摘要
1.尽管生成式人工智能目前尚未完全具备合法性,但荷兰数据保护机构(以下简称AP)认为有可能朝着合法开发和部署生成式人工智能的方向发展。AP 的法律分析发现,生成式人工智能在适用《通用数据保护条例》(GDPR)时存在一些不符合规则性的情况和不确定性。然而,通过合理组织开发和部署流程,可以避免这些问题。本文将讨论在 GDPR 框架下的适用条件和可能性。
2.AP 认为,在基础模型开发过程中很可能出现了不符合规则性的情况。总体估计是,根据当前实践,几乎所有现有的生成式人工智能模型在合法性方面都存在不足。生成式人工智能应用依赖于所谓的“基础模型”。为了训练这些模型,几乎使用了互联网上所有可公开获取的数据(通过爬取)。其中包含了一些个人数据,这些数据并非由数据主体本人公开。因此,基础模型中很可能包含了非法收集的特殊类别个人数据。AP 指出,这些特殊类别个人数据仅占用于训练基础模型数据的一小部分,但这并不能改变这些数据是非法获得的事实。然而,根据欧洲数据保护委员会(EDPB)的分析,荷兰和欧洲各方继续使用这些基础模型本身并不一定违法。
3.在应用层面,AP 确定了负责任地部署生成式人工智能的一些适用条件、挑战和机遇。这些应用有明确的目的,并在经过彻底的风险评估并采取适当保障措施后用于该目的。AP 还看到了生成式人工智能领域的其他机遇和挑战,这些与下面列出的数据保护框架条件无关。例如,提高用户对在生成式人工智能应用中共享敏感数据的意识。《负责任地前行:荷兰数据保护机构对生成式人工智能的愿景》白皮书更详细地探讨了这些机遇和挑战。
4.关于已收集个人数据的进一步处理的适用条件将在后续版本中详细阐述。可能存在一些情况,某一方希望将其已收集的个人数据用于进一步训练生成式人工智能模型。通常,这些已收集的数据本身不足以用于训练基础模型。在这种情况下,进一步处理偏离了原始处理目的。因此,需要评估这种进一步处理是否与原始目的兼容(根据 GDPR 第6 条第4 款)。这一分析超出了本文的范围,可能会在本文的后续版本中涉及。
1. 引言
同时发布的《负责任地前行:荷兰数据保护机构对生成式人工智能的愿景》的咨询性愿景文件描述了 AP 对生成式人工智能的理解、它为社会带来的机遇以及它所构成的风险。此外,该愿景文件还描述了如何负责任地拥抱生成式人工智能。为此,生成式人工智能的开发者和用户在这些模型和/或应用中处理个人数据时必须遵守 GDPR 下的义务。本文特别适用于开发生成式人工智能或希望在其业务运营中使用生成式人工智能的专业人士。
本文可以独立阅读,也可以作为《负责任地前行:荷兰数据保护机构对生成式人工智能的愿景》文件的补充。在本文中,我们将首先简要定义生成式人工智能。然后,我们将阐述生成式人工智能开发过程,并探讨一些生成式人工智能适用 GDPR 的主要条件(这些条件并非穷尽性的)。对于每个适用条件,我们将指出它适用于哪些方,并指出负责任开发和部署的机会所在。
AP 意识到这项技术正在迅速变化,并且目前在社会上引起了广泛讨论。因此,这些 GDPR 适用条件反映了 AP 在发布时(2025 年 5 月)对该技术现状的看法。欧盟数据保护委员会(EDPB)目前正在起草生成式人工智能指南,AP 正在积极参与其中。因此,以下适用条件可能会发生变化。AP 还强调,除了下面列出的适用条件外,开发或使用生成式人工智能模型和应用时还可能适用其他 GDPR 义务。
2. 对生成式人工智能的基本理解
生成式人工智能的定义
生成式人工智能(生成式人工智能)是一种能够生成新数据的人工智能形式。最受欢迎的生成式人工智能应用能够创建文本和图像,这些内容几乎无法被识别为由人工智能生成。本指南涉及能够生成逼真数据的人工智能模型,以及这些模型所属的系统和应用。
生成式人工智能模型可以生成和控制各种不同形式的输出。这些模型可以作为许多不同专业应用的基础,并可用于各种目的。这类模型通常被称为“基础模型”或“通用目的人工智能模型”。在我们的路径中,所有这些模型都属于生成式人工智能的范畴。除了本指南的范围之外,还有许多其他形式的人工智能。人工智能技术已经开发了很长时间,例如,它被广泛用于数据分类。然而,这些模型无法生成数据,这是它们与生成式人工智能的主要区别。
训练生成式人工智能模型
简单来说,训练生成式人工智能模型可以被视为一系列连续的步骤:
数据收集:通过爬取等方式收集样本数据。
数据清洗:在清洗步骤中移除不需要的示例(如个人数据或仇恨内容)。
训练参数:基于样本数据中的模式以及可能的强化学习训练参数。
微调:微调使模型适应特定应用或限制。
模型部署:这些步骤的结果是一个经过训练的生成式人工智能模型被部署到具体的应用场景中。
由于生成的数据通常会再次被收集用于训练,因此存在一个反馈循环。

合法性示意图
在下图中,我们展示了开发和部署生成式人工智能模型的不同情况。开发和/或部署生成式人工智能模型或应用是否合法并非绝对的,它在很大程度上取决于开发或部署这些模型和应用的上下文因素,正如 GDPR 的适用条件所要求的那样。
在以下情况中,控制者 A 开发了一个基础模型。然后,控制者 B 进一步微调并部署了该基础模型。 控制者 A 在此场景中开发了一个包含通过爬取非法收集的个人数据的基础模型。这些个人数据随后被清洗。这种数据收集的非法性可能源于缺乏 GDPR 第6 条下的合法基础,或者无法援引 GDPR 第9 条下的豁免。然后,控制者 A 将该模型提供给控制者 B。后者使用基础模型进一步微调和/或构建生成式人工智能应用。然后可以区分两种情况:
场景 1:控制者 A 已经可验证地匿名化了基础模型中的所有个人数据
根据欧盟数据保护委员会(EDPB)和欧盟法院(CJEU)的意见,生成式人工智能模型的可验证匿名性应根据数据主体被识别的可能性等因素进行评估。如果控制者 B 在微调或部署其生成式人工智能应用时未处理匿名化基础模型中的个人数据,则根据 EDPB 的意见,GDPR 不再适用。在这种情况下,没有使用个人数据进一步训练基础模型,控制者 B 未处理个人数据。
如果控制者 B 使用匿名化的微调模型与包含个人数据的数据集,或在使用过程中处理个人数据,则这种微调和使用本身并不一定违法。在这种情况下,开发基础模型的非法性不影响控制者 B。在这种情况下,EDPB 认为控制者 B 自身需要一个处理个人数据的合法基础。然而,这并不影响控制者 A 可能因在数据收集、数据清洗和基础模型开发过程中所犯的非法行为而被主管机关追究责任。
场景 2:控制者 A 未(可验证地)匿名化基础模型
