
Bruxelles, den 18. december – Det Europæiske Databeskyttelsesråd har vedtaget en udtalelse* om anvendelse af personoplysninger til udvikling og udbredelse af AI-modeller. Denne udtalelse ser på 1) hvornår og hvordan AI-modeller kan betragtes som anonyme, 2) hvorvidt og hvordan legitim interesse kan anvendes som retsgrundlag for udvikling eller anvendelse af AI-modeller, og 3) hvad der sker, hvis en AI-model udvikles ved hjælp af personoplysninger, der er blevet behandlet ulovligt. Den overvejer også brugen af første- og tredjepartsdata.
Den irske databeskyttelsesmyndighed (DPA) anmodede om en udtalelse med henblik på at opnå en harmonisering af lovgivningen i hele Europa. For at indsamle input til denne udtalelse, som omhandler teknologier i hastig udvikling, der har en vigtig indvirkning på samfundet, afholdt Databeskyttelsesrådet et interessentarrangement og havde en udveksling med EU's AI-kontor.
Formanden for Databeskyttelsesrådet, Talus, sagde: "AI-teknologier kan medføre mange muligheder og fordele for forskellige industrier og områder af livet. Vi er nødt til at sikre, at disse innovationer udføres etisk, sikkert og på en måde, der gavner alle.
Databeskyttelsesrådet ønsker at støtte ansvarlig AI-innovation ved at sikre, at personoplysninger beskyttes og i fuld overensstemmelse med den generelle forordning om databeskyttelse (GDPR)."
Med hensyn til anonymitet hedder det i udtalelsen, at databeskyttelsesmyndighederne bør vurdere fra sag til sag, om en AI-model er anonym. For at en model kan være anonym, bør det være meget usandsynligt 1) direkte eller indirekte at identificere personer, hvis data blev brugt til at oprette modellen, og 2) at udtrække sådanne personoplysninger fra modellen gennem forespørgsler. Udtalelsen indeholder en ikkebindende og ikkeudtømmende liste over metoder til påvisning af anonymitet.
Med hensyn til legitim interesse indeholder udtalelsen generelle betragtninger, som databeskyttelsesmyndighederne bør tage hensyn til, når de vurderer, om legitim interesse er et passende retsgrundlag for behandling af personoplysninger med henblik på udvikling og udbredelse af AI-modeller.
En tretrinstest hjælper med at vurdere anvendelsen af legitim interesse som retsgrundlag. Databeskyttelsesrådet giver eksempler på en samtaleagent, der skal bistå brugerne, og brugen af kunstig intelligens til at forbedre cybersikkerheden. Disse tjenester kan være til gavn for enkeltpersoner og kan være baseret på legitim interesse som retsgrundlag, men kun hvis behandlingen viser sig at være strengt nødvendig, og afvejningen af rettigheder respekteres.
Udtalelsen indeholder også en række kriterier, der skal hjælpe databeskyttelsesmyndighederne med at vurdere, om enkeltpersoner med rimelighed kan forvente visse anvendelser af deres personoplysninger. Disse kriterier omfatter: hvorvidt personoplysningerne var offentligt tilgængelige, karakteren af forholdet mellem den registrerede og den dataansvarlige, tjenestens art, den sammenhæng, hvori personoplysningerne blev indsamlet,den kilde,hvorfra oplysningerne blev indsamlet, de potentielle yderligere anvendelser af modellen, og om enkeltpersoner rent faktisk er klar over, at deres personoplysninger er online.
Hvis afvejningstesten viser, at behandlingen ikke bør finde sted på grund af den negative indvirkning på enkeltpersoner, kan afbødende foranstaltninger begrænse denne negative indvirkning. Udtalelsen indeholder en ikkeudtømmende liste over eksempler på sådanne afbødende foranstaltninger, som kan være af teknisk art eller gøre det lettere for enkeltpersoner at udøve deres rettigheder eller øge gennemsigtigheden.
Endelig kan det, når en AI-model er udviklet med ulovligt behandlede personoplysninger, have en indvirkning på lovligheden af dens udbredelse, medmindre modellen er blevet behørigt anonymiseret.
I betragtning af omfanget af anmodningen fra den irske databeskyttelsesmyndighed, den store mangfoldighed af AI-modeller og deres hurtige udvikling har udtalelsen til formål at vejlede om forskellige elementer, der kan anvendes til at foretage en analyse fra sag til sag.
Desuden er Databeskyttelsesrådet i øjeblikket ved at udarbejde retningslinjer, der dækker mere specifikke spørgsmål såsom webskrabning.
Bemærkning til redaktører:
*En udtalelse i henhold til artikel 64, stk. 2, vedrører et almengyldigt spørgsmål eller har virkning i mere end én medlemsstat.
Den pressemeddelelse, der offentliggøres her, er automatisk oversat fra engelsk. Databeskyttelsesrådet garanterer ikke, at oversættelsen er korrekt. Der henvises til den officielle tekst i den engelske udgave, hvis der er tvivl.