरूको अभाव छ। व्यक्तिगत डाटा प्रशोधन को लागी विशेष कारणहरु।

AI विकासमा गैरकानूनी रूपमा व्यक्तिगत डेटा प्रशोधन गर्ने परिणामहरू

यदि GDPR उल्लङ्घन गर्ने तरिकाले डेटा प्रशोधन गरेर मोडेलको विकास गरिन्छ भने, यसले मोडेललाई कसरी सञ्चालन गर्न अनुमति दिइनेछ भन्ने कुरालाई असर गर्छ। सान्दर्भिक प्राधिकरणले “प्रत्येक व्यक्तिगत मामलाको परिस्थिति” को मूल्याङ्कन गर्दछ तर सम्भावित विचारहरूको उदाहरणहरू प्रदान गर्दछ:

1. यदि एउटै कम्पनीले व्यक्तिगत डेटा राख्छ र प्रशोधन गर्छ भने, विकास र डिप्लोइमेन्ट चरणहरू दुवैको वैधता केस विवरणहरूमा आधारित मूल्याङ्कन गरिनुपर्छ।
2. यदि अर्को फर्मले डिप्लोइमेन्टको क्रममा व्यक्तिगत डेटा प्रशोधन गर्छ भने, EDPB ले विचार गर्नेछ कि त्यो फर्मले पहिले नै मोडेलको वैधताको उपयुक्त मूल्याङ्कन गरेको थियो।
3. यदि डेटा गैरकानूनी प्रशोधन पछि अज्ञात छ भने, त्यसपछिको गैर-व्यक्तिगत डेटा प्रशोधन GDPR लाई उत्तरदायी हुँदैन। यद्यपि, कुनै पनि पछिको व्यक्तिगत डेटा प्रशोधन अझै पनि नियमनको अधीनमा हुनेछ।

किन एआई फर्महरूले निर्देशनमा ध्यान दिनुपर्छ

EDPB को निर्देशन प्राविधिक फर्महरूको लागि महत्त्वपूर्ण छ। यद्यपि यसमा कुनै कानुनी शक्ति छैन, यसले EU मा गोपनीयता कानूनहरू कसरी लागू गरिन्छ भन्ने कुरालाई असर गर्छ।

वास्तवमा, कम्पनीहरूलाई GDPR उल्लङ्घनको लागि € 20 मिलियन वा तिनीहरूको वार्षिक कारोबारको 4% सम्म जरिवाना गर्न सकिन्छ – जुन ठूलो हो -। तिनीहरूले तिनीहरूको एआई मोडेलहरू कसरी सञ्चालन गर्छन् वा तिनीहरूलाई पूर्ण रूपमा मेटाउन पनि आवश्यक हुन सक्छ।

हेर्नुहोस्: EU को AI अधिनियम: कृत्रिम बुद्धिमत्ताको लागि युरोपको नयाँ नियम

AI कम्पनीहरू GDPR को पालना गर्न संघर्ष गर्छन् किनभने मोडेलहरू प्रशिक्षित गर्न आवश्यक पर्ने व्यक्तिगत डेटाको ठूलो मात्रामा, प्राय: सार्वजनिक डाटाबेसहरूबाट प्राप्त गरिन्छ। यसले वैध डेटा प्रशोधन सुनिश्चित गर्न र डेटा विषय पहुँच अनुरोधहरू, सुधारहरू, वा मेटाउनेहरूलाई सम्बोधन गर्न चुनौतीहरू सिर्जना गर्दछ।

यी चुनौतीहरू धेरै कानूनी लडाइँ र जरिवानाहरूमा प्रकट भएका छन्। उदाहरणका लागि:

थप रूपमा, सेप्टेम्बरमा, डच डाटा संरक्षण प्राधिकरण Clearview AI लाई € 30.5 मिलियन जरिवाना GDPR उल्लङ्घन गर्दै, प्रयोगकर्ताको सहमति बिना इन्टरनेटबाट अनुहारको छविहरू गैरकानूनी रूपमा सङ्कलन गरेकोमा। त्यही महिना, आयरिश डीपीसीले एलोन मस्कको एक्सलाई सफलतापूर्वक विश्वास दिलाएपछि राय तयार गर्न अनुरोध गर्‍यो। यसको AI च्याटबोट, Grok लाई तालिम दिन युरोपेली प्रयोगकर्ताहरूको सार्वजनिक पोष्टहरू प्रयोग गर्न बन्द गर्नुहोस्तिनीहरूको सहमति बिना।