如果控制者 A 未(可验证地)匿名化基础模型,则 GDPR 仍然适用。然而,控制者 A 处理的非法性并不意味着控制者 B 的处理也一定是非法的。控制者 B 将需要对其使用控制者 A 开发的包含非法获得个人数据的模型进行全面的合规性评估。该评估的深度取决于多个因素。例如,使用基础模型对数据主体带来的风险是什么。如果该评估表明,用于训练基础模型的数据集中包含特殊类别个人数据,则控制者 B 不能使用该模型,因为这未构成 GDPR 第9 条处理敏感个人数据的合法性基础。
如果评估显示基础模型中未使用特殊类别个人数据训练,则对该基础模型的微调和进一步使用本身并不一定违法。控制者 B 将需要为其微调和部署生成式人工智能模型和应用拥有自己的合法基础。正如在第一种情况中一样,控制者 A 仍需对其在数据收集、数据清洗和基础模型开发过程中发生的不符合规则性的情况负责。

生成式人工智能适用GDPR 的条件
正如上图所示,只要处理了个人数据,GDPR 在生成式人工智能开发部署的多个步骤中适用。在收集过程中处理个人数据,即使在数据集清洗后,这些数据集仍可能包含个人数据。例如,用于训练生成式人工智能模型或微调的数据集可能包含个人数据。此外,在使用生成式人工智能应用时也可以输入个人数据,例如在医疗保健领域支持生成式人工智能应用的情况。生成式人工智能应用可以为患者的问题创建草稿答案,然后由医疗保健提供者进行审核并发送。此外,日益流行的“人工智能代理”也可以处理个人数据,例如协助在线订购产品的 AI 代理。通常,AI 代理会收集位置数据和财务数据等信息。
GDPR 不仅对生成式人工智能模型的开发者(“提供者”)施加义务,也对进一步微调这些模型和/或将其用于自身用途的各方(“部署者”)施加义务。下面我们将列出生成式人工智能生产部署中各个步骤的一些适用条件,包括数据收集、数据清洗、基础模型的训练和微调以及生成式人工智能应用的部署。对于每个适用条件,我们将建议它可能对某些方的相关性,但由提供者和部署者自行确定哪些适用条件与他们相关。因此,以下适用条件假设在生成式人工智能链的各个步骤中处理了个人数据。适用条件的示意图如下所示。

数据收集的适用条件
1. 用于训练和微调模型的数据必须合法获取
相关方:开发者和微调者
为了训练生成式人工智能模型,需要大量的数据。目前看来,用于基础模型的广泛数据集似乎只能通过(无目标的)爬取来收集。因此,个人数据几乎肯定会进入这样的数据集。如果使用包含个人数据的专有先前收集的数据集来训练基础模型,这些数据本身通常不足以训练基础模型。对于收集此类个人数据,控制者需要一个合法基础,如 GDPR 第6 条所述。通常,互联网上爬取数据的数据主体与收集数据的生成式人工智能开发者之间不存在直接关系。因此,目前似乎只能使用“合法利益”作为收集用于训练这些基础模型的数据集的唯一可能的合法基础。是否可以援引合法利益取决于 EDPB 关于合法利益的指南。为了成功援引合法利益,必须存在合法利益。此外,控制者必须通过必要性测试并进行利益平衡。正如 AP 在其《爬取指南》中所述,在爬取的上下文中,依赖合法利益基础并非总是成功的。处理个人数据的合法性基础必须始终根据具体情况评估。
对于开发生成式人工智能模型和部署生成式人工智能应用,EDPB 指南中的几个条件很重要。一般来说,在必要性测试中,更严格的数据收集标准更有可能导致成功的测试结果。更有针对性的收集有助于个人数据处理的比例性。数据控制者因此需要检查在数据收集过程中是否以及多少个人数据需要被爬取。当个人数据在用于训练生成式人工智能模型之前被匿名化时,这将显著有助于通过必要性测试。
更严格的数据收集标准也可能在利益平衡中发挥作用。更严格的数据收集标准通常会通过减少收集的个人数据范围来减少对数据主体权利的影响。此外,个人数据的处理通常是一个额外的后果,因此是训练生成式人工智能模型的一个小部分。最后,在用于训练生成式人工智能模型之前匿名化个人数据,将对控制者产生重大影响。
在训练基础模型后,该模型可以进一步使用更小的数据集微调。基础模型的开发者可以微调该模型,但最终希望将微调后的模型集成到生成式人工智能应用中的部署方也可以进行微调。通常,这些用于微调的数据集要小得多,并且不总是通过爬取获得。如果用于微调的数据集包含个人数据,控制者必须获得 GDPR 第6 条所述的合法基础。然而,这些较小的数据集的规模使得例如数据主体的同意也可以作为合法基础,或者可以根据 GDPR 第6 条第4 款对自有数据进行兼容的进一步处理。对于这些较小的数据集,可能存在数据主体与控制者之间的直接关系。然而,控制者需要根据具体情况评估适用的合法基础,并在收集个人数据之前进行评估。
对收集特殊类别个人数据的更严格的条件
在数据收集过程中收集特殊类别个人数据时,控制者必须能够依赖于对处理特殊类别个人数据的例外条件。这一评估必须在特殊类别个人数据与其他所有数据一起被爬取之前进行。基础模型的微调者可能能够依赖于同意作为例外,因为上述直接关系的存在。然而,在用于训练基础模型的(无目标的)爬取中,通常不存在这种直接关系,因此几乎不可能援引同意作为例外条件。如果数据主体明确公开了特殊类别个人数据,则在无目标爬取的情况下,这可能适用作为例外条件。这必须由控制者在数据收集之前进行评估。如果控制者不能依赖于这些例外条件,则这些特殊类别个人数据的处理不能被视为合法。
在数据收集过程中爬取未被数据主体公开的特殊类别个人数据的情况,可能只占整个数据收集的一小部分。然而,这并不使收集行为变得合法。关于特殊类别个人数据的收集,欧盟法院(CJEU)裁定,禁止处理特殊类别个人数据不适用于搜索引擎运营商,就好像运营商自己发布了特殊类别的个人数据一样。在这种情况下,搜索引擎运营商不需要在数据收集之前评估是否适用处理特殊类别个人数据的例外条件。这一评估应仅在数据主体提交删除请求后进行。此外,CJEU 裁定,搜索引擎运营商有利于公众能够访问信息,这有助于《欧盟基本权利宪章》第11 条所规定的知情权。
收集用于生成式人工智能训练的数据与收集用于搜索引擎的数据有相似之处。在这两种情况下,都以无目标的方式尽可能多地检索数据。此外,在这两种情况下,也会对数据进行一定程度的分析。然而,另一方面,两者也存在重要区别:
数据存储。对于搜索引擎来说,重要的是分析网页上的数据以便正确索引。这意味着搜索引擎在处理后不需要完整存储源数据,而构建生成式人工智能训练数据集的目标是存储数据。搜索引擎提供商对所有数据进行了结构化处理,使其可搜索。这使得数据可以轻松查看和删除。然而,在生成式人工智能中,数据集经过清洗,以便移除某些不需要的数据和个人数据。然而,可能会有一些在模型训练过程中留下的训练数据片段进入模型,并可能被逐字复制。而且,目前还无法从训练好的模型中“取消训练”特定数据片段。未来,“机器遗忘”技术可能为训练好的模型提供解决方案,但在撰写本文时,该技术尚未提供理论上的保证,即特殊类别个人数据能从训练好的模型中被移除。
