摘要 

欧洲数据保护专员公署（简称“EDPS”，欧盟的独立数据保护机构）在 2024 年 6 月 3 日发布了一批“指引”，用于确保生成式人工智能系统使用者履行数据保护义务。

背景 

该指引旨在为欧盟机构、团体、办事处和代理机构（统称“EUI”）提供使用生成式人工智能系统时，对个人数据处理方面的实用建议与指导，并促使它们遵守《通用数据保护条例》 ( GDPR)  下的数据保护义务。

该指引旨在涵盖尽可能多的场景与应用，首先对“生成式人工智能”的涵义进行了定义，然后逐个解答了诸多问题，例如：如何确认生成式人工智能系统的使用是否涉及个人数据处理，以及在设计、开发、验证生成式人工智能系统过程中何时可以合法处理这些数据，等等。

要点 

• 如果生成式人工智能系统的使用涉及个人数据处理，GDPR 将全面适用。该条例技术上具有中立性和普适性，不区分技术类型普遍适用于所有个人数据处理活动，并且不影响其他法律规范，尤其是《人工智能法案》的适用。

• 问责原则要求生成式人工智能模型供应链相关各方均清楚并履行各自责任。

• 如果生成式人工智能系统的开发者或提供者声称其系统不会处理个人数据（比如声称在设计、开发和测试过程中使用了匿名化数据集或合成数据），务必要询问他们采取了哪些具体控制措施来确保做到这一点。从根本上讲，需要了解提供者采取了哪些步骤或程序来确保模型不会处理个人数据。