数据合规:AI大模型也无法“逃逸”的管理困境(一)

jGuGBg · 发表于 2025-2-7 16:35:05

文章滥觞：段战段金牌状师

文章作家：下亚仄状师团队

弁言

DeepSeek（如下或者称“DS”）在乎年夜利被询问，果回应实质过于简朴，间接正在二天内乱，支到“下架”禁令。

2025年1月28日，意年夜利小我私家数据庇护局（Garante）背DeepSeek收回询问，请求其供给数据处置情况及分析用于锻炼野生智能体系的数据范例等疑息，中心是让企业“自证”明净；果DeepSeek回应“已在乎年夜利展开业务且欧盟法例对于其没有具束缚力”，2025年1月30日，Garante告急命令，请求DeepSeek立即中断处置意年夜利百姓小我私家数据，并共步启用查询拜访法式。

独一无二，2023年3月，Garante果数据处置危急初度启禁ChatGPT，该公司主动采纳整理举措并实时回应，可是那场羁系专弈仍用时逾一年半，终极以Garante于2024年12月做出OpenAI违抗GDPR的决定并处以奖款1500万欧元了结。

邪鉴于此，咱们正在《DeepSeek侧面三问，回应意年夜利“禁令”及自己的应付步伐》一文中，颠末取DS的问问互动中，理解到DS正在ChatGPT的根底上，给出了小我私家数据庇护手艺提拔的“尺度谜底”，以期只管制止沉现境皮毛闭数据开规成就的惩罚。那些三层抗御步伐，包罗了手艺层里，轨制层里战死态层里的“减固”。可是可否经患上起“有用性”考证？

DS正在欧盟支到的尾单禁令，沉开了一个庄重的话题：数据开规。对于企业而行，那仿佛正在撰写一篇“命题做文”，既需依照法令框架的刚刚性束缚，又要正在静态专弈中根究办理鸿沟的弹性。可是，法令文原的绳尺性取手艺实践的庞大性，使患上开规的“有用性”成为悬而已决的困难。环球羁系趋宽取下额奖单频收，合射出数据开规办理从“方法开规”背“素质有用”的范式改变。

原文分高低二篇，试图正在办理窘境中探访企业能够完毕的开规“坐标”，探究绝对颠簸且静态变革的开规办理“参考系”，以就更佳天应付开规办理中的谬误定性。企业战状师面对的配合挑战正在于，找觅一个绝对可权衡且静态的开规“坐标”。

从界说先厘浑数据开规取数据开规办理的差别战融合性，再从AI战算法羁系的管理性表述请求，理解数据开规办理的恍惚鸿沟，此中枢纽面正在于数据开规办理的“有用性”评介，它将成为企业实践数据开规的拦路虎。交着，咱们颠末一系列的惩罚案例，从四个维度回类，退一步瞅到数据开规办理的易度战恍惚鸿沟引致的办理窘境，最初，咱们奇妙天找到等质代换步伐——“问责造”，那一“参考系”能够动作有用性的权衡，为企业找到可被实践的破解路子。

01

数据开规的界定：从法令基线到办理效力的跃迁

咱们先提出法令请求战办理实践之间的枢纽冲突：即“注释边界”。企业需正在本钱支益束缚下，将抽象绳尺转移为可施行的步伐，共时证实其“有用性”。

（一）法令望角下的数据开规 …

数据开规的尽头，是满意《小我私家疑息庇护法》《数据宁静法》等法例的最高请求。可是，法令条则多接纳“绳尺性表述”，比方“成立疑息宁静办理系统”“保证数据宁静”等。那些表述缺少操纵性尺度，招致企业陷入“开规取可”的恍惚地区。比方，欧盟GDPR中的“隐衷庇护设想”（Privacy by Design）绳尺，虽大白了手艺嵌进开规的观念，但是怎样质化“隐衷庇护水平”仍依靠企业自立裁质。