目的和频率。搜索引擎提供商将爬取技术上可访问的任何内容(并且根据 Robots.txt 未被拒绝)。根据定义,搜索引擎试图提供最佳且最新的搜索结果。这意味着它们不断搜索互联网,并在原则上咨询所有可用信息。对于生成式人工智能的爬取,数据在某个时间点从互联网上爬取,并确定一个训练集,然后模型将在该训练集上训练数周或数月。尽管是迭代的,但这一过程仍然基于爬取数据的快照,也可以使用规则直接从数据收集标准中排除某些网站。在生成式人工智能的上下文中,爬取数据并不是为了在搜索结果中返回所有网站。低质量或不需要的数据(例如极端主义论坛,或包含大量特殊类别个人数据的健康论坛)需要被排除,以便创建一个功能良好的模型。
AP 认为,搜索引擎和生成式人工智能的爬取在处理特殊类别个人数据方面存在显著相似之处。在爬取中处理特殊类别个人数据的快照对数据主体的影响可能低于搜索引擎持续处理的影响。然而,搜索引擎能够遵守删除请求的能力是训练好的生成式人工智能模型能够遵守删除请求的一个重要区别。未来,“机器遗忘”技术可能为训练好的模型提供解决方案。AP 认为,搜索引擎和生成式人工智能在信息权方面存在相似之处和差异。确实,一些生成式人工智能应用可以为公众提供信息。但由于基础模型的广泛可用性,也可以认为这些模型的功能不仅仅是向更广泛的受众提供信息。
因此,AP 不排除未来欧盟法院(CJEU)对处理特殊类别个人数据的例外评估也可能适用于训练好的生成式人工智能模型的可能性。然而,基础模型的通用性在向更广泛的受众披露方面存在显著差异。因此,上述声明不能直接适用于用于训练生成式人工智能模型的爬取。这意味着,在爬取用于生成式人工智能的数据之前,控制者需要评估他们是否可以依赖于处理特殊类别个人数据的例外条件。
数据清洗的适用条件
2. 训练数据必须合法且谨慎地清洗,并尽可能移除(不需要的)个人数据
相关方:开发者和微调者
通常,在用于训练或微调生成式人工智能模型之前,数据集会进行清洗,这被称为“数据清洗”。在数据清洗过程中,会移除不需要的数据,例如冒犯性语言或(不需要的)个人数据。与前面的要求一致,重要的是控制器清洗的数据集必须是合法收集的。这一义务既适用于生成式人工智能模型的开发者,也适用于在清洗后的数据集上训练或微调模型的微调者。数据清洗是保护个人数据的重要步骤,因为这是在用于训练模型的数据集中明确检查包含哪些个人数据的最后一步。一旦个人数据被隐式地训练到模型中,控制和执行用户权利的性质就变得更加复杂。数据集的清洗甚至可以被视为在合法利益评估中是必要的。当某些个人数据对于开发生成式人工智能模型并非必要时,清洗数据集有助于数据最小化原则。
由于数据清洗属于 GDPR 下的“处理”行为,控制者必须拥有 GDPR 第6 条所述的合法基础。如果同一控制者既进行数据收集又进行数据清洗,则这两种处理操作可以在同一合法基础上进行,前提是满足 GDPR 的透明度要求。然而,控制者需要根据具体情况并在处理之前进行评估。这一义务也适用于生成式人工智能模型的开发者,以及在清洗后的数据集上进一步训练模型的微调者。
最后,数据清洗通常会自动进行,这引发了是否清洗可以百分百保证不需要的个人数据不再出现在清理后的数据集中的问题。然而,也有一些例外情况,生成式人工智能模型尽管数据集已经经过清洗,仍然复制了个人数据。这被称为“反刍”。这种反刍是个人数据被训练到模型中的结果,因为自动清洗这些个人数据并未(完全)成功。因此,控制者需要使用最先进的技术来防止这种反刍。
反刍可以通过在原始数据训练后,对特定示例进行额外训练来抑制,这些示例是人们标记为不需要的信息。这种技术也被称为“基于人类反馈的强化学习”。教导模型生成个人数据是不合适的,将使其更不可能输出这些个人数据。除了在模型中进行抑制外,还可以检查输出(过滤)是否包含个人数据。如果检测到,可以返回默认响应或生成新的响应,而不是生成的输出。这是一种在系统层面的解决方案,但不会直接修改模型。因此,个人数据仍然存在于模型中。这实际上可行,但不能替代数据主体行使权利。
如果生成式人工智能模型已被可验证地匿名化,但仍产生个人数据,可以假设这种个人数据的复制是一种“幻觉”。生成式人工智能模型基于数据中的常见模式生成看似合理的内容。然而,模型实际上对世界没有真正的了解,因此可能会产生听起来合理的虚假信息。这些被称为“幻觉”。幻觉不是训练个人数据的结果,而是技术的固有缺陷。生成式人工智能模型产生的幻觉(非个人数据)与反刍(个人数据)之间的区别对于履行数据主体的权利很重要。未包含在数据集中或训练到模型中的个人数据无法被更正或删除。以下适用条件将进一步探讨数据主体的权利,包括在反刍的情况下。
训练基础模型和微调模型的适用条件
3. 控制者已建立系统以促进数据主体权利
相关方:开发者、微调者和部署者
根据上述内容,匿名化模型不涉及个人数据的处理。因此,这一适用条件适用于模型未被可验证地匿名化的情况。根据 GDPR,数据主体对其个人数据享有多项权利,包括访问权、更正权和删除权。履行这些权利的义务由收到请求的控制者承担。数据主体可以在生成式人工智能链的不同步骤中行使这些权利。生成式人工智能模型的开发者和部署者必须建立一个系统,以便在收到数据主体希望行使权利的请求时,能够遵守数据主体的权利。
生成式人工智能模型所学习的模式嵌入在数字中,也被称为“权重”。存储在其中的信息不再是明确表示的,而是隐含在权重集合中的一部分。因此,其中包含的个人数据并非立即可识别。然而,参数在训练数据之间形成了统计关系,使得可以通过询问模型或直接提取模型中数据之间的关系来从模型中提取个人数据。因此,尽管模型在技术性或编码的,但模型中的信息可能与自然人有关。这意味着,尽管模型与自然人的关系并不立即清楚,但生成式人工智能模型确实可以包含个人数据。
AP 意识到在未被可验证地匿名化的已训练模型中履行数据主体权利的困难。为了遵守访问权,控制者可以提供访问用于训练或微调模型的数据集的权限(使用搜索功能)。数据主体也可以就这些数据集行使删除权和更正权。通过快速淘汰旧模型,控制者可以遵守已训练或微调模型的删除权和更正权。新模型必须在没有个人数据的数据集上进行训练或微调。在未来,某些数据可能使用“机器遗忘”技术从这些模型中“取消训练”。然而,在撰写本文时,这种技术尚未保证能够从模型中取消学习个人数据。因此,重新训练模型是目前唯一的解决方案。
