今天分享的是 AIGC专题系列 深度研究报告：《 AIGC专题：欧盟EDPS首份生成式人工智能数据合规指南 》

（报告出品方： 欧洲数据保护监督机构 ）

报告共计： 26 页

1. 引言和范围

• 目的：为欧盟机构、组织和机关在使用生成式人工智能系统时处理个人数据提供指导和建议，以确保其符合欧盟《通用数据保护条例》（EUDPR）的规定。

• 适用范围：适用于欧盟机构、组织和机关在使用生成式人工智能系统时处理个人数据的情况。

• 更新频率：本指南将根据生成式人工智能系统和技术的发展、欧盟机构、组织和机关的使用情况以及EDPS的监测和监督活动的结果进行更新和完善。

2. 生成式人工智能的定义和特点

• 定义：生成式人工智能是一种使用机器学习技术来生成新的内容的人工智能，它可以生成文本、图像、音频等多种形式的内容。

• 特点：生成式人工智能系统通常使用大规模的数据集进行训练，这些数据集可能包含大量的个人数据。生成式人工智能系统的输出结果可能受到多种因素的影响，包括训练数据、模型架构、训练算法等。

3. 欧盟机构、组织和机关使用生成式人工智能的合法性

• 原则：欧盟机构、组织和机关在使用生成式人工智能系统时，必须遵守欧盟《通用数据保护条例》（EUDPR）的规定，确保个人数据的处理合法、公正、透明。

• 合法性依据：欧盟机构、组织和机关在使用生成式人工智能系统时，必须有合法的依据，例如，为了履行法定职责、执行公共任务、保护公共利益等。

• 责任分配：欧盟机构、组织和机关在使用生成式人工智能系统时，必须明确责任分配，确保个人数据的处理符合欧盟《通用数据保护条例》（EUDPR）的规定。

4. 数据保护官在生成式人工智能系统开发或部署过程中的作用

• 任务：数据保护官在生成式人工智能系统开发或部署过程中的任务包括提供数据保护方面的建议和指导、协助监控内部合规情况、提供有关数据保护影响评估的建议、作为数据主体和EDPS的联系点等。

• 建议：数据保护官在生成式人工智能系统开发或部署过程中，应建议控制器采取适当的技术和组织措施，以确保个人数据的安全和保护。

5. 欧盟机构、组织和机关在开发或实施生成式人工智能系统时应进行的数据保护影响评估

• 原则：欧盟机构、组织和机关在开发或实施生成式人工智能系统时，应进行数据保护影响评估，以评估该系统对个人数据保护的影响。

• 时机：欧盟机构、组织和机关在开发或实施生成式人工智能系统时，应在系统开发或实施之前进行数据保护影响评估。

• 内容：欧盟机构、组织和机关在开发或实施生成式人工智能系统时，应评估该系统对个人数据保护的影响，包括数据收集、使用、存储、共享、删除等方面的影响。

6. 生成式人工智能系统设计、开发和验证过程中个人数据处理的合法性

• 原则：生成式人工智能系统设计、开发和验证过程中个人数据处理的合法性应遵循欧盟《通用数据保护条例》（EUDPR）的规定。

• 合法性依据：生成式人工智能系统设计、开发和验证过程中个人数据处理的合法性依据包括同意、合法利益、履行法定职责、保护公共利益等。

• 特殊类别数据处理：生成式人工智能系统设计、开发和验证过程中特殊类别数据处理的合法性应遵循欧盟《通用数据保护条例》（EUDPR）的规定。

7. 使用生成式人工智能系统时如何保证数据最小化原则

• 原则：使用生成式人工智能系统时应保证数据最小化原则，即只收集和处理必要的个人数据。

• 措施：使用生成式人工智能系统时应采取措施保证数据最小化原则，例如，使用高质量的数据集、避免过度收集个人数据、定期审查和更新数据集等。