تنظر هيئة الخصوصية في الاتحاد الأوروبي في بعض الأسئلة الصعبة المتعلقة بقانونية GenAI

نشر المجلس الأوروبي لحماية البيانات (EDPB) رأيًا يوم الأربعاء يستكشف كيف يمكن لمطوري الذكاء الاصطناعي استخدام البيانات الشخصية لتطوير ونشر نماذج الذكاء الاصطناعي، مثل نماذج اللغات الكبيرة (LLMs)، دون الوقوع في مخالفة قوانين الخصوصية الخاصة بالكتلة. ويلعب مجلس الإدارة دورًا توجيهيًا رئيسيًا في تطبيق هذه القوانين، حيث يصدر إرشادات تدعم التنفيذ التنظيمي، لذا فإن آرائه مهمة.

المجالات التي يغطيها رأي EDPB ما إذا كان من الممكن اعتبار نماذج الذكاء الاصطناعي مجهولة المصدر (مما يعني أن قوانين الخصوصية لن تنطبق)؛ ما إذا كان من الممكن استخدام الأساس القانوني “للمصالح المشروعة”. لمعالجة البيانات الشخصية بشكل قانوني لتطوير ونشر نماذج الذكاء الاصطناعي (مما يعني أنه لن تكون هناك حاجة للحصول على موافقة الأفراد)؛ و ما إذا كان من الممكن نشر نماذج الذكاء الاصطناعي التي تم تطويرها باستخدام بيانات تمت معالجتها بشكل غير قانوني بشكل قانوني.

وتظل مسألة الأساس القانوني المناسب لنماذج الذكاء الاصطناعي لضمان امتثالها للائحة العامة لحماية البيانات (GDPR)، بشكل خاص، مسألة ساخنة ومفتوحة. لقد رأينا بالفعل ChatGPT من OpenAI يدخل في مشكلة هنا. وقد يؤدي الفشل في الالتزام بقواعد الخصوصية إلى فرض عقوبات تصل إلى 4% من إجمالي المبيعات السنوية العالمية و/أو أوامر تغيير طريقة عمل أدوات الذكاء الاصطناعي.

منذ ما يقرب من عام، أصدرت هيئة حماية البيانات الإيطالية نتيجة أولية مفادها أن برنامج الدردشة الآلي الخاص بـ OpenAI ينتهك اللائحة العامة لحماية البيانات. منذ ذلك الحين، تم تقديم شكاوى أخرى ضد التكنولوجيا، بما في ذلك في بولندا والنمسا، واستهدفت جوانب مثل أساسها القانوني لمعالجة بيانات الأشخاص، والميل إلى اختلاق المعلومات وعدم القدرة على تصحيح التصريحات الخاطئة عن الأفراد.

يحتوي القانون العام لحماية البيانات (GDPR) على القواعد الخاصة بكيفية معالجة البيانات الشخصية بشكل قانوني ومجموعة من حقوق الوصول إلى البيانات للأفراد – بما في ذلك القدرة على طلب نسخة من البيانات المحفوظة عنهم؛ حذف البيانات المتعلقة بهم؛ وتصحيح المعلومات الخاطئة عنهم. لكن بالنسبة للخلط بين روبوتات الدردشة التي تعمل بالذكاء الاصطناعي (أو “الهلوسة”، كما تضعها الصناعة في إطارها)، فإن هذه ليست أسئلة تافهة.

ولكن في حين أن أدوات الذكاء الاصطناعي التوليدية واجهت بسرعة العديد من الشكاوى المتعلقة بالقانون العام لحماية البيانات، إلا أن التنفيذ كان أقل بكثير حتى الآن. من الواضح أن سلطات حماية البيانات في الاتحاد الأوروبي تتصارع مع كيفية تطبيق قواعد حماية البيانات الراسخة على التكنولوجيا التي تتطلب الكثير من البيانات للتدريب. يهدف رأي EDPB إلى مساعدة هيئات الرقابة في اتخاذ قراراتها.

ردًا على ذلك، اقترحت لجنة حماية البيانات الأيرلندية (DPC)، وهي الجهة التنظيمية التي حرضت على طلب آراء مجلس الإدارة بشأن المجالات التي يتناولها الرأي – والهيئة الرقابية التي من المقرر أن تقود مراقبة القانون العام لحماية البيانات (GDPR) على OpenAI بعد التحول القانوني في أواخر العام الماضي – إن رأي EDPB سوف “يتيح التنظيم الاستباقي والفعال والمتسق” لنماذج الذكاء الاصطناعي في جميع أنحاء المنطقة.

