Garante per la protezione dei dati personali (Garante) của Ý là cơ quan bảo vệ dữ liệu quy định AI tích cực nhất của EU. Vào tháng 3 năm 2023, Garante trở thành cơ quan bảo vệ dữ liệu đầu tiên trên toàn cầu tạm thời cấm ChatGPT khỏi Ý - buộc OpenAI phải thực hiện các biện pháp xác minh tuổi rõ ràng và minh bạch trước khi dịch vụ được khôi phục. Vào tháng 12 năm 2024, Garante phạt OpenAI €15 triệu vì xử lý dữ liệu người dùng Ý không hợp pháp.
Đối với các tổ chức sử dụng các công cụ AI ở Ý - hoặc triển khai các hệ thống AI có thể xử lý dữ liệu cá nhân Ý - mô hình thực thi của Garante đặt ra những kỳ vọng kỹ thuật đòi hỏi cao nhất trong EU.
Trường hợp OpenAI/ChatGPT: Garante Tìm thấy Gì
Phạt €15 triệu của Garante đối với OpenAI vào tháng 12 năm 2024 dựa trên nhiều vi phạm:
Thất bại xác minh tuổi: ChatGPT có thể truy cập được cho trẻ em Ý mà không có xác minh tuổi đầy đủ. Garante phát hiện rằng OpenAI không thực hiện các biện pháp hợp lý để ngăn chặn việc sử dụng dưới 13 tuổi.
Xử lý dữ liệu huấn luyện không hợp pháp: Garante phát hiện rằng việc sử dụng dữ liệu người dùng Ý của OpenAI để huấn luyện ChatGPT 3.5/4 thiếu cơ sở pháp lý thích hợp. Yêu cầu "quyền lợi hợp pháp" bị từ chối - Garante phát hiện rằng việc sử dụng dữ liệu cá nhân để huấn luyện các mô hình thương mại AI yêu cầu sự chấp thuận rõ ràng hoặc cơ sở pháp lý rõ ràng hơn những gì các nhà cung cấp LLM thường gọi.
Thiếu minh bạch: OpenAI không thông báo đầy đủ cho người dùng Ý cách dữ liệu của họ được sử dụng để huấn luyện, hoặc cung cấp các cơ chế từ chối rõ ràng.
Ý nghĩa Thực tế: Bất kỳ hệ thống AI nào xử lý dữ liệu cá nhân Ý - cho dù là huấn luyện, điều chỉnh tinh hoặc suy luận trên đầu vào của người dùng Ý - phải có cơ sở pháp lý GDPR được ghi lại theo các tiêu chuẩn của Garante vượt ra ngoài các yêu cầu "quyền lợi hợp pháp" đơn giản. Sự chấp thuận hoặc hiệu suất hợp đồng cụ thể thường được yêu cầu.
Mã Định danh Quốc gia Ý
Codice fiscale: Mã thuế 16 ký tự chữ và số của Ý - một trong những mã định danh quốc gia giàu thông tin nhất trong EU. Cấu trúc:
- Ký tự 1-3: Phụ âm từ họ (các quy tắc trích xuất cụ thể)
- Ký tự 4-6: Phụ âm và nguyên âm từ tên (các quy tắc trích xuất cụ thể)
- Ký tự 7-8: Hai chữ số cuối của năm sinh
- Ký tự 9: Chữ cái đại diện tháng sinh (A = Tháng một, B = Tháng hai, C = Tháng ba, D = Tháng tư, E = Tháng năm, H = Tháng sáu, L = Tháng bảy, M = Tháng tám, P = Tháng chín, R = Tháng mười, S = Tháng mười một, T = Tháng mười hai)
- Ký tự 10-11: Ngày sinh (nam: số ngày; nữ: ngày + 40)
- Ký tự 12-15: Mã Belfiore (4 ký tự) của thành phố hoặc quốc gia sinh thôn
- Ký tự 16: Ký tự kiểm tra (chữ cái, được tính toán bằng thuật toán cụ thể)
Codex fiscale mã hóa âm thanh họ ban đầu, âm thanh tên ban đầu, ngày sinh, giới tính (thông qua mã hóa ngày sinh) và vị trí sinh thôn. Nó có thể là mã định danh quốc gia được xác định rõ ràng nhất của EU theo nội dung thông tin.
Độ chính xác phát hiện: Các công cụ NLP chung phát hiện codice fiscale với độ chính xác chỉ 67% (phân tích kỹ thuật Garante 2024). Các lỗi: các công cụ khớp các mẫu chữ và số 16 ký tự mà không thực hiện thuật toán ký tự kiểm tra không thể phân biệt các codici fiscali hợp lệ khỏi các kết quả dương tính giả; các công cụ không thực hiện các quy tắc trích xuất họ/tên không thể xác thực các số hiện có.
Partita IVA: Số VAT kinh doanh 11 chữ số của Ý, với một chữ số kiểm tra được tính toán bằng thuật toán tổng trọng số modulo-10. Chữ số cuối cùng là ký tự kiểm tra. Partita IVA xuất hiện trong tất cả các tài liệu thương mại Ý - hóa đơn, hợp đồng và thư tín kinh doanh.
Tessera sanitaria: Thẻ sức khỏe Ý - kết hợp codice fiscale với dữ liệu bổ sung cụ thể cho sức khỏe. Định dạng bao gồm codice fiscale như một thành phần.
Yêu cầu Công cụ AI của Garante
Hướng dẫn của Garante về "các biện pháp kỹ thuật và tổ chức" cho các hệ thống AI xử lý dữ liệu cá nhân Ý:
Trước khi xử lý AI: PII phải được xác định và xóa hoặc giả danh trước khi đầu vào cho hệ thống AI. Bối cảnh Phần mở rộng Chrome/Tích hợp AI của Garante: bất kỳ công cụ AI nào nhận dữ liệu cá nhân Ý (tên, codici fiscali, dữ liệu sức khỏe) trong các lời nhắc phải loại bỏ các mã định danh đó trước khi truyền.
Để huấn luyện AI: Cơ sở pháp lý được ghi lại rõ ràng là bắt buộc. Sự chấp thuận là cơ sở được Garante ưa thích để huấn luyện trên nội dung do người dùng Ý tạo. "Quyền lợi hợp pháp" yêu cầu một bài kiểm tra cân bằng được ghi lại chứng minh rằng mục đích huấn luyện không ghi đè lên lợi ích bảo vệ dữ liệu của người dùng Ý.
Để xuất ra AI: Các hệ thống tạo ra các đầu ra về các cá nhân Ý phải thực hiện các biện pháp bảo vệ chống lại ảo giác của dữ liệu cá nhân (tạo ra thông tin sai được quy cho các cá nhân thực) - Garante đã gắn cờ đây là rủi ro cụ thể yêu cầu giảm thiểu kỹ thuật.
63% các doanh nghiệp Ý thiếu chính sách quản lý dữ liệu AI tuân thủ GDPR (Garante 2024). Đối với các tổ chức triển khai các công cụ AI ở Ý: codice fiscale và phát hiện partita IVA với xác thực ký tự kiểm tra đầy đủ, NER tiếng Ý (spaCy it_core_news) và cơ sở pháp lý GDPR được ghi lại cho bất kỳ huấn luyện AI nào trên dữ liệu cá nhân Ý là các yêu cầu cơ bản để tuân thủ Garante.
Nguồn: