Европейский совет по защите данных (European Data Protection Board, EDPB) опубликовал отчет, в котором рассматриваются сложности и хитросплетения современных моделей искусственного интеллекта. Упоминается, в частности, о возможности использования для обучения моделей персональных данных без согласия владельца при условии, что готовое приложение не раскрывает никакой личной информации. Нормативная формулировка гласит: «Если можно продемонстрировать, что последующая эксплуатация модели искусственного интеллекта не влечет за собой обработки персональных данных, EDPB считает, что правила GDPR к ней применяться не должны». При этом неправомерность первоначальной обработки не должна влиять на законность обработки, выполняемой на этапе развертывания.

Полный текст отчета предназначен для органов по надзору за защитой данных (supervisory authorities, SA), но руководство в равной степени применимо и к предприятиям, которые хотят получить одобрение SA на свою обработку данных. Чтобы определить, соответствует ли генеративный ИИ предъявляемым к нему требованиям, им предлагается ответить на следующие вопросы:

— На каком этапе модель ИИ перестает обрабатывать персональные данные?

— Как доказать, что модель ИИ не обрабатывает персональные данные?

— Существуют ли факторы, которые могут привести к тому, что работа окончательной модели ИИ перестанет считаться анонимной? Если да, то как гарантировать, что персональные данные больше не обрабатываются?

Заявления об анонимности модели ИИ в каждом конкретном случае должны оцениваться компетентными органами, поскольку EDPB считает, что модели ИИ, обученные работе с персональными данными, не всегда могут считаться анонимными.