在实践中,提供者通常在没有训练集的情况下提供基础模型。任何训练到该基础模型中的个人数据都不是明确表示的。如果没有访问训练集的权限,这些方几乎无法识别数据主体。换句话说,个人数据已在提供者的生成式人工智能模型中被处理,但识别本身并不是微调者或部署者的目的。在这种情况下,根据 GDPR 第11 条第2 款,微调者或部署者无需遵守数据主体的权利。只有当数据主体自己向微调者或部署者证明其个人数据在模型中时,履行数据主体权利的义务才会重新生效。
在这种情况下,由于微调者或部署者没有训练数据集,因此无法提供数据访问权限。对于删除和更正请求,目前唯一的解决方案是重新训练模型。然而,由于他们并未训练基础模型,这一方法也不可行。未来,“机器遗忘”技术可能会提供一种解决方案。这些在维护数据主体权利方面的困难可以通过合同约定来避免。例如,提供者和微调者可以约定,提供者在收到请求时向微调者或部署者提供最近使用的训练数据集。也可以约定,如果微调者或部署者收到更正或删除请求,提供者将提供一个未包含相关个人数据的新模型。此外,在提供基础模型时,提供者可以向微调者或部署者提供最近使用的训练数据集。在这种情况下,可以通过提供这些训练数据来实现数据主体的访问权。如果没有此类合同约定,微调者或部署者似乎无法履行数据主体的权利。因此,提供基础模型本身不能被视为合法的。
4. 训练个人数据在生成式人工智能模型中的目的以及在生成式人工智能应用中处理个人数据的目的必须提前确定并告知数据主体
相关方:开发者、微调者和部署者
根据目的限制原则,只有在控制者在处理之前确定并向数据主体明确告知具体的处理目的时,才能处理个人数据。这些目的必须合法,并且具体、明确到足以让数据主体知道其个人数据被用于什么目的。如果将个人数据包含在模型训练中是必要的,控制者必须清楚地向数据主体告知这一点。
生成式人工智能模型可以用于广泛的任务,通常在后期进行微调。生成式人工智能模型的开发者和微调者必须在使用个人数据训练基础模型之前,足够具体地制定处理目的。重要的是,处理目的至少要提供一些关于基础模型使用的场景,例如通过描述模型的功能,或者说明模型是为内部使用而开发,还是打算后续分发或出售。微调者在微调基础模型时,通常可以比开发者在训练基础模型时更具体地制定目标。
当生成式人工智能模型的开发者或微调者通过爬取收集个人数据时,GDPR 第14 条第5 款(b)项的豁免可能适用。这意味着,如果向数据主体提供信息不可能或需要付出不成比例的努力,则可以不提供信息。在这种情况下,控制者仍必须在其网站或应用中提供关于处理目的的信息。
生成式人工智能应用的部署者也必须遵守目的限制原则。如果部署者在生成式人工智能应用中处理个人数据,必须在处理之前确定这些目的并向数据主体告知。这些目的取决于部署的生成式人工智能应用的类型。生成式人工智能应用的部署者通常与数据主体有直接关系,这意味着 GDPR 第14 条第5 款的豁免不适用。
部署生成式人工智能应用的适用条件
5. 生成式人工智能应用应尽可能少地产生错误或不需要的个人数据
相关方:部署者
训练好的生成式人工智能模型并不使用明确的知识模型,而是基于概率生成流畅的文本和可访问的图像或视频。因此,个人数据可能会被错误地生成,因为模型做出了错误的关联。此外,生成式人工智能模型可能会意外地输出训练集中的个人数据(也称为“反刍”)。因此,生成式人工智能应用的输出可能是不需要的。
根据 GDPR,个人数据必须是准确的,考虑到它们被处理的目的。如果个人数据不准确,必须在所有合理可能性的范围内进行删除或更正。准确性原则应与数据主体的个人数据被处理时的风险和后果相关联。
对于生成式人工智能应用的部署者来说,这意味着他们必须采取所有合理措施,防止错误或不需要的个人数据的生成。新技术,如检索增强生成(RAG)和思维链(CoT),可以提供解决方案,以减少错误和不需要的个人数据的生成。通过检索增强生成,系统基于搜索到的来源生成内容。通过思维链,决策基于多个步骤或序列。
此外,控制者必须以清晰易懂的方式向数据主体告知生成式人工智能应用中可能出现错误和不需要的输出的可能性。通过这种方式,控制者有助于提高社会的“人工智能素养”。人们因此会理解,生成式人工智能应用的输出中可能会出现错误。如果访问请求显示个人数据未包含在训练集中,但输出中却出现了这些个人数据,可以假设这些个人数据是错误生成的(幻觉)。控制者必须尽可能多地采取缓解措施,以避免这些错误或不需要的输出。如果模型仍然幻觉出个人数据,控制者必须能够证明这种幻觉并非由于个人数据被训练到模型中而产生的。
结论:数据保护机构的行动
在未来一段时间内,AP 将努力为实现“价值在行动”的未来愿景做出贡献,这一愿景在愿景文件中有详细描述。一方面,我们将在现有活动范围内特别关注生成式人工智能;另一方面,我们将启动一些新的活动,为在社会中负责任地使用生成式人工智能做出积极贡献。
作为我们日常工作的一部分,AP 将致力于清晰和现实的工作方法,包括通过积极撰写标准和意见,例如 12 月的 EDPB 意见和人工智能法中高风险系统的标准。此外,AP 正在致力于数字韧性,包括通过投资提高社会的知识水平。例如,我们正在提供关于人工智能素养的指导,在我们的网站上发布易于理解的信息,并组织研讨会。风险识别也是 AP 工作的一个组成部分。例如,通过这份关于生成式人工智能的 GDPR 风险概述以及每半年发布一次的关于算法和人工智能的风险报告。最后,AP 提供预先咨询,并正在为人工智能法下的高风险应用建立沙盒流程。
AP 还将采取一些额外的步骤,以推动生成式人工智能的负责任发展。我们首先将确定围绕生成式人工智能负责任开发和部署的问题和挑战。为此,我们将组织一系列会议,并建立一个关于生成式人工智能的问题和想法的在线平台。我们收集的信息将为关于生成式人工智能负责任开发和部署的定期对话提供基础。
我们还将使用具体的工具和手段,以促进在开发和部署生成式人工智能中保护基本价值观。这些包括欧盟指令、鼓励使用方法以匿名化或从模型中移除个人数据的努力、人工智能素养指南以及透明度原则。我们还将与其他数字领域的监管机构合作,共同解释标准,以便为希望使用生成式人工智能的组织创造尽可能多的清晰度和法律确定性。我们将为积极的用例提供平台,展示并激发负责任的生成式人工智能的实践。当然,AP 将继续监控在生成式人工智能领域发生的违法行为。
通过共同努力,我们将使负责任地使用生成式人工智能成为可能。
