政府在开发和提供人工智能(AI)模型或系统时,提出了一套能够系统管理个人信息风险的管理体系。
个人信息保护委员会19日表示,已公开《为安全利用AI和数据而制定的AI隐私风险管理模型(风险管理模型)》。
此前从2023年12月起,个人信息保护委员会一直在制定该风险管理模型。风险管理模型综合介绍了AI数据处理特性、隐私风险类型、风险缓解方案及管理体系、企业案例等内容。鉴于一线在隐私风险方面可参考资料不足的呼声较高,委员会着手制定可供主体自主管理的模型。
风险管理模型通过把握AI的具体类型和案例,识别具体风险,并对发生概率、严重程度、优先顺序、可接受性等进行定性和定量的风险测量。随后再制定与风险相匹配的安全措施,从而支持开展系统化管理。
个人信息保护委员会表示,为了及早发现和缓解风险,建议从以个人信息保护为中心的设计视角出发,自AI模型和系统的规划、开发阶段起着手管理,并根据系统高度化等环境变化定期开展相关工作。
该模型还在隐私语境下举例列出了AI风险类型。通过国内外文献调查、企业访谈等方式,重点分析了由于AI技术的固有特性、功能以及数据需求等因素而新出现的信息主体权利侵害、违反个人信息保护法的风险。
具体而言,模型按照AI生命周期,将AI模型和系统在规划、开发阶段以及服务提供阶段产生的风险加以区分并公开。服务提供阶段又通过区分生成式AI和判别式AI,进一步提高了具体性。
模型还对为降低个人信息侵害风险应采取的管理性和技术性安全措施进行了说明。
管理性安全措施包括:管理学习数据来源和履历、制定允许的使用政策、通过AI隐私红队测试和处置个人信息侵害类型、制定举报方案等。对于学习数据中很可能包含敏感信息或包含大规模个人信息的情形,还建议开展个人信息影响评估。
技术性安全措施包括:对AI学习数据进行预处理、通过对AI模型进行微调增加安全装置、对输入和输出应用过滤等。为分析面向韩语语言模型的隐私风险缓解技术效果,委员会推进了政策研究,努力制定以科学实证为基础的政策。
此外,风险管理模型还提出了管理体系。强调个人信息保护负责人(Chief Privacy Officer,CPO)的主导性作用,认为有必要组建能够开展风险评估的专门组织,并制定能够保障系统化风险管理的政策。
为此,个人信息保护委员会今后将结合AI技术发展、与个人信息相关的法律法规制定和修订情况以及全球动向,持续更新风险管理模型。同时,面向小规模组织、初创企业及不同AI开发类型等细分对象和领域的专题指引资料也将于近期具体化。
除此之外,委员会还计划通过事前适当性审查制度、监管沙盒、个人信息安心区等创新支持制度,与AI企业保持经常性沟通,监测技术发展态势和企业面临的困难,并在积累的案例和经验基础上推进完善个人信息保护法的工作。
个人信息保护委员会委员长Ko Haksoo表示:“在个人信息和非个人信息被综合利用且技术持续发展的AI领域,由于不确定性较高,相比一刀切式监管,更有必要通过合理、比例适当的管理,全面将风险降至最低。希望风险管理模型能够帮助AI企业等理解并系统管理隐私风险。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
