人工智能时代的数据保护：法国CNIL新建议如何平衡创新与隐私？

在人工智能（AI）技术飞速发展的今天，如何在推动技术创新的同时保护个人数据权利，成为全球关注的焦点。2025年2月7日，法国国家信息与自由委员会（CNIL）发布了两项新建议，为人工智能的开发和使用提供了具体指导，旨在确保其符合《通用数据保护条例》（GDPR）的要求，同时促进负责任的创新。这些建议不仅为欧洲的人工智能发展提供了法律框架，也为全球数据保护与技术创新之间的平衡提供了重要参考。

GDPR:在保护隐私的同时推动人工智能创新

自1978年以来，法国一直是数字技术个人数据保护的先行者。随着GDPR的出台，欧洲在个人数据保护方面实现了统一标准，其原则也影响了全球许多国家的立法。GDPR不仅为个人数据提供了强有力的保护，还为人工智能的创新提供了法律框架。

CNIL认识到，明确的法律框架对于平衡技术创新与个人数据保护至关重要。自2023年推出人工智能行动计划以来，CNIL已发布了一系列针对人工智能系统开发的建议。这些建议旨在建立个人与企业之间的信任，同时为企业提供法律确定性。

适应人工智能特殊性的GDPR原则

人工智能模型的特殊性使得GDPR的适用需要灵活调整。部分人工智能模型是匿名的，因此不受GDPR约束。然而，其他模型（如大语言模型）可能包含个人数据，必须受到GDPR的保护。

CNIL在以下方面提出了具体建议：

目的确定：对于通用人工智能系统，目的确定可以灵活应用。运营者可以描述系统类型并举例说明关键功能。

数据最小化原则：虽然允许使用大型训练数据集，但应对数据进行筛选和清理，以避免不必要的个人数据处理。

训练数据保留：在合理理由下，训练数据的保留期限可以延长，特别是对于需要大量科学和资金投入的数据库。

数据库再利用：只要数据收集合法且再利用与原始目的一致，数据库的再利用是可行的。

新建议：如何告知用户并支持权利行使？

CNIL发布的两项新建议，旨在促进人工智能的负责任使用，同时确保遵守个人数据保护规定：

数据使用告知：当个人数据用于训练可能记住数据的人工智能模型时，必须告知相关个人。告知方式可根据风险和操作限制调整。对于依赖第三方数据源的模型，组织可以提供一般性信息。

权利行使支持：GDPR赋予个人访问、更正、反对和删除其个人数据的权利。然而，在人工智能模型中行使这些权利可能面临挑战。CNIL敦促开发者从设计阶段融入隐私保护理念，并开发创新解决方案以保护个人数据。

与利益相关者和民间社会的广泛协商

这些建议是在公开征求意见后制定的，广泛听取了企业、研究人员、学者、协会等利益相关者的意见。CNIL将继续努力，确保GDPR在人工智能领域得到务实且全面的应用，并密切关注欧盟委员会人工智能办公室的工作。

结语：创新与隐私如何兼得？

CNIL的新建议为人工智能的开发和使用提供了明确指导，既保护了个人数据权利，又促进了技术创新。在人工智能快速发展的今天，我们期待更多国家和地区能够借鉴这些经验，共同构建一个安全、透明、负责任的人工智能未来。