1.尽管生成式人工智能目前尚未完全具备合法性,但荷兰数据保护机构(以下简称AP)认为有可能朝着合法开发和部署生成式人工智能的方向发展。AP 的法律分析发现,生成式人工智能在适用《通用数据保护条例》(GDPR)时存在一些不符合规则性的情况和不确定性。然而,通过合理组织开发和部署流程,可以避免这些问题。本文将讨论在 GDPR 框架下的适用条件和可能性。
2.AP 认为,在基础模型开发过程中很可能出现了不符合规则性的情况。总体估计是,根据当前实践,几乎所有现有的生成式人工智能模型在合法性方面都存在不足。生成式人工智能应用依赖于所谓的“基础模型”。为了训练这些模型,几乎使用了互联网上所有可公开获取的数据(通过爬取)。其中包含了一些个人数据,这些数据并非由数据主体本人公开。因此,基础模型中很可能包含了非法收集的特殊类别个人数据。AP 指出,这些特殊类别个人数据仅占用于训练基础模型数据的一小部分,但这并不能改变这些数据是非法获得的事实。然而,根据欧洲数据保护委员会(EDPB)的分析,荷兰和欧洲各方继续使用这些基础模型本身并不一定违法。
3.在应用层面,AP 确定了负责任地部署生成式人工智能的一些适用条件、挑战和机遇。这些应用有明确的目的,并在经过彻底的风险评估并采取适当保障措施后用于该目的。AP 还看到了生成式人工智能领域的其他机遇和挑战,这些与下面列出的数据保护框架条件无关。例如,提高用户对在生成式人工智能应用中共享敏感数据的意识。《负责任地前行:荷兰数据保护机构对生成式人工智能的愿景》白皮书更详细地探讨了这些机遇和挑战。
4.关于已收集个人数据的进一步处理的适用条件将在后续版本中详细阐述。可能存在一些情况,某一方希望将其已收集的个人数据用于进一步训练生成式人工智能模型。通常,这些已收集的数据本身不足以用于训练基础模型。在这种情况下,进一步处理偏离了原始处理目的。因此,需要评估这种进一步处理是否与原始目的兼容(根据 GDPR 第6 条第4 款)。这一分析超出了本文的范围,可能会在本文的后续版本中涉及。
1. 引言
同时发布的《负责任地前行:荷兰数据保护机构对生成式人工智能的愿景》的咨询性愿景文件描述了 AP 对生成式人工智能的理解、它为社会带来的机遇以及它所构成的风险。此外,该愿景文件还描述了如何负责任地拥抱生成式人工智能。为此,生成式人工智能的开发者和用户在这些模型和/或应用中处理个人数据时必须遵守 GDPR 下的义务。本文特别适用于开发生成式人工智能或希望在其业务运营中使用生成式人工智能的专业人士。
本文可以独立阅读,也可以作为《负责任地前行:荷兰数据保护机构对生成式人工智能的愿景》文件的补充。在本文中,我们将首先简要定义生成式人工智能。然后,我们将阐述生成式人工智能开发过程,并探讨一些生成式人工智能适用 GDPR 的主要条件(这些条件并非穷尽性的)。对于每个适用条件,我们将指出它适用于哪些方,并指出负责任开发和部署的机会所在。
AP 意识到这项技术正在迅速变化,并且目前在社会上引起了广泛讨论。因此,这些 GDPR 适用条件反映了 AP 在发布时(2025 年 5 月)对该技术现状的看法。欧盟数据保护委员会(EDPB)目前正在起草生成式人工智能指南,AP 正在积极参与其中。因此,以下适用条件可能会发生变化。AP 还强调,除了下面列出的适用条件外,开发或使用生成式人工智能模型和应用时还可能适用其他 GDPR 义务。
2. 对生成式人工智能的基本理解
生成式人工智能的定义
生成式人工智能(生成式人工智能)是一种能够生成新数据的人工智能形式。最受欢迎的生成式人工智能应用能够创建文本和图像,这些内容几乎无法被识别为由人工智能生成。本指南涉及能够生成逼真数据的人工智能模型,以及这些模型所属的系统和应用。
生成式人工智能模型可以生成和控制各种不同形式的输出。这些模型可以作为许多不同专业应用的基础,并可用于各种目的。这类模型通常被称为“基础模型”或“通用目的人工智能模型”。在我们的路径中,所有这些模型都属于生成式人工智能的范畴。除了本指南的范围之外,还有许多其他形式的人工智能。人工智能技术已经开发了很长时间,例如,它被广泛用于数据分类。然而,这些模型无法生成数据,这是它们与生成式人工智能的主要区别。
训练生成式人工智能模型
简单来说,训练生成式人工智能模型可以被视为一系列连续的步骤:
数据收集:通过爬取等方式收集样本数据。
数据清洗:在清洗步骤中移除不需要的示例(如个人数据或仇恨内容)。
训练参数:基于样本数据中的模式以及可能的强化学习训练参数。
微调:微调使模型适应特定应用或限制。
模型部署:这些步骤的结果是一个经过训练的生成式人工智能模型被部署到具体的应用场景中。
由于生成的数据通常会再次被收集用于训练,因此存在一个反馈循环。

合法性示意图
在下图中,我们展示了开发和部署生成式人工智能模型的不同情况。开发和/或部署生成式人工智能模型或应用是否合法并非绝对的,它在很大程度上取决于开发或部署这些模型和应用的上下文因素,正如 GDPR 的适用条件所要求的那样。
在以下情况中,控制者 A 开发了一个基础模型。然后,控制者 B 进一步微调并部署了该基础模型。 控制者 A 在此场景中开发了一个包含通过爬取非法收集的个人数据的基础模型。这些个人数据随后被清洗。这种数据收集的非法性可能源于缺乏 GDPR 第6 条下的合法基础,或者无法援引 GDPR 第9 条下的豁免。然后,控制者 A 将该模型提供给控制者 B。后者使用基础模型进一步微调和/或构建生成式人工智能应用。然后可以区分两种情况:
场景 1:控制者 A 已经可验证地匿名化了基础模型中的所有个人数据
根据欧盟数据保护委员会(EDPB)和欧盟法院(CJEU)的意见,生成式人工智能模型的可验证匿名性应根据数据主体被识别的可能性等因素进行评估。如果控制者 B 在微调或部署其生成式人工智能应用时未处理匿名化基础模型中的个人数据,则根据 EDPB 的意见,GDPR 不再适用。在这种情况下,没有使用个人数据进一步训练基础模型,控制者 B 未处理个人数据。
如果控制者 B 使用匿名化的微调模型与包含个人数据的数据集,或在使用过程中处理个人数据,则这种微调和使用本身并不一定违法。在这种情况下,开发基础模型的非法性不影响控制者 B。在这种情况下,EDPB 认为控制者 B 自身需要一个处理个人数据的合法基础。然而,这并不影响控制者 A 可能因在数据收集、数据清洗和基础模型开发过程中所犯的非法行为而被主管机关追究责任。
场景 2:控制者 A 未(可验证地)匿名化基础模型
