Ủy ban bảo vệ dữ liệu châu Âu (EDPB) đưa ra ý kiến về việc sử dụng dữ liệu cá nhân trong phát triển AI tạo sinh

• Ủy ban bảo vệ dữ liệu châu Âu (EDPB) vừa công bố ý kiến về cách các nhà phát triển AI có thể sử dụng dữ liệu cá nhân mà không vi phạm luật bảo mật của khối này[1].

• EDPB đưa ra hướng dẫn về 3 vấn đề chính:
- Xác định tính ẩn danh của mô hình AI
- Xem xét cơ sở pháp lý cho việc xử lý dữ liệu
- Đánh giá tính hợp pháp của các mô hình được huấn luyện trái phép[1].

• OpenAI đã gặp rắc rối với ChatGPT tại nhiều quốc gia châu Âu:
- Italy: Kết luận sơ bộ về vi phạm GDPR
- Ba Lan và Áo: Khiếu nại về cơ sở pháp lý xử lý dữ liệu và vấn đề ảo giác[1].

• Về tính ẩn danh của mô hình:
- Cần đánh giá từng trường hợp cụ thể
- Mô hình phải "rất khó có khả năng" nhận dạng cá nhân
- Cần áp dụng các biện pháp kỹ thuật như chọn lọc dữ liệu nguồn, lọc dữ liệu và áp dụng các phương pháp bảo vệ quyền riêng tư[1].

• Về cơ sở pháp lý "lợi ích chính đáng":
- Phải đáp ứng ba tiêu chí: mục đích hợp pháp, tính cần thiết và cân bằng quyền lợi
- Cần xem xét kỳ vọng hợp lý của chủ thể dữ liệu
- Có thể áp dụng biện pháp giảm thiểu rủi ro[1].

• Về mô hình được huấn luyện bất hợp pháp:
- Đánh giá theo từng trường hợp
- Có thể hợp pháp hóa nếu đảm bảo ẩn danh trong giai đoạn triển khai
- Cần thận trọng để tránh lạm dụng hệ thống[1].

📌 EDPB đặt ra khuôn khổ pháp lý chặt chẽ cho AI tạo sinh tại châu Âu, với mức phạt có thể lên tới 4% doanh thu toàn cầu. Các nhà phát triển AI phải chứng minh tính ẩn danh của mô hình và đảm bảo cơ sở pháp lý phù hợp cho việc xử lý dữ liệu cá nhân.

Citations:
[1] https://techcrunch.com/2024/12/18/eu-privacy-body-weighs-in-on-some-tricky-genai-lawfulness-questions/

Cơ quan Bảo vệ Dữ liệu EU cân nhắc các câu hỏi khó về tính hợp pháp của AI tạo sinh
Natasha Lomas
8:18 AM PST · Ngày 18 tháng 12 năm 2024

Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB) đã công bố ý kiến vào thứ Tư về cách các nhà phát triển AI có thể sử dụng dữ liệu cá nhân để phát triển và triển khai các mô hình AI, chẳng hạn như mô hình ngôn ngữ lớn (LLM), mà không vi phạm luật bảo mật của khối EU. Ủy ban đóng vai trò định hướng quan trọng trong việc áp dụng các luật này, cung cấp hướng dẫn hỗ trợ việc thực thi quy định, vì vậy các quan điểm của họ rất quan trọng.

Những vấn đề mà ý kiến của EDPB đề cập bao gồm liệu các mô hình AI có thể được coi là ẩn danh (điều này có nghĩa là luật bảo mật sẽ không áp dụng); liệu cơ sở pháp lý "lợi ích hợp pháp" có thể được sử dụng để xử lý dữ liệu cá nhân một cách hợp pháp trong quá trình phát triển và triển khai các mô hình AI (điều này có nghĩa là không cần tìm kiếm sự đồng ý của cá nhân); và liệu các mô hình AI được phát triển bằng dữ liệu xử lý bất hợp pháp có thể được triển khai hợp pháp hay không.

