奥地利数据保护局：欧盟AI法与GDPR到底是什么关系？

报名：人工智能管理专家CAIM课程（上海班）

• 时间：6月22日、23日,聚焦ISO/IEC42001人工智能管理体系

• 形式：线下为主、线上同步

• 费用：CAIM6000元，早鸟价9折和团购价8折

• 地址：上海市徐汇区宜山路889号4号楼5楼SGS上海培训中心

• 咨询：138 1664 6268，[email protected]

预报名请咨询

奥地利数据保护局（DSB）发布的关于《通用数据保护条例》（GDPR）与《人工智能法》（AI Act）关系的声明

鉴于企业发展和使用人工智能（AI）系统的日益重要性，奥地利数据保护局指出以下几点：

欧盟议会和理事会关于制定人工智能统一规定并修订（EG）第300/2008号、（EU）第167/2013号、（EU）第168/2013号、（EU）2018/858号、（EU）2018/1139号和（EU）2019/2144号条例及2014/90/EU、（EU）2016/797号和（EU）2020/1828号指令（人工智能法）的规定已于2024年5月21日正式通过。在《欧盟官方公报》发布后，人工智能法将（在未来9个月和3年内）逐步直接适用。

数据保护局就其职责范围内的以下事项提供信息：

• 人工智能（AI）包括多种基础技术，这些技术可以为经济和社会的各个方面带来诸多好处。根据人工智能法第2条第7款，数据保护局的工作及AI系统提供者和运营者作为GDPR下的责任方或数据处理者的义务不受影响。

• 数据保护法律——特别是《通用数据保护条例》（GDPR）——在处理个人数据时仍然适用。

• 如果在AI系统的开发和使用过程中处理个人数据，至少必须符合GDPR第6条第1款规定的数据处理合法性基础。如果处理特殊类别的个人数据（“敏感数据”），还必须遵守GDPR第9条第2款的规定。

• 在开发或选择AI系统时，必须考虑数据保护方面的问题。数据保护局强调，GDPR并不妨碍新技术（尤其是AI）的发展，因为GDPR第6条第1款和第5条提供了足够的依据，使新技术能够在符合GDPR的前提下发展和运营。

• 如果没有合法的依据，数据处理将是不合法的，从而导致相关AI系统的使用不合法。根据欧洲法院的判例，证明遵守数据保护法的责任在于相关责任方。
  

• 在AI的背景下，GDPR第22条的规定尤为重要：第22条适用于对个人产生法律效果或类似显著影响的自动化决策，例如在线贷款的自动授予或无人参与的在线招聘程序。根据欧洲法院的判例，第22条的适用范围往往被广泛解释。
  

• 有关AI和数据保护的更多信息，请参见数据保护局的FAQ，这些FAQ将及时更新。
  

• 最后，请注意欧洲数据保护委员会（EDPB）2024-2027年战略的优先事项，包括制定GDPR与AI法之间关系的指南。

总结

• 即使在AI法生效后，GDPR在处理个人数据时仍然适用。

• 在使用AI系统处理个人数据时，必须遵守GDPR第5条的数据保护原则，特别是必须符合GDPR第6条第1款（和第9条第2款）的合法性基础。 

• 如果涉及GDPR第22条的自动化决策，必须遵守相关规定。 

• 根据GDPR第5条第2款，责任方必须证明数据处理的合法性。

• 如果在程序中发现相关AI系统不符合GDPR，数据保护局有义务根据GDPR第58条第2款采取补救措施，包括可能的罚款。

2024年5月28日

数据保护局局长：施密德尔

已开课！扫码加入学习