如果控制者 A 未(可验证地)匿名化基础模型,则 GDPR 仍然适用。然而,控制者 A 处理的非法性并不意味着控制者 B 的处理也一定是非法的。控制者 B 将需要对其使用控制者 A 开发的包含非法获得个人数据的模型进行全面的合规性评估。该评估的深度取决于多个因素。例如,使用基础模型对数据主体带来的风险是什么。如果该评估表明,用于训练基础模型的数据集中包含特殊类别个人数据,则控制者 B 不能使用该模型,因为这未构成 GDPR 第9 条处理敏感个人数据的合法性基础。
如果评估显示基础模型中未使用特殊类别个人数据训练,则对该基础模型的微调和进一步使用本身并不一定违法。控制者 B 将需要为其微调和部署生成式人工智能模型和应用拥有自己的合法基础。正如在第一种情况中一样,控制者 A 仍需对其在数据收集、数据清洗和基础模型开发过程中发生的不符合规则性的情况负责。

生成式人工智能适用GDPR 的条件
正如上图所示,只要处理了个人数据,GDPR 在生成式人工智能开发部署的多个步骤中适用。在收集过程中处理个人数据,即使在数据集清洗后,这些数据集仍可能包含个人数据。例如,用于训练生成式人工智能模型或微调的数据集可能包含个人数据。此外,在使用生成式人工智能应用时也可以输入个人数据,例如在医疗保健领域支持生成式人工智能应用的情况。生成式人工智能应用可以为患者的问题创建草稿答案,然后由医疗保健提供者进行审核并发送。此外,日益流行的“人工智能代理”也可以处理个人数据,例如协助在线订购产品的 AI 代理。通常,AI 代理会收集位置数据和财务数据等信息。
GDPR 不仅对生成式人工智能模型的开发者(“提供者”)施加义务,也对进一步微调这些模型和/或将其用于自身用途的各方(“部署者”)施加义务。下面我们将列出生成式人工智能生产部署中各个步骤的一些适用条件,包括数据收集、数据清洗、基础模型的训练和微调以及生成式人工智能应用的部署。对于每个适用条件,我们将建议它可能对某些方的相关性,但由提供者和部署者自行确定哪些适用条件与他们相关。因此,以下适用条件假设在生成式人工智能链的各个步骤中处理了个人数据。适用条件的示意图如下所示。

数据收集的适用条件
1. 用于训练和微调模型的数据必须合法获取
相关方:开发者和微调者
为了训练生成式人工智能模型,需要大量的数据。目前看来,用于基础模型的广泛数据集似乎只能通过(无目标的)爬取来收集。因此,个人数据几乎肯定会进入这样的数据集。如果使用包含个人数据的专有先前收集的数据集来训练基础模型,这些数据本身通常不足以训练基础模型。对于收集此类个人数据,控制者需要一个合法基础,如 GDPR 第6 条所述。通常,互联网上爬取数据的数据主体与收集数据的生成式人工智能开发者之间不存在直接关系。因此,目前似乎只能使用“合法利益”作为收集用于训练这些基础模型的数据集的唯一可能的合法基础。是否可以援引合法利益取决于 EDPB 关于合法利益的指南。为了成功援引合法利益,必须存在合法利益。此外,控制者必须通过必要性测试并进行利益平衡。正如 AP 在其《爬取指南》中所述,在爬取的上下文中,依赖合法利益基础并非总是成功的。处理个人数据的合法性基础必须始终根据具体情况评估。
对于开发生成式人工智能模型和部署生成式人工智能应用,EDPB 指南中的几个条件很重要。一般来说,在必要性测试中,更严格的数据收集标准更有可能导致成功的测试结果。更有针对性的收集有助于个人数据处理的比例性。数据控制者因此需要检查在数据收集过程中是否以及多少个人数据需要被爬取。当个人数据在用于训练生成式人工智能模型之前被匿名化时,这将显著有助于通过必要性测试。
更严格的数据收集标准也可能在利益平衡中发挥作用。更严格的数据收集标准通常会通过减少收集的个人数据范围来减少对数据主体权利的影响。此外,个人数据的处理通常是一个额外的后果,因此是训练生成式人工智能模型的一个小部分。最后,在用于训练生成式人工智能模型之前匿名化个人数据,将对控制者产生重大影响。
在训练基础模型后,该模型可以进一步使用更小的数据集微调。基础模型的开发者可以微调该模型,但最终希望将微调后的模型集成到生成式人工智能应用中的部署方也可以进行微调。通常,这些用于微调的数据集要小得多,并且不总是通过爬取获得。如果用于微调的数据集包含个人数据,控制者必须获得 GDPR 第6 条所述的合法基础。然而,这些较小的数据集的规模使得例如数据主体的同意也可以作为合法基础,或者可以根据 GDPR 第6 条第4 款对自有数据进行兼容的进一步处理。对于这些较小的数据集,可能存在数据主体与控制者之间的直接关系。然而,控制者需要根据具体情况评估适用的合法基础,并在收集个人数据之前进行评估。
对收集特殊类别个人数据的更严格的条件
在数据收集过程中收集特殊类别个人数据时,控制者必须能够依赖于对处理特殊类别个人数据的例外条件。这一评估必须在特殊类别个人数据与其他所有数据一起被爬取之前进行。基础模型的微调者可能能够依赖于同意作为例外,因为上述直接关系的存在。然而,在用于训练基础模型的(无目标的)爬取中,通常不存在这种直接关系,因此几乎不可能援引同意作为例外条件。如果数据主体明确公开了特殊类别个人数据,则在无目标爬取的情况下,这可能适用作为例外条件。这必须由控制者在数据收集之前进行评估。如果控制者不能依赖于这些例外条件,则这些特殊类别个人数据的处理不能被视为合法。
在数据收集过程中爬取未被数据主体公开的特殊类别个人数据的情况,可能只占整个数据收集的一小部分。然而,这并不使收集行为变得合法。关于特殊类别个人数据的收集,欧盟法院(CJEU)裁定,禁止处理特殊类别个人数据不适用于搜索引擎运营商,就好像运营商自己发布了特殊类别的个人数据一样。在这种情况下,搜索引擎运营商不需要在数据收集之前评估是否适用处理特殊类别个人数据的例外条件。这一评估应仅在数据主体提交删除请求后进行。此外,CJEU 裁定,搜索引擎运营商有利于公众能够访问信息,这有助于《欧盟基本权利宪章》第11 条所规定的知情权。
收集用于生成式人工智能训练的数据与收集用于搜索引擎的数据有相似之处。在这两种情况下,都以无目标的方式尽可能多地检索数据。此外,在这两种情况下,也会对数据进行一定程度的分析。然而,另一方面,两者也存在重要区别:
数据存储。对于搜索引擎来说,重要的是分析网页上的数据以便正确索引。这意味着搜索引擎在处理后不需要完整存储源数据,而构建生成式人工智能训练数据集的目标是存储数据。搜索引擎提供商对所有数据进行了结构化处理,使其可搜索。这使得数据可以轻松查看和删除。然而,在生成式人工智能中,数据集经过清洗,以便移除某些不需要的数据和个人数据。然而,可能会有一些在模型训练过程中留下的训练数据片段进入模型,并可能被逐字复制。而且,目前还无法从训练好的模型中“取消训练”特定数据片段。未来,“机器遗忘”技术可能为训练好的模型提供解决方案,但在撰写本文时,该技术尚未提供理论上的保证,即特殊类别个人数据能从训练好的模型中被移除。
