客户个人信息用于 AI 训练,为什么不能只做一次脱敏?
吕箐翎律师从处理基础、目的变化、匿名化与去标识化、供应商关系、最小必要和退出删除六个方面,说明客户个人信息进入企业 AI 训练集前应核查的边界。
客户个人信息不能因为用于“内部 AI 研发”,就当然进入训练集;做过一次所谓脱敏,也不代表后续训练、输出和供应商访问都已合规。
吕箐翎律师的个人判断是:决定客户个人信息能否用于 AI 训练,至少要重新核对处理基础、目的变化、数据范围、处理关系、泄露风险和退出删除。如果企业只能说明“技术上已经去掉姓名”,却说不清训练目的和后续流向,仍不足以下结论。
先问训练目的有没有新的处理基础
客户信息最初可能为了注册账号、履行订单、提供售后或处理投诉而收集。把这些信息进一步用于模型训练或算法优化,可能已经改变处理目的和方式,不能仅凭原业务场景下的收集行为推定可以继续使用。
按照《个人信息保护法》第十三条规定的框架,企业应先判断训练活动具体依赖何种处理基础,例如取得同意、为订立或履行个人作为一方当事人的合同所必需、履行法定职责或法定义务等。哪一种基础适用,需要结合实际目的和必要性判断,不能把条文选项写成通用授权清单。
即使材料来自公开评论、公开主页或其他公开渠道,也不能直接得出“可以训练”的结论。《个人信息保护法》第二十七条要求在合理范围内处理个人自行公开或者其他已经合法公开的个人信息;对个人权益有重大影响的,仍应依法取得同意。公开可见与允许进入企业训练集不是同一个问题。
“脱敏”必须区分匿名化和去标识化
企业常把删除姓名、手机号称为匿名化,但其他字段、行为轨迹、订单信息或上下文仍可能指向具体个人。
《个人信息保护法》区分匿名化与去标识化:匿名化后的信息无法识别特定自然人且不能复原;去标识化只是使信息在不借助额外信息时无法识别特定自然人,处理后的信息仍属于个人信息。判断训练集边界时,应说明采用了哪种技术、谁掌握对应关系、是否可以与其他数据重新关联,而不是只写“已脱敏”。
如果不能证明达到匿名化,应继续按个人信息处理活动核查训练用途、权限、保存和删除等义务。
再分清谁在处理客户信息
模型由企业自行训练、供应商受托处理、双方共同决定训练目的和方式,或者企业把个人信息提供给另一处理者,法律关系并不相同。
依据《个人信息保护法》第二十一条至第二十三条的规则,委托处理、共同处理以及向其他个人信息处理者提供个人信息,需要分别明确处理目的、期限、方式、信息种类、保护措施和双方权利义务,并限制超出约定目的的处理。合同写着“用于优化服务”,不能自动覆盖供应商留存样本、用于通用模型再训练或向其他主体提供。
因此,企业至少要画清数据从业务系统到训练环境、模型供应商和输出端的路径,并确认每个主体是否能下载、留存、再利用或转交数据。
数据范围要服从最小必要,而不是“能导出的都导出”
训练团队应说明每个字段对目标任务的必要性。完整聊天记录、联系方式、地址、账号标识和自由文本并不因为可能提高模型效果就当然必要。
更稳妥的核查顺序是:先确定模型要解决的具体任务,再减少不需要的字段和时间范围,评估能否使用匿名化数据、合成数据或统计特征替代,最后才决定哪些原始数据可以进入受控训练环境。《数据安全法》要求数据处理活动采取相应的数据安全保护措施,这一要求也不能由模型性能目标替代。
训练过程之外,还要看模型输出和退出删除
个人信息风险不只存在于训练数据导入时。模型可能记忆稀有样本、在提示下复现片段,或通过多个特征重新指向个人。上线前应测试样本泄露和再识别风险,并限制训练集、日志、模型调试结果和导出文件的访问权限。
企业还应预先确定删除触发条件。《个人信息保护法》第四十七条涉及处理目的已实现、无法实现或者不再必要等情形下的删除要求。训练项目结束、客户关系终止、处理基础变化或供应商退出后,哪些原始样本、备份、日志和中间文件应删除或匿名化,应在数据进入训练环境前就写清。
若项目属于向境内公众提供生成式人工智能服务的适用范围,还需要结合《生成式人工智能服务管理暂行办法》核查训练数据来源合法性、知识产权、个人信息和数据处理记录等要求;不能把该办法无差别套用于所有内部模型,也不能因项目暂不对公众开放就跳过个人信息保护要求。
吕箐翎律师建议先补的三项事实
在判断客户个人信息能否进入训练集前,先补齐:原收集目的与拟训练目的的对照、训练数据字段及匿名化或去标识化说明、参与主体与数据流向图。三项事实不能对齐时,下一步应是缩小字段、改变训练方式或暂停导入,而不是先训练后补手续。
主要依据
参考资料
- [1] 《中华人民共和国个人信息保护法》
- [2] 《中华人民共和国数据安全法》
- [3] 《生成式人工智能服务管理暂行办法》