وأضاف المفوض ديل سندرلاند: “سيدعم أيضًا مشاركة DPC مع الشركات التي تعمل على تطوير نماذج جديدة للذكاء الاصطناعي قبل إطلاقها في سوق الاتحاد الأوروبي، بالإضافة إلى التعامل مع العديد من الشكاوى المتعلقة بالذكاء الاصطناعي التي تم تقديمها إلى DPC”.

بالإضافة إلى تقديم إرشادات للمنظمين حول كيفية التعامل مع الذكاء الاصطناعي التوليدي، يقدم الرأي بعض التوجيه للمطورين حول كيفية تعامل منظمي الخصوصية مع القضايا الجوهرية مثل الشرعية. لكن الرسالة الرئيسية التي ينبغي عليهم استخلاصها هي أنه لن يكون هناك حل واحد يناسب الجميع لعدم اليقين القانوني الذي يواجهونه.

عدم الكشف عن هويته النموذجية

على سبيل المثال، فيما يتعلق بمسألة إخفاء هوية النموذج – والذي يعرفه مجلس الإدارة على أنه يعني نموذج الذكاء الاصطناعي الذي “من غير المرجح جدًا” أن “يحدد بشكل مباشر أو غير مباشر الأفراد الذين تم استخدام بياناتهم لإنشاء النموذج” ومن غير المرجح أن يسمح للمستخدمين استخراج مثل هذه البيانات من النموذج من خلال الاستعلامات السريعة – ويشدد الرأي على أنه يجب تقييم ذلك “على أساس كل حالة على حدة”.

توفر الوثيقة أيضًا ما يطلق عليه مجلس الإدارة “قائمة غير توجيهية وغير شاملة” من الأساليب التي يمكن من خلالها لمطوري النماذج إثبات عدم الكشف عن هويتهم، مثل اختيار المصدر لبيانات التدريب التي تحتوي على خطوات لتجنب أو الحد من جمع البيانات الشخصية (بما في ذلك عن طريق باستثناء المصادر “غير المناسبة”)؛ خطوات تقليل البيانات وتصفيتها أثناء مرحلة إعداد البيانات قبل التدريب؛ اتخاذ “خيارات منهجية” قوية “قد تقلل أو تقضي بشكل كبير” على مخاطر تحديد الهوية، مثل اختيار “طرق التنظيم” التي تهدف إلى تحسين تعميم النموذج والحد من التجاوز، وتطبيق تقنيات الحفاظ على الخصوصية مثل الخصوصية التفاضلية؛ بالإضافة إلى أي إجراءات تمت إضافتها إلى النموذج والتي يمكن أن تقلل من مخاطر حصول المستخدم على البيانات الشخصية من بيانات التدريب عبر الاستعلامات.

يشير هذا إلى أن مجموعة كاملة من خيارات التصميم والتطوير التي يتخذها مطورو الذكاء الاصطناعي يمكن أن تؤثر على التقييمات التنظيمية لمدى تطبيق اللائحة العامة لحماية البيانات على هذا النموذج المعين. فقط البيانات المجهولة حقا، حيث لا يوجد خطر إعادة تحديد الهوية، تقع خارج نطاق اللائحة – ولكن في سياق نماذج الذكاء الاصطناعي، يتم وضع المعيار في مخاطر تحديد الأفراد أو بياناتهم على أنها “غير محتملة للغاية”.

قبل رأي EDPB، كان هناك بعض الجدل بين سلطات حماية البيانات حول إخفاء هوية نموذج الذكاء الاصطناعي – بما في ذلك نماذج الاقتراحات التي لا يمكن أن تكون في حد ذاتها بيانات شخصية – ولكن مجلس الإدارة واضح في أن إخفاء هوية نموذج الذكاء الاصطناعي هو أمر ضروري. لا معين. من الضروري إجراء تقييمات لكل حالة على حدة.

المصلحة المشروعة

ينظر الرأي أيضًا في ما إذا كان من الممكن استخدام الأساس القانوني للمصلحة المشروعة لتطوير الذكاء الاصطناعي ونشره. وهذا أمر مهم لأنه لا يوجد سوى عدد قليل من الأسس القانونية المتاحة في اللائحة العامة لحماية البيانات، ومعظمها غير مناسب للذكاء الاصطناعي – كما اكتشفت OpenAI بالفعل من خلال تطبيق DPA الإيطالي.