目的和频率。搜索引擎提供商将爬取技术上可访问的任何内容(并且根据 Robots.txt 未被拒绝)。根据定义,搜索引擎试图提供最佳且最新的搜索结果。这意味着它们不断搜索互联网,并在原则上咨询所有可用信息。对于生成式人工智能的爬取,数据在某个时间点从互联网上爬取,并确定一个训练集,然后模型将在该训练集上训练数周或数月。尽管是迭代的,但这一过程仍然基于爬取数据的快照,也可以使用规则直接从数据收集标准中排除某些网站。在生成式人工智能的上下文中,爬取数据并不是为了在搜索结果中返回所有网站。低质量或不需要的数据(例如极端主义论坛,或包含大量特殊类别个人数据的健康论坛)需要被排除,以便创建一个功能良好的模型。
AP 认为,搜索引擎和生成式人工智能的爬取在处理特殊类别个人数据方面存在显著相似之处。在爬取中处理特殊类别个人数据的快照对数据主体的影响可能低于搜索引擎持续处理的影响。然而,搜索引擎能够遵守删除请求的能力是训练好的生成式人工智能模型能够遵守删除请求的一个重要区别。未来,“机器遗忘”技术可能为训练好的模型提供解决方案。AP 认为,搜索引擎和生成式人工智能在信息权方面存在相似之处和差异。确实,一些生成式人工智能应用可以为公众提供信息。但由于基础模型的广泛可用性,也可以认为这些模型的功能不仅仅是向更广泛的受众提供信息。
因此,AP 不排除未来欧盟法院(CJEU)对处理特殊类别个人数据的例外评估也可能适用于训练好的生成式人工智能模型的可能性。然而,基础模型的通用性在向更广泛的受众披露方面存在显著差异。因此,上述声明不能直接适用于用于训练生成式人工智能模型的爬取。这意味着,在爬取用于生成式人工智能的数据之前,控制者需要评估他们是否可以依赖于处理特殊类别个人数据的例外条件。
数据清洗的适用条件
2. 训练数据必须合法且谨慎地清洗,并尽可能移除(不需要的)个人数据
相关方:开发者和微调者
通常,在用于训练或微调生成式人工智能模型之前,数据集会进行清洗,这被称为“数据清洗”。在数据清洗过程中,会移除不需要的数据,例如冒犯性语言或(不需要的)个人数据。与前面的要求一致,重要的是控制器清洗的数据集必须是合法收集的。这一义务既适用于生成式人工智能模型的开发者,也适用于在清洗后的数据集上训练或微调模型的微调者。数据清洗是保护个人数据的重要步骤,因为这是在用于训练模型的数据集中明确检查包含哪些个人数据的最后一步。一旦个人数据被隐式地训练到模型中,控制和执行用户权利的性质就变得更加复杂。数据集的清洗甚至可以被视为在合法利益评估中是必要的。当某些个人数据对于开发生成式人工智能模型并非必要时,清洗数据集有助于数据最小化原则。
由于数据清洗属于 GDPR 下的“处理”行为,控制者必须拥有 GDPR 第6 条所述的合法基础。如果同一控制者既进行数据收集又进行数据清洗,则这两种处理操作可以在同一合法基础上进行,前提是满足 GDPR 的透明度要求。然而,控制者需要根据具体情况并在处理之前进行评估。这一义务也适用于生成式人工智能模型的开发者,以及在清洗后的数据集上进一步训练模型的微调者。
最后,数据清洗通常会自动进行,这引发了是否清洗可以百分百保证不需要的个人数据不再出现在清理后的数据集中的问题。然而,也有一些例外情况,生成式人工智能模型尽管数据集已经经过清洗,仍然复制了个人数据。这被称为“反刍”。这种反刍是个人数据被训练到模型中的结果,因为自动清洗这些个人数据并未(完全)成功。因此,控制者需要使用最先进的技术来防止这种反刍。
反刍可以通过在原始数据训练后,对特定示例进行额外训练来抑制,这些示例是人们标记为不需要的信息。这种技术也被称为“基于人类反馈的强化学习”。教导模型生成个人数据是不合适的,将使其更不可能输出这些个人数据。除了在模型中进行抑制外,还可以检查输出(过滤)是否包含个人数据。如果检测到,可以返回默认响应或生成新的响应,而不是生成的输出。这是一种在系统层面的解决方案,但不会直接修改模型。因此,个人数据仍然存在于模型中。这实际上可行,但不能替代数据主体行使权利。
如果生成式人工智能模型已被可验证地匿名化,但仍产生个人数据,可以假设这种个人数据的复制是一种“幻觉”。生成式人工智能模型基于数据中的常见模式生成看似合理的内容。然而,模型实际上对世界没有真正的了解,因此可能会产生听起来合理的虚假信息。这些被称为“幻觉”。幻觉不是训练个人数据的结果,而是技术的固有缺陷。生成式人工智能模型产生的幻觉(非个人数据)与反刍(个人数据)之间的区别对于履行数据主体的权利很重要。未包含在数据集中或训练到模型中的个人数据无法被更正或删除。以下适用条件将进一步探讨数据主体的权利,包括在反刍的情况下。
训练基础模型和微调模型的适用条件
3. 控制者已建立系统以促进数据主体权利
相关方:开发者、微调者和部署者
根据上述内容,匿名化模型不涉及个人数据的处理。因此,这一适用条件适用于模型未被可验证地匿名化的情况。根据 GDPR,数据主体对其个人数据享有多项权利,包括访问权、更正权和删除权。履行这些权利的义务由收到请求的控制者承担。数据主体可以在生成式人工智能链的不同步骤中行使这些权利。生成式人工智能模型的开发者和部署者必须建立一个系统,以便在收到数据主体希望行使权利的请求时,能够遵守数据主体的权利。
生成式人工智能模型所学习的模式嵌入在数字中,也被称为“权重”。存储在其中的信息不再是明确表示的,而是隐含在权重集合中的一部分。因此,其中包含的个人数据并非立即可识别。然而,参数在训练数据之间形成了统计关系,使得可以通过询问模型或直接提取模型中数据之间的关系来从模型中提取个人数据。因此,尽管模型在技术性或编码的,但模型中的信息可能与自然人有关。这意味着,尽管模型与自然人的关系并不立即清楚,但生成式人工智能模型确实可以包含个人数据。
AP 意识到在未被可验证地匿名化的已训练模型中履行数据主体权利的困难。为了遵守访问权,控制者可以提供访问用于训练或微调模型的数据集的权限(使用搜索功能)。数据主体也可以就这些数据集行使删除权和更正权。通过快速淘汰旧模型,控制者可以遵守已训练或微调模型的删除权和更正权。新模型必须在没有个人数据的数据集上进行训练或微调。在未来,某些数据可能使用“机器遗忘”技术从这些模型中“取消训练”。然而,在撰写本文时,这种技术尚未保证能够从模型中取消学习个人数据。因此,重新训练模型是目前唯一的解决方案。
