韩国个人信息保护委员会的意见及法律依据
其法律依据主要是韩国的《个人信息保护法》。该法修订案的主要内容包括:
在没有本人同意的情况下,可以将经过处理无法识别特定个人的假名信息用于统计和研究等目的。
内容还包括将监督误用、滥用、泄露个人信息的机构划归个人信息保护委员会。
第15条和第17条规定个人信息处理者在未经数据主体的同意对个人信息进行处理时,应考虑是否在与原始收集目的合理相关的范围内进行数据收集和利用,是否对数据主体产生不利影响,以及是否已采取必要的措施来确保安全性。
第28条增加假名处理的方式,规定当处理假名信息时,个人信息控制者应采取必要的技术、行政和物理措施,以确保信息不会丢失、被盗、泄露、伪造、更改或损坏;规定任何人都不得出于识别特定个人的目的而处理假名信息,对于违反此规定的个人信息控制者,可处以总销售额3%以下的罚款;允许个人信息控制者在未经数据主体同意的情况下,将假名信息用于统计整理、科学研究和公共记录保存。
启发
1、《网络安全法》(2017)
第24条要求网络运营者提供技术接口等配合安全审查,若AI应用(如DeepSeek)存在数据泄露、算法偏见等风险,监管部门有权依据该条款采取临时下架措施,以此保障网络安全,防止风险进一步扩散。
第47条规定对“具有舆论属性或社会动员能力”的互联网服务需进行安全评估,生成式AI因具备广泛传播信息的能力,极有可能触发此项规定。此前就有利用生成式AI传播虚假信息、扰乱社会秩序的案例,凸显安全评估的重要性。
2、《数据安全法》(2021)与《个人信息保护法》(2021)
若DeepSeek存在未经用户同意收集敏感信息(如生物识别数据)、跨境数据传输不合规等问题,暂停下载可能属于《数据安全法》第27条规定的“风险处置措施”。
根据《个人信息保护法》第66条,严重违规企业可能面临最高5000万元或年营业额5%的罚款,下架可作为配套执行手段。
3、《生成式人工智能服务管理暂行办法》(2023)
1、行政行为的程序正当性
根据《行政处罚法》,暂停下载若属于行政处罚,需事先告知企业并给予申辩机会。但实践中,网信办常援引《网络安全法》第50条的“紧急处置权”,可能跳过部分程序。
企业可通过行政复议(《行政复议法》第9条)或行政诉讼(《行政诉讼法》第12条)挑战决定,但需证明监管部门滥用自由裁量权。
2、证据标准的争议
1、开发者的合规路径
内容过滤机制:依据《生成式AI管理办法》第14条,需部署违法违规内容识别模型,并实现3个月内可追溯(如区块链存证)。
数据本地化:若涉及用户隐私数据,应遵守《数据安全法》第31条,将服务器架设在中国境内。
安全评估备案:根据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,向省级网信部门提交评估报告。
2、用户权益救济
若下架导致用户预付费损失,可依据《消费者权益保护法》第53条要求企业退款;若数据被滥用,可援引《个人信息保护法》第69条提起民事赔偿诉讼。
但司法实践中,用户需证明具体损害(如2022年北京互联网法院“AI推荐侵权案”中,法院以“未造成实际损失”驳回部分诉请)。
1、欧盟GDPR对比
2、美国Section230争议
3、合规建议
算法备案:根据《互联网信息服务算法推荐管理规定》,向网信办备案算法机制原理、干预手段等信息。
红线清单:建立禁止生成的负面内容库(如分裂国家言论、深度伪造),并在模型中预设权重惩罚。
保险机制:参考英国劳合社“AI责任险”,通过商业保险对冲潜在赔
DeepSeek暂停下载事件为整个AI行业提出了跨境数据合规警告。监管部门、企业和用户都应重视法律在AI发展中的重要作用,依法依规开展活动,共同推动AI技术健康、可持续发展。