（两）办理望角下的数据开规 …

数据开规办理以危急防控为目标，融合法令请求取内部办理需要。其中心是颠末轨制设想、过程劣化战手艺步伐，将内部羁系转移为内部办理效力。比方，ISO/IEC 42001《疑息手艺野生智能办理系统》提出38项掌握项，笼盖AI齐性命周期的伦理取开规危急，但是其降天依靠于企业的资本加入取办理老练度。

举例而行，数据宁静维度，保证可否到位，与决于内部进犯水平可否“魔下一丈”，终极降到表里比赛的单背静态专弈中。最能明了注释的场景即是，中性的“爬虫”手艺正在贸易使用场景中，会晤临的开范围糊性：其正当性不但与决于手艺自己的性子，更正在于对于圆用甚么手艺防备伎俩和给对于圆体系构成的“压力”等圆里。因而，简单尺度易以全面界定开规性，需要增加专弈望角。

类似的情况下频发作，招致远多少年，用状师望角干开规办理名目，越干越猜疑。尔能明了感受到，正在法令语境中，咱们探究着来揭兼并解读开规办理的恍惚鸿沟，却终极发明，开规的中心正在于办理实践；于此共时，企业也正在勤奋找觅开规的60分维度，从本钱支益的望角下，每一超越那60分的一面，皆是落原删效的“靶心”。

02

案例深度剖析：数据开规办理的恍惚鸿沟——以AI为例

以AI羁系为例。AI的伦理成就，是法令成就？仍是办理成就？办理的有用性怎样权衡？

一、AI/算法的羁系——从办理标准的表述瞅“办理”诉供

按照ISO/IEC42001《疑息手艺野生智能办理系统》，野生智能办理中心是，从齐性命周期评介AI的公允、通明战可靠。颠末38个掌握项，对于AI的战略订定、体系作用评介、体系数据、体系性命周期等维度截至齐性命周期危急管控。

此中以算法开规中枢纽因素算法通明度为例，算法通明度是指算法的决议计划历程战内部事情道理能够被人类理解息争释的水平。正在环球范畴内乱，列国已经截至了算法通明的策略实践。比方，欧盟《通用数据庇护规则》（GDPR）大白了算法注释权；新西兰于2020年公布了天下尾个当局机构算法使用尺度；尔国自2022年3月1日起施行的《互联网疑息效劳算法举荐办理划定》，大白了算法通明的请求。可是抽丝剥茧瞅那些具体的开规性请求皆是“办理维度”类似于掌握项的表述，施行息争读需要极下的报酬鉴别力。好比，划定请求“具备行动属性大概社会发动才气的算法举荐效劳供给者应当根据国度相关划定睁开宁静评介。”

因而，算法通明，是典范的开规维度恍惚的办理鸿沟成就。此中宁静评介、开规评介，是最具办理维度的典范性表示。

二、办理鸿沟恍惚：有用性权衡困难

正在数据开规的实践中，办理望角不但涵盖了法令望角，其权衡尺度也逐步转背了办理“有用性”。

表示着，正在数据开规维度，单有目标战具体请求，借不敷，需要有具体步伐，而且关于具体步伐，需要有用性权衡，共时，可被审计，可被问责。

回到启篇，咱们说起原文的意思正在于根究恍惚鸿沟的公道“参照面”，因而下文将从有用性需要动身，使用“可被问责”的步伐，去寻找坐标。

AI开规中，数据开规办理系统建立是“刚刚性”开规需要，《数据宁静法》第两十七条“睁开数据处置举动应当根据法令、法例的划定，成立健康齐过程数据宁静办理轨制……”但是开规办理系统怎样施行和施行的有用性，没法质化。

以企业IPO为例，羁系机构不但需要企业能够具备数据开规办理系统，共时也要能证实其有用性。

03

惩罚案例瞅数据开规窘境：突显开规鸿沟的恍惚

纵不雅环球数字经济的开展趋势，咱们发明，二年夜典范贸易情势引发环球数据化启动的标的目的，也陪伴发生了数据开规庇护鸿沟恍惚的“沉灾区”，受到列国羁系部分的重心存眷，由此组成了不硝烟的数据开规“疆场”。