在实践中,提供者通常在没有训练集的情况下提供基础模型。任何训练到该基础模型中的个人数据都不是明确表示的。如果没有访问训练集的权限,这些方几乎无法识别数据主体。换句话说,个人数据已在提供者的生成式人工智能模型中被处理,但识别本身并不是微调者或部署者的目的。在这种情况下,根据 GDPR 第11 条第2 款,微调者或部署者无需遵守数据主体的权利。只有当数据主体自己向微调者或部署者证明其个人数据在模型中时,履行数据主体权利的义务才会重新生效。
在这种情况下,由于微调者或部署者没有训练数据集,因此无法提供数据访问权限。对于删除和更正请求,目前唯一的解决方案是重新训练模型。然而,由于他们并未训练基础模型,这一方法也不可行。未来,“机器遗忘”技术可能会提供一种解决方案。这些在维护数据主体权利方面的困难可以通过合同约定来避免。例如,提供者和微调者可以约定,提供者在收到请求时向微调者或部署者提供最近使用的训练数据集。也可以约定,如果微调者或部署者收到更正或删除请求,提供者将提供一个未包含相关个人数据的新模型。此外,在提供基础模型时,提供者可以向微调者或部署者提供最近使用的训练数据集。在这种情况下,可以通过提供这些训练数据来实现数据主体的访问权。如果没有此类合同约定,微调者或部署者似乎无法履行数据主体的权利。因此,提供基础模型本身不能被视为合法的。
4. 训练个人数据在生成式人工智能模型中的目的以及在生成式人工智能应用中处理个人数据的目的必须提前确定并告知数据主体
相关方:开发者、微调者和部署者
根据目的限制原则,只有在控制者在处理之前确定并向数据主体明确告知具体的处理目的时,才能处理个人数据。这些目的必须合法,并且具体、明确到足以让数据主体知道其个人数据被用于什么目的。如果将个人数据包含在模型训练中是必要的,控制者必须清楚地向数据主体告知这一点。
生成式人工智能模型可以用于广泛的任务,通常在后期进行微调。生成式人工智能模型的开发者和微调者必须在使用个人数据训练基础模型之前,足够具体地制定处理目的。重要的是,处理目的至少要提供一些关于基础模型使用的场景,例如通过描述模型的功能,或者说明模型是为内部使用而开发,还是打算后续分发或出售。微调者在微调基础模型时,通常可以比开发者在训练基础模型时更具体地制定目标。
当生成式人工智能模型的开发者或微调者通过爬取收集个人数据时,GDPR 第14 条第5 款(b)项的豁免可能适用。这意味着,如果向数据主体提供信息不可能或需要付出不成比例的努力,则可以不提供信息。在这种情况下,控制者仍必须在其网站或应用中提供关于处理目的的信息。
生成式人工智能应用的部署者也必须遵守目的限制原则。如果部署者在生成式人工智能应用中处理个人数据,必须在处理之前确定这些目的并向数据主体告知。这些目的取决于部署的生成式人工智能应用的类型。生成式人工智能应用的部署者通常与数据主体有直接关系,这意味着 GDPR 第14 条第5 款的豁免不适用。
部署生成式人工智能应用的适用条件
5. 生成式人工智能应用应尽可能少地产生错误或不需要的个人数据
相关方:部署者
训练好的生成式人工智能模型并不使用明确的知识模型,而是基于概率生成流畅的文本和可访问的图像或视频。因此,个人数据可能会被错误地生成,因为模型做出了错误的关联。此外,生成式人工智能模型可能会意外地输出训练集中的个人数据(也称为“反刍”)。因此,生成式人工智能应用的输出可能是不需要的。
根据 GDPR,个人数据必须是准确的,考虑到它们被处理的目的。如果个人数据不准确,必须在所有合理可能性的范围内进行删除或更正。准确性原则应与数据主体的个人数据被处理时的风险和后果相关联。
对于生成式人工智能应用的部署者来说,这意味着他们必须采取所有合理措施,防止错误或不需要的个人数据的生成。新技术,如检索增强生成(RAG)和思维链(CoT),可以提供解决方案,以减少错误和不需要的个人数据的生成。通过检索增强生成,系统基于搜索到的来源生成内容。通过思维链,决策基于多个步骤或序列。
此外,控制者必须以清晰易懂的方式向数据主体告知生成式人工智能应用中可能出现错误和不需要的输出的可能性。通过这种方式,控制者有助于提高社会的“人工智能素养”。人们因此会理解,生成式人工智能应用的输出中可能会出现错误。如果访问请求显示个人数据未包含在训练集中,但输出中却出现了这些个人数据,可以假设这些个人数据是错误生成的(幻觉)。控制者必须尽可能多地采取缓解措施,以避免这些错误或不需要的输出。如果模型仍然幻觉出个人数据,控制者必须能够证明这种幻觉并非由于个人数据被训练到模型中而产生的。
结论:数据保护机构的行动
在未来一段时间内,AP 将努力为实现“价值在行动”的未来愿景做出贡献,这一愿景在愿景文件中有详细描述。一方面,我们将在现有活动范围内特别关注生成式人工智能;另一方面,我们将启动一些新的活动,为在社会中负责任地使用生成式人工智能做出积极贡献。
作为我们日常工作的一部分,AP 将致力于清晰和现实的工作方法,包括通过积极撰写标准和意见,例如 12 月的 EDPB 意见和人工智能法中高风险系统的标准。此外,AP 正在致力于数字韧性,包括通过投资提高社会的知识水平。例如,我们正在提供关于人工智能素养的指导,在我们的网站上发布易于理解的信息,并组织研讨会。风险识别也是 AP 工作的一个组成部分。例如,通过这份关于生成式人工智能的 GDPR 风险概述以及每半年发布一次的关于算法和人工智能的风险报告。最后,AP 提供预先咨询,并正在为人工智能法下的高风险应用建立沙盒流程。
AP 还将采取一些额外的步骤,以推动生成式人工智能的负责任发展。我们首先将确定围绕生成式人工智能负责任开发和部署的问题和挑战。为此,我们将组织一系列会议,并建立一个关于生成式人工智能的问题和想法的在线平台。我们收集的信息将为关于生成式人工智能负责任开发和部署的定期对话提供基础。
我们还将使用具体的工具和手段,以促进在开发和部署生成式人工智能中保护基本价值观。这些包括欧盟指令、鼓励使用方法以匿名化或从模型中移除个人数据的努力、人工智能素养指南以及透明度原则。我们还将与其他数字领域的监管机构合作,共同解释标准,以便为希望使用生成式人工智能的组织创造尽可能多的清晰度和法律确定性。我们将为积极的用例提供平台,展示并激发负责任的生成式人工智能的实践。当然,AP 将继续监控在生成式人工智能领域发生的违法行为。
通过共同努力,我们将使负责任地使用生成式人工智能成为可能。
