在新数据规则下,算法软件的尽职调查义务可能会对使用人工智能的产品或服务的组织产生影响,尤其是那些构建模型的组织。
尽管印度的新规定比欧盟的要求宽松——欧盟已经禁止AI公司在该地区未经政府批准就发布新的AI模型——但遵守这一规定仍然是一项艰巨的任务。
律所Khaitan & Co. 的合伙人Supratim Chakraborty指出,数据保护法和人工智能之间存在多个摩擦点。例如,“目的限制”、“数据最小化”等核心原则以及“数据主体权利”等重要权利与AI系统的运作方式常常存在冲突。
Chakraborty还提到,满足数据主体的删除请求而不影响模型的功能是一项极其复杂的任务。
此外,AI中的分层数据管理使得确定个人数据是如何处理的变得困难。一旦训练完成,AI模型可以自主生成新内容,这使得很难建立与训练数据的关系。
周五发布的《DPDP草案》要求数据托管方对部署的“算法软件”进行尽职调查。这是AI治理的重要一步,因为到目前为止,电子和信息技术部仅向中介和平台发出建议,要求他们测试模型和算法以确保不会出现歧视,并向用户提供测试模型输出不可靠的信息,并禁止用户违反IT法使用这些模型。
律所Ajay Sahni & Associates 的合伙人Ankit Sahni指出,印度的方法更广泛且定义不明确。其开放性引发了关于实施清晰度的问题。什么是足够的“尽职调查”,以及对AI系统的审查程度仍未定义,这可能导致操作上的模糊性。
2024年8月颁布的欧盟AI法案要求AI公司根据风险程度将模型分为“不可接受”、“高风险”、“有限风险”和“低风险”,迫使像OpenAI、Meta、Anthropic和阿里巴巴这样的公司在该地区发布新的模型。
例如,LatticeFlow开发的一款新的“LLM检查器”显示,OpenAI的GPT-3.5 Turbo模型在防止歧视性输出方面的得分为0.46;阿里巴巴的Qwen1.5 72B聊天模型得分更低,为0.37;Meta的Llama 2 13B聊天模型在网络安全威胁“提示劫持”方面的得分也很差。
A.MMLEGALS 的创始人兼管理合伙人Anandaday Misshra指出,在这些不同的监管环境中,谷歌、Meta和OpenAI等主要AI公司面临着合规与创新之间的平衡问题。
Misshra还补充说,《DPDP草案》尽管具有灵活性,但仍需要增强的数据管理实践。
然而,必须指出的是,《DPDP规则》与欧盟AI法案的目的存在区别。《DPDP规则》仅限于确保重要数据托管方的数据主体(如访问个人信息、更正和删除的权利)不受风险的影响;而欧盟AI法案则要求对AI模型的风险进行全面评估,包括其对公众基本权利、健康和安全的影响。
总结:本文讨论了新数据规则下算法软件尽职调查义务的影响。尽管印度的新规定比欧盟的要求宽松,但遵守这一规定仍然是一项挑战。文章还提到了数据保护法与人工智能之间的摩擦点,并对比了印度与欧盟在处理这些问题时的不同方法。
