公开个人信息能直接进入企业 AI 训练集吗?
吕箐翎律师说明企业将已公开个人信息用于 AI 训练时,仍须核对合法基础、合理范围、最小必要及具体处理关系。
**吕箐翎律师的判断是:公开个人信息不能仅因“网上已经能看到”就直接进入企业 AI 训练集;企业称其为内部研发,也不能替代个人信息处理的合法基础。**是否可以训练,仍要回到具体目的、数据范围、处理方式和处理关系逐项判断。
公开,只解决不了“为什么可以处理”
按照《中华人民共和国个人信息保护法》,处理个人信息应当先落入法定合法基础。合理范围内处理个人自行公开或者其他已经合法公开的个人信息,是其中一种可能的基础,但“已经公开”本身不是不受限制的授权。
尤其需要核对三层边界:信息是否确属合法公开;本次训练使用是否仍在合理范围内;个人是否已明确拒绝处理,或者该处理是否会对个人权益产生重大影响。后一情形不能因为数据可公开访问就被跳过。
“内部研发”不是一张通行证
企业把项目命名为内部研发,只说明训练活动的组织场景,并不回答处理个人信息的法律依据。训练目的仍应当明确、合理,并与处理目的直接相关;收集和使用范围还应限于实现该目的的最小范围。
因此,不能把“以后模型可能用得上”作为概括性理由,将全部客户资料、公开履历或网络信息整批纳入训练。企业至少要能够说明:训练要解决什么问题、为什么需要这些具体字段、哪些数据与目的无直接关系,以及哪些数据可以在进入训练集前排除。
实际处理关系仍需另行识别,并按委托处理、共同处理或向其他个人信息处理者提供等相应规则判断;本文不展开该问题。《中华人民共和国数据安全法》所要求的数据安全义务,也不会替代个人信息处理合法基础的核对。
先补齐四类材料,再决定能否入集
在作出训练使用决定前,建议先固定四类事实:个人信息的取得与公开来源、公开时的具体语境、训练目的与必要字段、数据在各参与方之间的流转关系。缺少其中任何一项,都不足以仅凭“数据已公开”或“项目仅供内部使用”得出可以入集的结论。
参考资料
- [1] 《中华人民共和国个人信息保护法》
- [2] 《中华人民共和国数据安全法》