Hồ Sơ Thực Thi AI Của Garante
Garante per la protezione dei dati personali (Garante) của Ý đã tự khẳng định là cơ quan quản lý AI tích cực nhất của EU thông qua một loạt các hành động thực thi mang tính bước ngoặt:
Tháng 3 năm 2023 — Cấm ChatGPT tạm thời: Garante đã ra lệnh cho OpenAI tạm dừng dịch vụ ChatGPT đối với người dùng Ý, nhận thấy rằng OpenAI không có căn cứ pháp lý đầy đủ để xử lý dữ liệu người dùng Ý và không có cơ chế xác minh tuổi. OpenAI đã triển khai các thay đổi được yêu cầu (xác minh tuổi, thông báo quyền riêng tư bằng tiếng Ý, cơ chế từ chối sử dụng dữ liệu trong huấn luyện) và dịch vụ được khôi phục vào tháng 4 năm 2023.
Tháng 12 năm 2024 — Phạt €15 triệu đối với OpenAI: Garante đã ban hành mức phạt chính thức €15 triệu đối với OpenAI vì đã xử lý trái phép dữ liệu cá nhân của người dùng Ý. Thông báo thực thi dẫn chứng: thiếu căn cứ pháp lý đầy đủ, thiếu minh bạch về cách dữ liệu người dùng được sử dụng trong huấn luyện, và không triển khai xác minh tuổi cho trẻ vị thành niên.
Các điều tra đang diễn ra (2024-2025): Garante đã khởi động các điều tra chính thức đối với nhiều nhà cung cấp AI hoạt động tại Ý, bao gồm Replika (AI đồng hành), Worldcoin (dữ liệu sinh trắc học), và một số startup AI tạo sinh.
Mô hình này xác lập Ý là vùng pháp lý rủi ro cao nhất của EU cho các triển khai công cụ AI mà không có các biện pháp tuân thủ được ghi lại.
Garante Yêu Cầu Gì Từ Người Dùng Công Cụ AI
Các hành động thực thi của Garante đã làm rõ những gì các tổ chức Ý phải làm khi sử dụng các công cụ AI xử lý dữ liệu cá nhân:
Tài liệu căn cứ pháp lý: Mọi công cụ AI xử lý dữ liệu cá nhân của người dùng Ý đều yêu cầu căn cứ pháp lý được ghi lại theo Điều 6 GDPR. Garante đã tỏ ra nghi ngờ về các yêu cầu "lợi ích hợp pháp" đối với việc sử dụng dữ liệu huấn luyện AI — sự đồng ý rõ ràng hoặc sự cần thiết hợp đồng là các căn cứ ưa thích.
Thỏa thuận xử lý dữ liệu: Các tổ chức Ý sử dụng các công cụ AI bên thứ ba là bên xử lý dữ liệu phải có Thỏa Thuận Xử Lý Dữ Liệu tuân thủ GDPR. Garante đã xem xét cụ thể liệu các DPA của nhà cung cấp AI có đủ điều kiện bao gồm các hạn chế sử dụng dữ liệu hay không.
Kiểm soát dữ liệu đầu vào: Việc Garante tập trung thực thi vào "xử lý trái phép" dữ liệu người dùng Ý đã thúc đẩy yêu cầu rằng các tổ chức phải kiểm soát dữ liệu cá nhân nào đi vào hệ thống AI. Các kiểm soát kỹ thuật ngăn dữ liệu cá nhân của người dùng Ý đi vào hệ thống AI mà không có căn cứ pháp lý phù hợp đáp ứng mối quan tâm thực chất của Garante.
Xác minh tuổi cho hệ thống AI có quyền truy cập dành cho người tiêu dùng: Sau lệnh cấm ChatGPT, Garante yêu cầu các hệ thống AI có thể truy cập bởi người tiêu dùng Ý phải triển khai xác minh tuổi cho trẻ vị thành niên.
Tính minh bạch: Thông báo quyền riêng tư bằng tiếng Ý giải thích rõ ràng cách các hệ thống AI sử dụng dữ liệu cá nhân, bao gồm bất kỳ việc sử dụng nào cho mục đích huấn luyện.
Khoảng Cách 63% Trong Doanh Nghiệp Ý
Một cuộc khảo sát năm 2024 của Garante cho thấy 63% các công ty Ý sử dụng công cụ AI thiếu chính sách sử dụng AI tuân thủ GDPR. Khoảng cách này tạo ra rủi ro thực thi đáng kể khi Garante mở rộng chương trình thực thi AI của mình.
