EDPB对AI办公室关于数据保护机构在AI法中角色的回信

来源:那一片数据星辰

文章摘要
写在前面的话 EDPB在2024年7月16日通过的一项声明,旨在讨论数据保护机构在《人工智能法》(AI Act)框架中的角色。
写在前面的话
EDPB在2024年7月16日通过的一项声明,旨在讨论数据保护机构在《人工智能法》(AI Act)框架中的角色。该声明强调了AI Act与欧盟数据保护法规(尤其是GDPR、EUDPR、LED和ePrivacy指令)之间的互补性和相互加强的关系。EDPB认为,数据保护机构(DPAs)在处理个人数据的AI系统生命周期中扮演着核心角色,并应被赋予更多的监督和协调职责。声明内容请点击链接。https://mp.weixin.qq.com/s__biz=Mzg2NTU1NjgzMQ==&mid=2247485098&idx=1&sn=99a8aa732d17f89e322e5b0c3d179722&scene=21#wechat_redirect
AI办公室对此声明向EDPB发出了一封信。 本文正是EDPB对AI办公室来信的回信,好一个来回~
其实代表了数据保护和AI合规之间的难舍难分,多个案件都装进了数据保护法的框子里!数据保护机构究竟应该在AI治理中扮演什么角色,又是另一个维度的问题!

制定AI和数据保护相互作用指南
EDPB重申,考虑到人工智能法与数据保护法之间的紧密联系,EDPB重视与人工智能办公室和人工智能委员会的合作机会。
正如在EDPB 2024-2027战略中强调的,确保与其他监管机构的一致性和合作是委员会的战略优先事项,这对于在整体监管架构中促进数据保护权和促进不同监管框架的一致应用至关重要。
在此方面,EDPB已开始就GDPR与人工智能法案之间的相互作用制定指南,EDPB希望与AI办公室就此进行讨论。
EDPB 2024-2027战略
支柱3:在发展中的数字和跨监管环境中促进个人数据保护
关键行动1: 我们将提供关于GDPR与其他欧盟法律行为,特别是欧盟人工智能法或源自欧盟数据战略和数字服务包的法律行为之间相互作用的指导。这将是为了促进整体监管架构中的数据保护权,并有助于不同监管框架的一致应用。EDPB还将准备在涉及个人数据的情况下应用一致性机制并采纳GDPR下的具有约束力的决定。
关键行动2:EDPB将继续监测和评估新的数字技术,以促进以人为本的方法,包括与人工智能和数字身份相关的技术。我们将继续在必要时就新技术的数据保护影响以及GDPR在快速发展的数字格局中的正确应用发布指南。这种指导将包括进一步关注在新技术背景下实施数据保护概念和原则,特别是在对数据主体有重大风险或数据主体属于特别脆弱群体(如儿童)的领域。
关键行动3: EDPB将确保与其他监管机构在影响数据保护的事项上进行合作,特别是与消费者保护机构、竞争机构和其他法律行为下的主管机构,包括欧盟人工智能法或根据欧洲数据战略和数字服务包通过的法律行为。此外,EDPB将继续在DMA高层小组和欧洲数据创新委员会中发挥积极作用。
建立确保EDPB、AI办公室和AI委员会的合作机制
EDPB支持建立适当的机制以确保EDPB、人工智能办公室和人工智能委员会之间的合作,这也符合2024年1月24日委员会《建立人工智能办公室C/2024/1459决定》第2(3)(c)和(d)条以及第6条,人工智能法第65(2)条和第66(h)条,以及GDPR第70(4)条的规定。
在此方面,EDPB谨邀请AI办公室参加2024年12月2日或3日的EDPB全体会议,以便讨论此事。
如果AI办公室能在此次会议上提供有关人工智能办公室和人工智能委员会的建立信息,以及认为对EDPB合作有益的任何其他事项,我将不胜感激。
建立AI办公室的决定
第2(3)(c)和(d)款,AI办公室应当与联盟相关的机关、办公室和机构进行合作,已建立恰当合作机制,也应当基于欧盟委员会的利益与成员国的机关、机构进行合作。
人工智能法
第65(2)条,联盟或成员国相关机构、机关、专家应当被邀请参加AI委员会的会议,当议题与之相关时。 第66条,在适当情况下与欧盟其他机构、机关、办事处和机构以及相关欧盟专家小组和网络合作,特别是在产品安全、网络安全、竞争、数字和媒体服务、金融服务、消费者保护、数据和基本权利保护等领域。
EDPB关于成员国数据保护机构在高风险AI系统监管中的角色
在此框架内,EDPB提请AI办公室注意,需要充分考虑人工智能法第74(8)条关于高风险人工智能系统的要求,正如EDPB关于数据保护机构在人工智能法框架中角色的声明中所述。
EDPB关于DPAs在人工智能法里地位的声明
根据AI法案第74(8)条,各国DPAs或具有相同独立性要求的其他机构必须被指定为用于执法目的、边境管理和司法民主以及附件III第1点所列的高风险AI系统的市场监管机构。
人工智能法
第74(8)条,对于本法规附件三第1 点中列出的高风险人工智能系统,只要这些系统用于执法目的、边境管理以及司法和民主,以及对于本法规附件三第6、7 和 8 点中列出的高风险人工智能系统,成员国应指定根据欧盟 2016/679 号法规或欧盟 2016/680 号指令下的数据保护监督机构,或者根据欧盟 2016/680 号指令第41 至44 条规定的相同条件指定的任何其他机构作为本法规的市场监督机构。市场监督活动绝不应影响司法当局的独立性,也不应在其以司法身份行事时以其他方式干扰其活动。
EDPB将发布基于GDPR关于AI模型的指南,与AI办公室交换意见
此外,EDPB目前正在根据GDPR第64(2)条关制定于AI模型的意见,该意见的法定采纳截止日期为12月23日,与人工智能办公室交换意见将是有益的。因此,EDPB谨邀请人工智能办公室参加EDPB为准备这一意见而于2024年11月21日组织的技术层面会议之一。
EDPB将很高兴在2025年上半年的AI委员会的会议上介绍将采纳的关于AI模型的意见。
GDPR任何监管机构、EDPB主席或欧盟委员会均可要求EDPB对具有普遍适用性或在多个成员国产生影响的任何事项进行审查,以获得意见,特别是在主管监管机构未按照第61 条履行互助义务或未按照第62 条履行联合行动义务的情况下。
技术驱动法律,专业成就未来