Vấn đề cơ sở pháp lý

Câu hỏi về cơ sở pháp lý nào phù hợp để đảm bảo các mô hình AI tuân thủ Quy định Bảo vệ Dữ liệu Chung (GDPR) vẫn là một vấn đề nóng bỏng. OpenAI từng gặp rắc rối khi ChatGPT bị cho là vi phạm GDPR. Không tuân thủ các quy định về bảo mật có thể dẫn đến mức phạt lên đến 4% doanh thu toàn cầu hàng năm hoặc yêu cầu thay đổi cách các công cụ AI hoạt động.

Năm ngoái, cơ quan bảo vệ dữ liệu của Ý phát hiện sơ bộ rằng chatbot của OpenAI vi phạm GDPR. Từ đó, các khiếu nại khác cũng đã được nộp ở Ba Lan và Áo, tập trung vào cơ sở pháp lý cho việc xử lý dữ liệu, xu hướng tạo ra thông tin sai và việc không thể sửa chữa thông tin sai lệch về cá nhân.

Những điểm chính trong ý kiến của EDPB

Tính ẩn danh của mô hình

EDPB xác định rằng mô hình AI chỉ có thể được coi là ẩn danh nếu "rất khó có khả năng" xác định danh tính cá nhân từ dữ liệu được sử dụng để tạo mô hình hoặc thông qua các truy vấn. Tuy nhiên, điều này phải được đánh giá "dựa trên từng trường hợp cụ thể."

Ý kiến cũng cung cấp một danh sách không đầy đủ các phương pháp mà nhà phát triển có thể sử dụng để đảm bảo tính ẩn danh, bao gồm:

• Chọn nguồn dữ liệu đào tạo để hạn chế thu thập dữ liệu cá nhân.
• Lọc dữ liệu trong giai đoạn chuẩn bị trước đào tạo.
• Áp dụng các kỹ thuật bảo vệ quyền riêng tư như differential privacy.

Lợi ích hợp pháp

Cơ sở pháp lý "lợi ích hợp pháp" có thể là lựa chọn hàng đầu của các nhà phát triển AI vì nó không yêu cầu sự đồng ý của từng cá nhân, điều không khả thi với khối lượng dữ liệu khổng lồ mà LLM sử dụng. Tuy nhiên, EDPB nhấn mạnh rằng cần có bài kiểm tra ba bước để xác định tính phù hợp của cơ sở này:

1. Mục đích hợp pháp: Ví dụ, tạo mô hình AI hỗ trợ hội thoại hoặc cải thiện phát hiện mối đe dọa thông tin có thể được coi là mục đích hợp pháp.
2. Tính cần thiết: Việc xử lý phải thực sự đạt được mục đích hợp pháp và không có cách nào ít xâm phạm hơn để đạt được điều đó.
3. Cân bằng quyền lợi cá nhân: Xem xét tác động của việc xử lý dữ liệu đến quyền lợi cá nhân, bao gồm kỳ vọng hợp lý của họ và các biện pháp giảm thiểu rủi ro.

Mô hình được đào tạo bất hợp pháp

Một điểm nhấn quan trọng khác trong ý kiến là cách xử lý các mô hình AI được đào tạo trên dữ liệu bất hợp pháp. EDPB gợi ý rằng nếu dữ liệu cá nhân được ẩn danh trước khi triển khai mô hình, GDPR có thể không áp dụng cho hoạt động tiếp theo của mô hình. Tuy nhiên, các nhà nghiên cứu cảnh báo rằng cách tiếp cận này có thể tạo tiền lệ nguy hiểm, tiềm ẩn việc hợp pháp hóa việc thu thập dữ liệu không có cơ sở pháp lý.

Tác động đến ngành công nghệ

Ý kiến của EDPB cung cấp hướng dẫn quan trọng cho các cơ quan giám sát trong việc điều chỉnh AI tạo sinh, đồng thời đưa ra các tín hiệu cho các nhà phát triển về cách họ có thể thiết kế và phát triển để giảm thiểu rủi ro pháp lý. Tuy nhiên, EDPB cũng nhấn mạnh rằng sẽ không có giải pháp chung cho mọi trường hợp, và việc tuân thủ GDPR sẽ đòi hỏi sự điều chỉnh cẩn thận trong từng tình huống cụ thể.