Số lượng đăng ký DPO tại Ý tăng 340% sau lệnh cấm ChatGPT — một sự tăng vọt do các tổ chức nhận ra rằng triển khai AI mà không có sự tham gia của DPO đang tạo ra rủi ro pháp lý đáng kể. Tuy nhiên, có DPO là chưa đủ nếu không có các kiểm soát kỹ thuật thực thi chính sách của DPO.
Khoảng cách chính sách-DPO-không-có-kiểm-soát-kỹ-thuật chính xác là điều mà thực thi của Garante nhắm vào: các tổ chức có chính sách AI bằng văn bản nhưng dựa vào nhân viên tự kiểm soát tuân thủ, thay vì triển khai các biện pháp kỹ thuật làm cho chính sách có thể thực thi được.
Triển Khai Kỹ Thuật Để Tuân Thủ Garante
Đối với các tổ chức Ý hoặc các tổ chức có người dùng Ý, ngăn xếp kỹ thuật tuân thủ Garante cho việc sử dụng AI bao gồm:
Lọc PII trước khi gửi cho AI: Tích hợp Chrome Extension hoặc MCP Server tạo ra một lớp kỹ thuật chặn việc gửi prompt AI và loại bỏ dữ liệu cá nhân Ý trước khi đến được mô hình AI. Điều này đáp ứng mối quan tâm cốt lõi của Garante về "xử lý trái phép dữ liệu người dùng Ý" — nếu PII của người Ý được loại bỏ trước khi gửi, dữ liệu cá nhân Ý sẽ không đến được hệ thống AI.
Các loại thực thể đặc thù của Ý: Phát hiện PII của Ý phải bao gồm:
- Codice fiscale (mã số thuế Ý — 16 ký tự chữ và số định danh quốc gia)
- Partita IVA (số VAT Ý — 11 chữ số định danh doanh nghiệp)
- Carta d'identità (thẻ căn cước quốc gia Ý)
- Tessera sanitaria (thẻ y tế Ý, bao gồm codice fiscale)
- Định dạng IBAN của Ý
Các công cụ PII tiêu chuẩn không có các loại thực thể của Ý sẽ bỏ sót codice fiscale — định danh quốc gia Ý chính — và các định danh đặc thù theo thẩm quyền khác.
Dấu vết kiểm toán để chứng minh với cơ quan quản lý: Các yêu cầu kiểm tra của Garante thường đòi hỏi chứng minh rằng việc sử dụng AI đã đi kèm với các kiểm soát kỹ thuật phù hợp. Một dấu vết kiểm toán tập trung cho thấy việc lọc PII trước khi gửi đã được áp dụng cho dữ liệu người dùng Ý cung cấp bằng chứng cho cuộc trình bày này.
Tài liệu DPA: Đối với các công cụ AI được sử dụng là bên xử lý dữ liệu: tài liệu xem xét DPA đầy đủ cho mỗi nhà cung cấp AI, bao gồm đánh giá các điều khoản sử dụng dữ liệu huấn luyện.
Các Lĩnh Vực Tập Trung Thực Thi Đặc Thù Theo Ngành Của Garante
Chương trình thực thi của Garante có các trọng tâm ngành cụ thể:
Chăm sóc sức khỏe: Garante coi dữ liệu y tế của Ý là rủi ro cao theo Điều 9 GDPR. Bất kỳ công cụ AI nào xử lý dữ liệu bệnh nhân Ý đều yêu cầu căn cứ pháp lý rõ ràng, DPA, và các biện pháp kỹ thuật nâng cao. Garante đã đặc biệt gắn cờ các công cụ AI chẩn đoán và AI lập tài liệu lâm sàng là yêu cầu DPIA.
Dịch vụ tài chính: Lập hồ sơ người tiêu dùng sử dụng AI đã nhận được sự giám sát của Garante. Các ngân hàng và tổ chức tài chính Ý sử dụng AI cho quyết định tín dụng hoặc cá nhân hóa tiếp thị phải tiến hành DPIA và triển khai các kiểm soát giải thích được.
Nhân sự và việc làm: Các công cụ AI để tuyển dụng, đánh giá hiệu suất và giám sát nhân viên yêu cầu DPIA theo luật Ý và hướng dẫn của Garante về giám sát nhân viên (Provvedimento 2023).
Giáo dục: Các công cụ AI trong môi trường giáo dục Ý có các yêu cầu bổ sung theo hướng dẫn của Garante về bảo vệ dữ liệu học sinh (2024).
Đối với các tổ chức trong những ngành này, tuân thủ Garante cho các triển khai AI đòi hỏi tài liệu đặc thù theo ngành vượt ra ngoài các yêu cầu chung.
Nguồn tham khảo: