落花不是无情物，化作春泥更护花——欧盟新指南对生成式人工智能数据合规的启示.docx

引言

2024年6月，欧盟数据保护监管机构（EDPS）发布了关于生成式人工智能数据合规的指南。（以下简称《指南》）（GenerativeAIandtheEUDPR.FirstEDPSOrientationsforensuringdataprotection

compliancewhenusingGenerativeAIsystems.）该《指南》的发布，是为了指导欧盟机构（Unioninstitutions,bodies,officesandagencies，本文统称为“欧盟机构”）在生成式人工智能应用方面遵守

2018/1725条例的规定。（2018/1725条例为《关于欧盟机构、机关、办公室和代理处在处理个人数据时保护自然人以及此类数据自由流动的条例》，Regulation2018/1725oftheEuropeanParliamentandoftheCouncilontheprotectionofnaturalpersonswithregardtotheprocessingofpersonaldatabythe

Unioninstitutions,bodies,officesandagenciesandonthefreemovementofsuchdata）

虽然本次《指南》主要针对的对象是欧盟政府机构（EUIs），但它作为欧盟第一份关于生成式人工智能数据合规的指南，对于一般主体的生成式人工智能数据合规也具有指导意义。实际上，2018/1725条例与《通用数据保护条例》（GDPR）密切相关。GDPR普遍适用于各类处理个人数据的主体，而2018/1725条例更侧重于对欧盟机构处理个人信息的规范。与此类似的是，我国《个人信息保护法》也有国家机关处理个人信息的专门规

定，要求国家机关处理个人信息的活动，适用《个人信息保护法》中的一般规定和特别规定。通常而言，政府机构与非政府机构在个人信息保护义务上并无本质上的差异，而在具体细节上，政府机构可能承担更高的个人信息保护义务。因此，无论是政府机构还是非政府机构，都可以从《指南》中获得指引或者启示。

同时，对比《指南》及我国生成式人工智能的专门规定——《生成式人工智能服务管理暂行办法》，能发现很多一致性之处，结合EDPS对生成式人工智能服务数据合规的理解，也可以丰富我们适用《生成式人工智能服务管理暂行办法》的合规思路。

一、《指南》的主要内容及浓缩要义

《指南》以问答的形式给出生成式人工智能数据合规的指引，涉及14个问题（附录如下）。由于《指南》主要以EUIs为对象，后文将这14个问题进行归纳，总结出能够适用于一般主体的合规指引，通过对比适用能够获得生成式人工智能数据合规的启示。概括而言，主要包括概念（即适用范围）、主要义务、基本原则、自动化决策、用户权利和数据安全六个方面。从《指南》给出的回应来看，其基本遵守了欧盟数据保护法规的一般性要求，从适用生成式人工智能的角度给出了理解。《指南》并未提出新的数据合规工具，而是认为生成式人工智能系统加剧了数据合规风险，以此为基础就生成式人工智能数据合规的常见问题作出了回答。

1.什么是生成式人工智能？

2.EUIs可以使用生成式人工智能吗？

3.如何确定生成式人工智能中是否处理了个人信息？

4.数据保护官在开发或部署生成式人工智能系统中的作用是什么？

5.EUI想要开发或部署生成式人工智能时应当如何开展数据保护影响评估（DPIA）？

6.设计、开发和验证生成式人工智能系统时，如何确定个人信息处理的合法性基础？

7.使用生成式人工智能系统时如何保证数据最小化原则？

8.生成式人工智能系统是否遵从数据准确性原则？

9.EUIs使用生成式人工智能系统时如何履行向个人的告知义务？

10.2018/1725条例第24条关于自动化决策的含义是什么？

11.使用生成式人工智能系统时如何保证公平性并无偏见？

12.如何保证个人权利行使？

13.数据安全问题。

14.更多其他问题。

二、生成式人工智能的概念以及个人信息处理的场景

人工智能的概念是构建和适用人工智能立法的基础，准确理解概念是开展合规的前提条件。《指南》中明确，

生成式人工智能属于人工智能的一种，其通过机器学习来生成丰富的内容，包括文本、图片或者音频（《指

南》中只提到音频，但以sora等为例，视频生成也应包含在内）。同时，《指南》区分了基础模型

（foundationmodel）、大语言模型（largelanguagemodel）等细分概念，这对于不同服务提供者确定应适用的法律