من المرجح أن تكون المصلحة المشروعة هي الأساس الذي يختاره مطورو الذكاء الاصطناعي لبناء النماذج، لأنها لا تتطلب الحصول على موافقة من كل فرد تتم معالجة بياناته لبناء التكنولوجيا. (وبالنظر إلى كميات البيانات المستخدمة لتدريب حاملي شهادة الماجستير في القانون، فمن الواضح أن الأساس القانوني القائم على الموافقة لن يكون جذابًا تجاريًا أو قابلاً للتطوير.)

مرة أخرى، يرى مجلس الإدارة أنه سيتعين على سلطات حماية البيانات إجراء تقييمات لتحديد ما إذا كانت المصلحة المشروعة أساسًا قانونيًا مناسبًا لمعالجة البيانات الشخصية لتطوير نماذج الذكاء الاصطناعي ونشرها – في إشارة إلى الاختبار القياسي المكون من ثلاث خطوات والذي يتطلب من هيئات المراقبة النظر في غرض المعالجة وضرورتها (أي أنها قانونية ومحددة؛ وهل كانت هناك أي طرق بديلة أقل تدخلاً لتحقيق النتيجة المقصودة) وإجراء اختبار موازنة للنظر في تأثير المعالجة على الحقوق الفردية.

يترك رأي EDPB الباب مفتوحًا أمام إمكانية استيفاء نماذج الذكاء الاصطناعي لجميع معايير الاعتماد على الأساس القانوني للمصلحة المشروعة، مما يشير على سبيل المثال إلى أن تطوير نموذج الذكاء الاصطناعي لتشغيل خدمة وكيل المحادثة لمساعدة المستخدمين، أو إن نشر نظام محسّن للكشف عن التهديدات في نظام المعلومات من شأنه أن يفي بالاختبار الأول (الغرض القانوني).

لتقييم الاختبار الثاني (الضرورة)، يجب أن تنظر التقييمات في ما إذا كانت المعالجة تحقق بالفعل الغرض القانوني وما إذا كانت هناك طريقة أقل تدخلاً لتحقيق الهدف – مع إيلاء اهتمام خاص لما إذا كانت كمية البيانات الشخصية التي تمت معالجتها متناسبة مع الكمية المطلوبة. الهدف، مع مراعاة مبدأ تقليل البيانات الخاص باللائحة العامة لحماية البيانات.

أما الاختبار الثالث (موازنة الحقوق الفردية) فيجب أن “يأخذ في الاعتبار الظروف الخاصة بكل حالة”، حسب الرأي. ويلزم إيلاء اهتمام خاص لأية مخاطر على الحقوق الأساسية للأفراد التي قد تنشأ أثناء التطوير والنشر.

يتطلب جزء من اختبار التوازن أيضًا من الجهات التنظيمية أن تأخذ في الاعتبار “التوقعات المعقولة” لأصحاب البيانات – بمعنى ما إذا كان الأفراد الذين تمت معالجة بياناتهم من أجل الذكاء الاصطناعي يتوقعون أن يتم استخدام معلوماتهم بهذه الطريقة. تشمل الاعتبارات ذات الصلة هنا ما إذا كانت البيانات متاحة للجمهور، ومصدر البيانات وسياق جمعها، وأي علاقة بين الفرد والمعالج، والاستخدامات الإضافية المحتملة للنموذج.

في الحالات التي يفشل فيها اختبار الموازنة، حيث تفوق مصلحة الأفراد مصلحة المعالجين، يقول مجلس الإدارة إنه يمكن النظر في تدابير التخفيف للحد من تأثير المعالجة على الأفراد – والتي يجب أن تكون مصممة وفقًا “لظروف القضية” و” خصائص نموذج الذكاء الاصطناعي”، مثل الاستخدام المقصود.

تتضمن أمثلة تدابير التخفيف التي يستشهد بها الرأي التدابير الفنية (مثل تلك المذكورة أعلاه في القسم الخاص بنموذج عدم الكشف عن هويته)؛ تدابير إخفاء الهوية (مثل عمليات التحقق التي من شأنها أن تمنع أي مجموعة من البيانات الشخصية بناءً على المعرفات الفردية)؛ إجراء لإخفاء البيانات الشخصية أو استبدالها ببيانات شخصية مزيفة في مجموعة التدريب؛ التدابير التي تهدف إلى تمكين الأفراد من ممارسة حقوقهم (مثل إلغاء الاشتراك)؛ وتدابير الشفافية.

يناقش الرأي أيضًا تدابير التخفيف من المخاطر المرتبطة بتجريد الويب، والتي يقول مجلس الإدارة إنها تثير “مخاطر محددة”.