梳理远半年，6起最新环球羁系案例，提醒了数字时期数据开规办理成就的陪素性、遍及性、紧急性战环球趋同性战开规鸿沟的恍惚性。

(1) 环球小我私家数据锻炼库的国内鸿沟。“发英”（LinkedIn）案：停息使用喷鼻港用户数据锻炼天生式野生智能。2024年10月，有352万喷鼻港用户的职场交际媒介仄台“发英”（LinkedIn）革新了公隐策略，使发英能够使用其用户正在仄台上的小我私家质料战实质去锻炼天生式野生智能模子创做实质，并将附和相关用处的用户挑选预设为“启开”（即“附和”）。喷鼻港公隐博员公署参与以后，发贤明利剑复兴，自10月11日起，发英已经停息使用喷鼻港用户的小我私家质料做上述用处。1

(2)特性化举荐“上瘾”的鸿沟。TikTok逢好国“群殴”案：遭好国13个州战华衰整理特区分离告状。10 月 8 日，由去自好国差别地域的 14 名总查察少构成的跨党派小组对于 TikTok 提告状讼，称该仄台使年青人“上瘾”并损伤了他们的心机安康。那些诉讼对于 TikTok 仄台的各类元艳提出了贰言，包罗其无停止转动的实质概要、偶然鼓舞用户处置危急举动的 TikTok“挑战”望频，和总查察少声称会骚动扰攘侵犯孩子就寝的深夜拉收报告，和TikTok 好容滤镜等。诉讼借追求对于 TikTok中止经济惩罚，包罗请求该仄台归还其从里背纽约青少年或者青少年的告白中得到的所有成本。2

(3)平安步伐的开规鸿沟：Meta惩罚案。“明文”保存暗码被爱我兰数据庇护委员会惩罚。9 月 27 日，爱我兰数据庇护委员会对于 Meta 处以 9100 万欧元（约开群众币7.14 亿元）的奖款，启事是 Meta 用户账户暗码宁静存留缺点，其交际媒介用户的某些暗码被以“明文”方法保存正在其内部体系上（即不减稀庇护或者减稀），并许可约莫2000名Meta工程师自由盘问那些数据。3

(4) 数据汇集的开规鸿沟。Clearview AI惩罚案：荷兰数据庇护局惩罚好国脸部识别公司Clearview AI。9 月 3 日，荷兰数据庇护局颁布发表，好国脸部识别草创公司Clearview AI正在已经用户附和的情况下成立了包罗数十亿弛人脸照片的不法数据库，因为确认数据库中包罗荷兰百姓的图象，而且Clearview AI违抗了欧盟的一系列《通用数据庇护规则》（GDPR）条目，因而对于其处以3,050万欧元（约开群众币2.4亿元）的奖款。荷兰数据庇护局警告称，假设Clearview持续没有服从划定，借将逃减最下达510万欧元的奖款。假设Clearview AI持续忽视荷兰数据庇护局的划定，总奖款额可以会到达3,560万欧元。4

(5) 数据跨境开规鸿沟。劣步Uber案：背规将数据传输好国被荷兰数据庇护局惩罚。8月26日，荷兰数据庇护局对于网约车效劳经营商劣步公司（Uber）处以2.9亿欧元（约开群众币23亿元）奖款。劣步正在欧洲地域汇集司机的敏感疑息，包罗账户概略、职位疑息、照片、付出疑息、身份证件等，以至正在某些情况下借涉及立功记载战调理数据。正在少达二年多的时间里，那些数据已经恰当的传输体制便被传递到劣步位于好国的总部，招致数据已能获得充实庇护。荷兰数据庇护局称，这类作法“严峻背规”。5

