anonym.legal
返回博客GDPR 与合规

Garante意大利:禁止ChatGPT的DPA——意大利AI和PII合规

意大利Garante曾经禁止ChatGPT,现在对AI工具处理个人数据非常谨慎。以下是意大利独特的合规挑战。

April 21, 20267 分钟阅读
Garante ItalyItalian GDPRChatGPT banAI compliance ItalyOpenAI fine

为什么意大利Garante对AI特别严厉

Garante(意大利数据保护当局)曾在2023年禁止ChatGPT,理由是缺乏"法律依据"和不充分的PII保护。该禁令后来被解除,但Garante的立场仍然很清楚:

AI处理个人数据时,法律依据和PII保护都是义务,不是可选的。

Garante与其他DPA的区别

BfDI(德国): "显示您的技术控制和验证。" CNIL(法国): "证明您的法律依据和最小化。" ICO(英国): "显示您的DPIA和风险缓解。" Garante(意大利): "为什么您需要使用AI来处理PII?有替代方案吗?"

Garante的方法是最保守的。该机构对AI工具本身非常怀疑。

Garante的AI和PII立场

基本规则:在处理PII时,首选非AI处理。

Garante说,如果您可以通过人工处理或非AI自动化完成任务,这是优选的。AI应该是最后的手段,仅在有强有力的合法理由时。

这与其他DPA的"AI是可以的,只要您有适当的保护"的立场不同。

与ChatGPT相关的Garante特定问题

问题1:法律依据

Garante问组织:"您将客户的名称和电子邮件地址发送给ChatGPT的法律依据是什么?"

许多组织的答案是"优化客户服务"或"改进AI响应"。Garante说这不够。

法律依据必须是:

  • 同意: 用户明确同意他们的数据被发送给ChatGPT
  • 合约: 将数据发送给AI是交付合约所必需的
  • 法律义务: 法律要求使用AI(罕见)
  • 重要利益: 保护生命或安全(不适用于大多数商业用途)

"改进客户服务"不是这四个之一。Garante会拒绝它。

问题2:对OpenAI数据政策的怀疑

Garante对OpenAI的数据使用政策非常怀疑。该机构问:

  • OpenAI用您的数据训练他们的模型吗?OpenAI说"不是的,不是在付费API上",但Garante不相信。
  • 您如何验证您的数据没有被用于培训?
  • OpenAI与第三方共享您的数据吗?
  • OpenAI在美国处理数据。SCHREMS II合规性如何(美国监视法)?

问题3:假名化不够

Garante对组织说"我们匿名化数据然后发送给AI"是怀疑的。

Garante的问题:"如何匿名化地发送客户交互给ChatGPT,但仍然获得有意义的回复?如果您移除所有标识符,ChatGPT如何知道提供个性化的回复?"

事实上,许多组织发送的"假名化"数据仍然是可识别的。Garante识别这个。

Garante审计:常见的失败

失败1:没有法律依据的AI处理

组织说:"我们使用AI来改进我们的产品。"Garante说:"什么是法律依据?"组织不能回答。

修复:获取明确的同意,或展示AI是合约交付所必需的。

失败2:缺乏与OpenAI或其他AI供应商的数据处理协议

许多组织没有与OpenAI的数据处理协议(DPA)。他们只是使用API。

Garante说:这是不足的。如果您向OpenAI发送PII,您需要一份DPA。OpenAI的标准条款是否足够?Garante怀疑。

修复:获取与AI供应商的DPA,或停止发送PII。

失败3:不匿名化或假名化仍然是PII

组织说:"我们假名化了数据。"Garante说:"它是真的匿名的吗?"许多组织无法证明。

修复:或真正匿名化(不可逆),或承认这是假名化和受保护的PII。

失败4:跨大西洋转移而无需SCHREMS II缓解

许多组织将数据发送给美国的AI工具(ChatGPT、Gemini),但没有评估美国监视法律(FISA 702)对GDPR合规性的影响。

Garante说:这是SCHREMS II问题。如果您将欧盟PII转移到美国,您需要补充措施来应对美国政府访问的风险。

修复:进行SCHREMS II评估,或使用欧盟基地的AI工具。

Garante要求的具体缓解措施

缓解1:同意管理

对于AI处理,获取明确的、可撤回的同意:

  • 告诉用户:"您的数据将被发送给ChatGPT用于X目的"
  • 不要把同意埋在服务条款中
  • 让用户轻松选择退出

缓解2:数据处理协议

与AI供应商签署DPA,包括:

  • 数据不用于AI模型培训
  • 数据不与其他客户混合
  • 数据符合GDPR要求
  • 数据在X天后删除
  • 您有审计和删除数据的权利

缓解3:假名化或加密

在发送给AI之前删除直接标识符(名称、电子邮件)。

Garante说:"如果您可以假名化,这比发送完整PII更好。"但认识到假名化可能降低AI有用性。

缓解4:国际转移评估

进行SCHREMS II评估:

  • AI供应商的总部在哪里?
  • 他们在哪里处理数据?
  • 该国的监视法律是什么?
  • 补充措施是否足以应对该风险?

Garante对特定AI工具的立场

ChatGPT

Garante对ChatGPT特别谨慎。该机构曾禁止它(现在解除),但仍然要求:

  • 明确的法律依据(同意或合约)
  • DPA,说明数据不用于培训
  • SCHREMS II评估(由于OpenAI在美国)
  • 定期审计

Google Gemini / Microsoft Copilot

Garante对这些工具的要求相同——法律依据、DPA、SCHREMS II评估。

开源模型(Llama、Mistral等)

Garante对本地部署的开源模型更有利。如果您运行您自己的AI模型在您的服务器上,您避免了国际转移问题。

Garante的立场:"本地AI处理(在您自己的基础设施上)优于云AI工具。"

Garante特定的PII类型和要求

Garante特别关注以下PII类型:

Codice Fiscale(意大利税号)

  • 等同于美国的SSN
  • 在发送给AI之前必须删除
  • Garante说:"任何包含Codice Fiscale的AI处理都需要强有力的法律依据和DPA。"

生物识别数据

  • 包括面部识别、指纹扫描
  • Garante对AI中的生物识别处理特别谨慎
  • 法律依据通常是同意(很难获得)或某些特定的法律例外

Garante审计准备

如果您在意大利处理PII并使用AI工具:

  1. 审计您的AI用途

    • 您使用了哪些AI工具?
    • 您向他们发送了什么数据?
    • 您有法律依据吗?

  2. 获取或更新DPA

    • 与您使用的每个AI供应商签署DPA
    • 包括"不用于培训"条款
    • 包括删除权

  3. 对美国工具进行SCHREMS II评估

    • ChatGPT、Gemini、Copilot等位于美国
    • 进行SCHREMS II评估
    • 实施补充措施或停止使用

  4. 实施同意管理

    • 对于需要同意的AI处理,实施明确的同意流程
    • 允许用户轻松选择退出
    • 维护同意记录

  5. 考虑替代方案

    • Garante的立场:优先考虑非AI处理
    • 您可以在没有AI的情况下完成任务吗?
    • 如果是,那是首选方案

底线

Garante是最保守的DPA在AI和PII问题上。

该机构的基本立场是:如果您可以避免使用AI处理PII,那就这样做。如果您必须使用AI,有强有力的法律依据、明确的DPA和额外的保护措施。

仅说"我们有同意"或"我们使用API"是不够的。Garante期望文件化的法律依据、风险评估和具体的缓解措施。

来源:

相关文章

GDPR 与合规

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR 与合规

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR 与合规

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

准备好保护您的数据了吗?

开始使用 285 种实体类型在 48 种语言中匿名化 PII。

开始免费试用查看功能