匿名化——数据保护与欧洲数据战略之间紧张关系的补救...
正如我们博客最近几个月的众多文章所表明的那样,几乎没有比欧盟数据战略(包括《数据法》(DA)或《人工智能条例》(AI-VO)等指令)更具现实意义和疑问的话题了。经常出现的问题是:作为一家公司,我该如何履行这些欧盟新法规规定的义务,同时又遵守 GDPR 的规定,以避免被罚款的风险?
柏林数据保护和信息自由专员(BlnBDI)也在2024 年 9 月 13 日于柏林举行的netzpolitik.org 会议“Bildet Netze”上讨论了这一话题。她的演讲特别关注了 DA 和 GDPR 之间的紧张关系,但也可以应用于欧盟数据战略的其他法律法案(特别是《数据治理法》、《人工智能监管》和《数字市场法》),只要它们与 GDPR 有接触点。
问题描述
正如国家数据保护专员在演讲开始时所解释的那样,欧盟数据战略旨在创建单一数据市场。为了实现这一目标,一方面需要保证(个人)数据的安全,另一方面需要确保公司和当局能够轻松访问大量高质量的数据。
因此,问题是:在这种情况下如何保证数据保护?
GDPR 在欧盟数据战略框架内不受影响,该框架内的法规例如B. DA 和 KI-VO,因此没有单独的个人数据处理法律依据。
BlnBDI 进一步解释说,由于缺乏对GDPR 与欧盟数据战略其他法律行为之间紧张关系的监管,欧盟等公司的业务面临问题。 B.可以同时满足DA的数据访问请求和GDPR的规定。
作为一种“补救措施”,她随后建议对数据进行匿名化或假名化,迪拜商业传真列表 并特别提到了 DA 的第 7 条,其中除其他内容外还指出:
“[…]由于本条例不应影响数据主体的数据保护权利,因此在这种情况下,数据控制者可以通过匿名化个人数据或[…]仅传输用户的个人数据等方式来遵守数据访问请求。”
根据 GDPR 第 26 条规定,如果信息与已识别或可识别的自然人无关,或者个人数据已以无法或不再能识别数据主体的方式匿名化,则数据是匿名的。 GDPR 将不再适用于此类数据的处理。
另一方面,假名数据是可以通过使用附加信息归属于自然人的信息。 GDPR 继续适用于假名数据的处理,但这些数据(包括 BlnBDI)至少要遵守 GDPR 框架内的简化处理条件(例如,当必须进行利益平衡时)。
因此,匿名化或假名化可以作为 GDPR 和 DA(或欧盟数据战略的其他法律行为)之间的一种“实际一致性”。为了帮助实现 DA(以及 AI 法规)的立法意图,这一点尤为必要。否则,例如,为生成人工智能而全面收集个人数据可能会因为GDPR中的存储限制和数据最小化原则而被“直接排除在审查之外”,这将与全面的内部数据市场的目标背道而驰,从而严重阻碍创新。
因此,作为 DSK 2025 的主席,柏林数据保护监督局计划推出全面的假名化和匿名化指南,并通过明确的行动建议,帮助数据所有者遵守 DA 或 AI-VO 和 GDPR 规定的义务。
尚无灵丹妙药
尽管 BlnBDI 的做法当然值得欢迎,但人们可能会怀疑,所提议的数据匿名化/假名化是否真的可以作为 GDPR 与欧盟数据战略其他法律行为之间紧张关系领域的一种“灵丹妙药”。
尤其是在使用AI系统时,往往无法再查明特定人的哪些个人数据已被处理并包含在AI系统中。这适用于使用过程中的输入和输出数据以及训练数据,特别是如果人们认为初始训练后使用的训练数据继续被视为个人数据。由于缺乏这种知识,AI系统中存在的数据可能很难匿名化。此外,根据第 14 条,向数据主体提供全面的信息。 15(1)在大多数情况下,GDPR 可能不可行。匿名化或假名化指南无法解决这个问题。
只有通过事先全面的匿名化确保在系统训练期间或运行期间不会处理任何个人数据,才能排除 GDPR 的适用性。然而,对于大多数人工智能系统来说,这不太可能实现。
此外,已经可以预见,可能会出现管辖权争议,因为联邦网络局而不是数据保护监管机构可能会被任命为人工智能法规框架内的市场监管机构。这让人担心,联邦网络管理局不会允许执行人工智能法规,而数据保护监管机构也不会允许GDPR被剥夺,这可能会导致相互冲突的决定,最终可能给受影响的公司带来进一步的不确定性。
结论
虽然原则上应该欢迎数据保护监管机构制定有关数据匿名化/假名化的指南和援助,但由于在人工智能部署的背景下数据匿名化的困难,值得怀疑的是,这些指南和援助是否真的可以被视为一种“解决办法”,而且不会通过对数据所有者或数据保护负责人提出完全不切实际的要求而加剧不确定性。
此外,由于可以预见联邦网络管理局将被任命为人工智能法规框架内的市场监管机构,因此不能排除未来在执行相关法律行为时出现“权限争论”的可能性,这可能会导致数据处理的进一步官僚化,从而阻碍人工智能领域的创新。
由于 GDPR 与欧盟数据战略其他条款之间不受监管的紧张关系,欧盟希望促进创新和创建易于访问的内部数据市场的目标可能会受到极大阻碍。
頁:
[1]