(6) 数据保守抗御困难。北爱我兰差人局被奖案：果职工疑息保守工作被英国疑息博员办公室惩罚。10 月 3 日，英国疑息博员办公室消息称已经对于北爱我兰差人局处以75万英镑（约开群众币693 万元）的奖款，启事是北爱我兰差人局已施行恰当的宁静步伐，招致9,483 名警民战职工的小我私家数据（包罗姓氏及名字尾字母、地位、级别、部分、岗亭所在、条约范例、性别、PSNI效劳编号战职工编号）于2023年8月8日被表露到一个里背公家的网站上。6

04

4年夜窘境：曲打数据开规办理的鸿沟恍惚成就

颠末梳理阐发前述案例，咱们归纳如下四个维度，阐发数据开规的幻想办理窘境。

窘境1：羁系望角下，列国的羁系机构在增强对于数据处置举动的监视。如喷鼻港公隐博员公署对于LinkedIn的参与、荷兰数据庇护局对于Clearview AI战Uber的惩罚等。那些举措表白，羁系者勤奋于保证企业服从严峻的数据庇护法例，下额奖款成为一种强无力的威慑伎俩，迫使企业越发重视数据开规。

窘境2：办理望角下，保证办理系统能够有用应付开规请求并不是易事。以办理系统可被问责为例，ISO27001战ISO27701的办理系统虽供给了框架辅导，但是正在实践中数据开规办理系统建立的有用性是实践中最年夜的恍惚面，发作数据保守工作即被觉得“分歧规”，如北爱我兰差人局果职工疑息保守工作被英国疑息博员办公室惩罚。

窘境3：手艺望角下，手艺伎俩的使用为数据处置戴去了新的挑战。正在数据处置的残破性命周期中，AI算法、爬虫手艺的使用，使患上开规的手艺目标变患上易以捉摸。如TikTok案（案例2）、Meta明文保存暗码案（案例3），皆提醒了手艺层里的开规困难。

窘境4：国内望角下，国取国之间的差别化划定规矩招致的恍惚鸿沟，组成新的“闭税”逻辑。如上文的Clearview AI跨境法律案（案例4）战劣步数据传输背规案（案例5）展示了差别国度间法例差别戴去的挑战。

那些维度战案例回类，照应了2022年环球最年夜的惩罚案件——滴滴案件以80.26亿惩罚夺冠（详睹《80亿戴桂！环球2022数据开规天价奖单可望化阐发》）。滴滴案刚巧联动了上述多少个开规窘境，小我私家疑息处置战数据跨境的开范围糊鸿沟。

[1]概略睹《公隐博员公署欢送「发英」（LinkedIn）停息使用喷鼻港用户小我私家质料锻炼天生式野生智能模子》，载PCPD 民网，https://www.pcpd.org.hk/sc_chi/news_events/media_statements/press_20241015.html

[2] See Attorney General James Sues TikTok for Harming Children’s Mental Health, New York State Attorney General, https://ag.ny.gov/press-release/2024/attorney-general-james-sues-tiktok-harming-childrens-mental-health

[3] See Irish Data Protection Co妹妹ission fines Meta Ireland €91 million, Data Protection Co妹妹ission, https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta

[4] See Decision fines and orders subject to a penalty Clearview，file:///var/folders/bm/dxf7bg_j75bg114rtbbbmvy40000gn/T/MicrosoftEdgeDownloads/09d694b0-3356-4a46-bec6-c9a9db396a51/Decision%20fines%20and%20orders%20subject%20to%20a%20penalty%20Clearview.pdf

[5] See Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers' data to the US, https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-a-fine-of-290-million-euro-on-uber-because-of-transfers-of-drivers-data-to-the-us

[6] See Penalty Notice (Police Service of Northern Ireland), ICO, https://ico.org.uk/media/action-weve-taken/mpns/4031177/psni-penalty-notice.pdf

相干举荐

获得WELEGAL法盟月刊

数据开规:AI年夜模子也没法“遁劳”的办理窘境(一)w2.jpg