法国国家信息与自由委员会(CNIL)于2024年4月8日推出首套七项实践建议,主题为“尊重个人数据的AI使用”,旨在指导人工智能领域的从业者。这些建议专门针对AI系统的开发阶段,而非部署阶段,并严格限定在受《通用数据保护条例》(GDPR)管辖的数据处理范围内。
该系列建议以简明手册形式呈现,涵盖技术与法律双重维度,帮助AI开发者确保系统设计符合GDPR核心要求。重点包括:明确适用法律框架(如GDPR、司法警务特别法或国家安全相关法规);在项目初期即清晰定义目标并确保其合法性;准确界定AI供应商的法律角色(数据控制者、联合控制者或处理者);验证数据来源的合法性,无论是直接获取还是从互联网公开渠道采集;开展个人权利与自由影响评估;落实“隐私设计”原则;以及在数据收集与管理中确保数据相关性。
法国作为欧盟数据治理的先行者,其监管实践具有高度参考价值。CNIL强调,这些建议虽不具备强制约束力,但代表了行业**实践,有助于企业提前规避合规风险。此外,未来还将推出关于“合法利益”、用户权利管理及信息告知等主题的补充指南。
对于中国AI企业而言,尽管国内法规体系与欧盟存在差异,但CNIL所倡导的“隐私设计”、数据最小化及全生命周期合规理念,同样适用于中国《个人信息保护法》框架下的实践,值得在出海或本土研发中借鉴。