النماذج المدربة بشكل غير قانوني

ويتناول هذا الرأي أيضًا القضية الشائكة المتعلقة بكيفية تعامل المنظمين مع نماذج الذكاء الاصطناعي التي تم تدريبها على البيانات التي لم تتم معالجتها بشكل قانوني، كما يتطلب القانون العام لحماية البيانات.

مرة أخرى، يوصي مجلس الإدارة بأن يأخذ المنظمون في الاعتبار “ظروف كل حالة على حدة” – وبالتالي فإن الإجابة على كيفية استجابة هيئات مراقبة الخصوصية في الاتحاد الأوروبي لمطوري الذكاء الاصطناعي الذين يندرجون ضمن هذه الفئة التي تنتهك القانون هي … الأمر يعتمد.

ومع ذلك، يبدو أن الرأي يقدم نوعًا من شرط الخروج لنماذج الذكاء الاصطناعي التي ربما تكون مبنية على أسس (قانونية) هشة، على سبيل المثال لأنهم قاموا باستخلاص البيانات من أي مكان يمكنهم الحصول عليها دون النظر في أي عواقب، إذا أخذوا خطوات للتأكد من إخفاء هوية أي بيانات شخصية قبل دخول النموذج إلى مرحلة النشر.

في مثل هذه الحالات – طالما أن المطور يمكنه إثبات أن التشغيل اللاحق للنموذج لا يستلزم معالجة البيانات الشخصية – يقول مجلس الإدارة إن اللائحة العامة لحماية البيانات لن تنطبق، ويكتب: “وبالتالي، لا ينبغي أن تؤثر عدم قانونية المعالجة الأولية على التشغيل اللاحق للنموذج.”

عند مناقشة أهمية هذا العنصر من الرأي، حذر لوكاس أولينيك، المستشار المستقل والتابع لمعهد KCL للذكاء الاصطناعي – الذي لا تزال شكواه المتعلقة باللوائح العامة لحماية البيانات ضد ChatGPT قيد النظر من قبل هيئة حماية البيانات البولندية منذ أكثر من عام – من أنه “يجب الحرص على عدم السماح بمخططات إساءة الاستخدام المنهجية”.

وقال لـ TechCrunch: “هذا انحراف محتمل مثير للاهتمام عن تفسير قوانين حماية البيانات حتى الآن”. “من خلال التركيز فقط على الحالة النهائية (إخفاء الهوية)، قد يضفي EDPB، عن غير قصد أو من المحتمل، الشرعية على استخراج بيانات الويب دون أسس قانونية مناسبة. ومن المحتمل أن يقوض هذا المبدأ الأساسي للائحة العامة لحماية البيانات وهو أنه يجب معالجة البيانات الشخصية بشكل قانوني في كل مرحلة، بدءًا من التجميع وحتى التخلص منها.

وردًا على سؤال حول التأثير الذي يراه رأي EDPB ككل على شكواه ضد ChatGPT، أضاف أوليجنيك: “الرأي لا يقيد أيدي DPAs الوطنية. ومع ذلك فأنا متأكد من أن PUODO [Poland’s DPA] “سوف تأخذها في الاعتبار في قرارها”، على الرغم من أنه أكد أيضًا أن قضيته ضد برنامج الدردشة الآلي التابع لشركة OpenAI “تتجاوز التدريب، وتتضمن المساءلة والخصوصية حسب التصميم”.

مرتبط

الوسوم

تنظر هيئة الخصوصية في الاتحاد الأوروبي في بعض الأسئلة الصعبة المتعلقة بقانونية GenAI

عدم الكشف عن هويته النموذجية

المصلحة المشروعة

النماذج المدربة بشكل غير قانوني

معجب بهذه:

مرتبط

اترك تعليقاً إلغاء الرد

يقوم Spotify بتغيير واجهة برمجة تطبيقات وضع المطور ليتطلب حسابات متميزة، ويحد من المستخدمين التجريبيين

شرطة الأمم المتحدة “لا غنى عنها” في تنفيذ ولايات حفظ السلام

رائدة أعمال مغربية تبرز دور المرأة العربية عبر “العمل والمثابرة”

كيف وصلت شركة Ethos المدعومة من شركة سيكويا إلى السوق العامة بينما فشل المنافسون في الوصول إليها

أهل غزة يحصلون على “خدمات صحية لا بديل لها” في عيادات الأونروا رغم النقص والتحديات

فبراير 2026
س	د	ن	ث	أرب	خ	ج
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28

عدم الكشف عن هويته النموذجية

المصلحة المشروعة

النماذج المدربة بشكل غير قانوني

شارك هذا الموضوع:

معجب بهذه:

مرتبط

مقالات ذات صلة

اترك تعليقاً إلغاء الرد