个人成为大模型数据的控制者违反GDPR公平原则？！

主要观点总结

本文主要讨论了在使用大型语言模型（LLM）聊天机器人时出现的关于数据保护的问题。文章主要围绕个人是否可以被视为自己输入和输出数据的控制者，以及由此产生的责任转移问题展开。欧洲数据保护委员会（EDPB）对此也有相关指导，强调GDPR的公平原则，不应将数据保护的责任转移给数据主体。同时，文章还提及了个人信息保护合规审计的重要性。

关键观点总结

关键观点1: 大型语言模型（LLM）聊天机器人引起的数据保护问题

文章讨论了使用LLM聊天机器人时，关于个人是否被视为输入和输出数据的控制者的争议，以及因此产生的责任转移问题。

关键观点2: 欧洲数据保护委员会（EDPB）的指导

EDPB的ChatGPT工作组发布的中期报告强调了GDPR的公平原则，指出不应将责任转移给数据主体，并指出在某些情况下LLM聊天机器人的部署者应对数据主体的请求负责。

关键观点3: 个人作为数据控制者的立场

文章讨论了个人作为数据控制者的立场，以及由此产生的风险转移问题。提到社交媒体网络也面临类似问题，并在欧盟数据保护框架内得到解决。

关键观点4: 个人信息保护合规审计的重要性

文章最后提到了个人信息保护合规审计的重要性，并介绍了DPOHUB数隐咨询在个保合规审计方面的实践和经验。

文章预览

扫码立即加入学习！ 来源：IAPP 作者：Lokke Moerel等 整理：何渊 编者注：本文是有关大语言模型所带来的关键数据保护问题系列的一部分，讨论了当使用LLM聊天机器人时，个人是否可以被视为自己输入和输出数据的控制者。欧洲数据保护委员会（EDPB）的ChatGPT工作组发布的中期报告认为， 这种做法将欧盟《通用数据保护条例》（GDPR）的责任转移给数据主体，违反了GDPR的公平原则 。 关于大型语言模型聊天机器人的争议之一是，谁应被视为输入和输出数据的控制者，因此，谁应该对数据主体的请求负责。 2023年7月15日，汉堡数据保护与信息自由专员在其讨论文件中指出，LLM并不存储个人数据，因此，LLM聊天机器人的 部署者——而非提供者——应对数据主体的请求负责 ，“至少在LLM聊天机器人的输入和输出方面”。 汉堡数据保护机构参考了丹麦 数据 ………………………………