Garante Ítalía: GDPR og tæknilegt PII-samræmi
Uppfært fyrir 2026
Virkasti persónuverndareftirlitaðili Ítalíu
Garante per la protezione dei dati personali er gagnastofnun Ítalíu. Hún er virkasti gervigreindaeftirlitaðili ESB.
Tvær aðgerðir skilgreina nálgun hennar. Í mars 2023 sagði Garante OpenAI að stöðva ChatGPT fyrir notendur í Ítalíu. Hún fann enga gilda lagalega heimild fyrir gagnanotkunina. Hún fann heldur engar aldurskröfur fyrir unglinga. OpenAI bætti við aldurstáknum, þjálfunarlögunarmöguleika og persónuverndartilkynningu á ítölsku. Þjónusta kom aftur í apríl 2023.
Í desember 2024 sektaði stofnunin OpenAI um 15 milljóna evra. Þrjú atriði ollu sektinni: engin gild lagaleg heimild, engin skýr tilkynning um þjálfunarnotkun og engar aldurskröfur fyrir unglinga.
Hvert gervigreindaverkfæri sem meðhöndlar persónugögn frá notendum í Ítalíu verður að uppfylla sömu staðla.
Hvað fórst úrskeiðis í OpenAI-málinu
Sektin upp á 15 milljóna evra nefndi sértækt bil. Hvert bil varpar á vantar tæknilegar stýringar.
Lagaleg heimild þjálfunargagna: Garante hafnaði "lögmætum hagsmunum" sem grundvelli þjálfunar á notendagögnum. Þjálfun gervigreindar á persónugögnum þarf skýrt samþykki eða samningsgrundvöll. Krafa um "lögmætar hagsmunir" ein og sér stenst ekki.
Gagnsæi: Notendur voru ekki upplýstir um hvernig gögn þeirra voru notuð til þjálfunar. Þeir höfðu enga skýra útgöngu.
Aldursstaðfesting: Unglingar gátu fengið aðgang að ChatGPT án aldurstakmarks. Garante lítur á þetta sem harða reglu fyrir neytendagervigreindaverkfæri.
Lykilþýðing: Hvert gervigreindakerfi sem tekur við notendainnsláttum í Ítalíu verður að hafa skjalfesta GDPR lagalega heimild. "Lögmætir hagsmunir" eru háhættu.
Ítölsk þjóðleg auðkenni
Ítalía hefur einstök auðkennissnið. Almenn verkfæri missa oft af þeim. Greiningarstaflinn þinn verður að ná yfir öll þrjú.
Codice Fiscale
Codice fiscale er 16 stafa þjóðleg auðkennisskrá. Hann kóðar hljóð eftirnafns, hljóð eiginnafns, fæðingardag, kyn og fæðingarstað. Síðasti stafurinn er eftirlitsstafur.
Tæknilegar greiningar Garante frá 2024 sýndu að almenn NLP-verkfæri grípa codice fiscale aðeins í 67% tilvika. Helsta bilunin: verkfæri passa 16 stafa mynstrið en sleppa eftirlitsstafar-rökfræðinni. Þau skapa síðan röngar jákvæðar. Verkfæri sem sleppa nafnkóðunarreglunum geta heldur ekki staðfest núverandi kóða.
Góð greining þarf þrjá hluti:
- Fullkomið eftirlitsstafarreikniritið
- Útdráttar reglur um bókstafi eftirnafns og eiginnafns
- Prófun á raunverulegum staðbundnum gögnum
Partita IVA
Partita IVA er 11 stafa VSK-númer fyrirtækis Ítalíu. Síðasta talan er eftirlitsstafur. Kemur fram á reikningum, samningum og viðskiptabréfum. Verkfærið verður að keyra eftirlitsstafar-reiknirit, ekki bara passa 11 stafa mynster.
Tessera Sanitaria
Heilsukortið (tessera sanitaria) geymir codice fiscale sem hluta af kóðanum. Heilsugögn eru sérflokka samkvæmt GDPR 9. grein. Þetta hækkar krafða verndarstigi.
Kröfur Garante um gervigreindaverkfæri
Leiðbeiningar Garante ná yfir þrjú svæði.
Fyrir gervigreindavinnslu: PII verður að finna og fjarlægja áður en gögn fara inn í gervigreindakerfi. Fyrir gervigreindaverkfæri notuð í Ítalíu - þ.m.t. vafraviðbætur og MCP-netþjóna - þýðir þetta að fjarlægja codici fiscali, partite IVA og heilsugögn úr fyrirspurnum áður en þær eru sendar. Sjá samræmisleiðbeininguna fyrir hvernig á að skrá þetta skref.
Fyrir þjálfun gervigreindar: Skýr lagaleg heimild er nauðsynleg. Samþykki er uppáhalds grundvöllur Garante fyrir þjálfun á notendaefni. "Lögmætir hagsmunir" krefst skriflegs jafnaðarprófs. Prófið verður að sýna að þjálfunarmarkmið fara ekki yfir gagnalegar notendahlutir.
Fyrir úttak gervigreindar: Kerfi sem skrifa efni um raunveruleg mannfólk verða að takast á við áhættu á fölskum fullyrðingum. Garante hefur nefnt falsaðar persónuupplýsingar sem sérstaka áhættu sem þarfnast tæknilegrar lausnar.
63% fyrirtækjabilið
Könnun Garante 2024 fann að 63% ítalskra fyrirtækja hafa engar GDPR-samræmdar gervigreindarstefnur. Stofnunin hefur gert þetta bil að virkum endurskoðunarfókus.
Stefna án tæknilegra stýringa er erfið að verja. Garante beinir sér að fyrirtækjum sem treysta á starfsmenn til að gæta eigin gagnanotkunar. Öryggisyfirlit sýnir hvernig sjálfvirkar stýringar styðja við skriflegar stefnur.
Fjórar stýringar fyrir samræmi við Garante
1. PII-síun fyrir innsendingu
Strip codice fiscale, partita IVA og tessera sanitaria gögn áður en innslátur nær gervigreindarlíkani. Þetta er kjarnatæknileg lagfæringin sem rökfræði málsins hjá Garante krefst.
2. Ítölsk-málsleg NER
Notaðu nafneinindarlíkan þjálfað á ítölskum texta. Til dæmis spaCy it_core_news. Almenn enska líkön missa af ítölskum nafnamynstrum. Sjá fjöltyngdar PII-greiningarleiðbeiningar fyrir val á líkönum.
3. Skráning lagalegrar heimildar
Fyrir hvert gervigreindaverkfæri í notkun: skrifaðu niður lagalega heimildsgrunn. Ef þjálfun er fólgin, bættu við jafnaðarprófinu. Geymdu þetta þar sem endurskoðendur geta fundið það fljótt.
4. Endurskoðunarslóð
Skráðu að síun hafi farið fram, hvaða einindagerðir fundust og hvað var fjarlægt. Þetta gefur eftirlitsmönnum þörf sönnunargögn án langrar handvirkrar endurskoðunar.