EDPB 喺 2024 年 12 月 18 日嘅公布中,指 Opinion 28/2024 主要處理三條問題:第一,AI 模型幾時、點樣可以被視為匿名;第二,合法利益可否以及如何作為開發或使用 AI 模型嘅法律基礎;第三,如果 AI 模型係用曾經被違法處理嘅個人資料開發,後果會係點 。
所以,就德國同歐盟而言,現有來源唔支持一個「德國專用」或者「AI 一律合規」嘅簡單答案。德國同其他歐盟成員國一樣,重點仍然係逐個處理活動去睇:涉及咩個人資料、為咩目的、靠咩法律基礎、以及會唔會影響之後嘅處理步驟 。
對實務最重要嘅啟示係:唔好只睇技術標籤。監管重點唔係「呢件事係咪 AI」,而係「喺呢個具體情境下,有冇處理個人資料,以及點樣處理」。當中尤其要睇三樣嘢:匿名性、合法利益作為法律基礎嘅可行性,以及開發階段若曾有違法資料處理,會否影響後續使用
。
呢點喺模型可能仍然保留個人資料時特別重要。ENISA(歐盟網絡安全局)關於 EDPB Opinion 嘅網上研討會材料提到,如果個人資料保留喺模型入面,可能會影響之後處理活動嘅合法性;呢類情況需要逐案評估 。
EDPB Opinion 28/2024 明確討論合法利益可否以及如何用作開發或使用 AI 模型嘅法律基礎 。呢點好重要,因為好多 AI 項目未必容易靠同意作為唯一基礎。不過,合法利益唔等於自動過關。
以下唔係法律意見,而係根據 EDPB 同 ENISA 材料整理出嚟嘅實務檢查方向。
喺德國同歐盟,AI 唔會因為叫 AI 就自動符合 GDPR;但亦唔會單純因為係 AI 就被禁止。穩陣嘅事實核查答案係:要睇具體個人資料處理,尤其係模型是否真正匿名、法律基礎是否站得住腳、模型內是否仍保留個人資料,以及開發階段若有違法處理會否影響後續使用 。