§
返回文章列表
消费者保护

2026年人工智能与数据保护

欧盟AI法案对匈牙利法律体系的影响、针对自动化决策和用户画像的法律保护,以及GDPR与人工智能的关系。

D

Dr. Nagy Ildikó

引言

人工智能(AI,英文:Artificial Intelligence)应用的快速普及正在从根本上改变经济、公共行政和日常生活的诸多领域。这一技术变革同时也提出了严峻的数据保护挑战,立法者必须对此作出有效回应。欧洲议会和理事会第(EU) 2024/1689号条例(以下简称AI法案AI条例)是全球首部关于人工智能的综合性法律,于2026年全面生效。本文分析AI法案与**《通用数据保护条例》(GDPR)**之间的相互作用,以及对匈牙利法律体系的影响。

AI法案的基本框架

基于风险的方法

AI法案根据风险等级对人工智能系统进行分类,并据此调整相应的监管要求:

  1. 不可接受风险系统(禁止):包括社会评分系统、用于执法目的的公共场所实时远程生物识别(原则上禁止),以及旨在潜意识操纵的系统。这些AI系统在欧盟内被禁止

  2. 高风险系统:影响人们基本权利、健康或安全的AI系统。包括信用评估系统、人力资源筛选算法、司法系统,以及教育机构中使用的评估系统。这些系统适用严格的要求。

  3. 有限风险系统:产生透明度义务(如聊天机器人、深度伪造内容需履行告知义务)。

  4. 最低风险系统:不需要特殊监管(如垃圾邮件过滤器、视频游戏中的AI)。

高风险AI系统的要求

AI法案对高风险AI系统提供者施加以下义务:

  • 建立和维护风险管理系统
  • 数据治理和数据管理实践:确保训练数据质量,消除偏见(bias)
  • 编制技术文档
  • 日志记录(logging):自动记录AI系统的运行情况
  • 透明度:充分告知用户系统的运作方式
  • 确保人工监督(human oversight)
  • 满足准确性、稳健性和网络安全要求

GDPR与人工智能

自动化决策的禁止

GDPR第22条为数据主体提供了针对自动化决策的基本保护。根据该条规定,数据主体有权不受仅基于自动化处理——包括用户画像——作出的、对其产生法律效力或类似重大影响的决定的约束。

该规定在以下实际情形中尤为相关:

  • 信用评估:银行使用基于AI的系统决定是否批准或拒绝贷款申请
  • 保险风险评估:保险公司基于AI算法确定保险费率
  • 招聘:雇主使用AI系统筛选简历和评估岗位适合度
  • 行政决策:行政机关在决策过程中应用AI系统

自动化决策禁止的例外

GDPR第22条第(2)款允许三种例外:

  1. 决定对于数据主体与数据控制者之间合同的订立或履行是必要的
  2. 适用于数据控制者的欧盟或成员国法律允许该决定
  3. 决定基于数据主体的明确同意

在上述三种情况下,数据控制者均须采取适当措施保护数据主体的权利、自由和合法利益,至少包括要求数据控制者方面的人工干预、表达观点以及对决定提出异议的权利。

针对用户画像的法律保护

根据GDPR第4条第4点,用户画像是指使用个人数据对与自然人相关的某些个人方面进行评估的任何形式的自动化处理——特别是分析或预测与工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为、位置或移动相关的特征。

GDPR并未普遍禁止用户画像,但适用多项限制:

  • 透明度:需以易于理解的方式向数据主体告知用户画像的事实、所适用逻辑的实质,以及此类数据处理的重要性和对数据主体可能产生的后果(GDPR第13-14条)
  • 反对权:数据主体有权随时基于与其特定情况相关的理由,反对为用户画像目的处理其个人数据(GDPR第21条)
  • 数据保护影响评估:高风险用户画像情况下,数据控制者须进行数据保护影响评估(GDPR第35条)

AI法案与GDPR的相互作用

重叠与互补

AI法案与GDPR之间存在多处重叠和互补。AI法案序言(第47段序言)明确规定,本条例在不影响GDPR的前提下适用,AI系统开发和应用过程中的个人数据处理仍适用GDPR规则。

两部法律之间最重要的关联点:

领域GDPRAI法案
透明度自动化决策时的告知义务所有AI系统的透明度要求
人工监督请求人工干预的权利高风险系统强制人工监督
影响评估数据保护影响评估(DPIA)高风险系统的基本权利影响评估
数据质量遵守数据准确性原则训练数据质量要求

匈牙利的实施问题

AI法案是直接适用的欧盟条例,因此在匈牙利法律体系中直接适用。但在某些问题上为成员国留有裁量空间,国内立法者需作出回应:

  1. 指定国家监管机构:AI法案第70条要求每个成员国指定或设立一个负责AI系统市场监管的国家机构。在匈牙利,根据目前的计划,该职责可能由**国家媒体和通信管理局(NMHH)**承担。

  2. 制裁体系:根据AI法案第99条,对采用被禁止AI实践的组织,可处以最高**3500万欧元或年度全球营业额7%**的罚款。违反高风险AI系统相关义务的,罚款上限为1500万欧元或年度营业额的3%。

  3. 监管沙盒:AI法案允许设立监管沙盒,在受控环境中测试创新AI解决方案。在匈牙利,沙盒的设立条件和运营规则需通过单独的法规加以规定。

对消费者的实际影响

权利行使途径

消费者可通过以下方式行使与AI系统应用相关的权利:

  1. 行使GDPR下的数据主体权利:访问权、更正权、删除权、限制处理权、反对权
  2. 向NAIH投诉国家数据保护和信息自由局在GDPR违规时可进行数据保护行政程序
  3. 司法救济:数据主体可依据**信息法(2011年第CXII号法律)**和GDPR向法院提起诉讼
  4. 消费者保护程序:当AI系统的应用同时构成消费者保护违法行为时,消费者保护机关也可采取行动

透明度要求

自2026年起,在应用影响消费者的AI系统时,服务提供者须:

  • 告知消费者其正在与AI系统交互(如聊天机器人)
  • 告知自动化决策的事实和所适用逻辑的实质
  • 保障决定可由人工复核的可能性
  • 标注AI生成的内容(深度伪造防护)

AI时代数据保护官(DPO)的角色

根据GDPR第37-39条,特定组织须指定数据保护官。随着AI系统的广泛应用,DPO的角色日益重要:

  • 参与AI系统部署前的数据保护影响评估
  • 持续监督涉及个人数据的AI系统运行
  • 审查训练数据的数据处理法律依据
  • 处理自动化决策和用户画像相关的数据主体请求

总结

随着AI法案的全面生效,人工智能与数据保护的关系在2026年进入了新的维度。对匈牙利消费者而言,AI法案和GDPR的联合适用为防止AI系统的滥用提供了有效保护。另一方面,企业面临严峻的准备任务:必须同时满足数据保护和AI监管要求,这需要大量的组织、技术和人力资源投入。

该领域的法律发展极为活跃,因此建议企业持续关注监管环境的变化,必要时寻求法律顾问以确保AI系统的合法使用。

本文仅供参考,不构成法律建议。对于个别案件,建议咨询专业律师。

#人工智能 #AI法案 #数据保护 #GDPR
分享: