印度的 2023 年数字个人数据保护 (DPDP) 法案和正在实施的 2025 年 DPDP 规则可能不会称自己为人工智能法,但它们在某种程度上塑造了人工智能在该国的运作方式。通过将“处理”定义为包括自动化操作,该法律实质上将大多数人工智能系统纳入其保护范围。
这基本上意味着使用个人数据的人工智能模型现在必须在同意、目的限制和数据最小化方面遵循某些原则。通俗地说,数据最小化意味着公司不能再收集过多的个人数据,而只能收集特定且明确的目的严格必要的数据。
虽然法律没有明确规定算法透明度,这基本上是理解和解释人工智能模型如何做出特定决策的能力,但围绕它的规则推动公司采用更负责任的人工智能使用。
对于被归类为重要数据受托人或 SDF 的公司,门槛设置得更高。这些公司需要进行年度数据保护影响评估,以检查与自动化决策和分析相关的风险。这使得人工智能治理不再是不受约束的创新,而是更多地关注道德数据处理和问责制。
行业专家普遍认为 DPDP 引入了期待已久的结构,但它对几个特定于人工智能的现实保持沉默仍然令人担忧。 “该法案通过制定数据处理的基本规则并提出同意、数据最小化、目的限制和存储限制等义务,提供了支持人工智能开发明智决策的措施。但是,该法案没有明确说明自愿公开提供的数据的使用情况,也没有解释组织如何追溯性地获得同意以继续使用这些数据来训练人工智能模型,”德勤印度合伙人 Mayuran Palanisamy 告诉 Financialexpress.com。
他指出,大型人工智能系统严重依赖互联网上的大量数据。虽然 DPDP 建立在知情和具体同意的基础上,但目前尚不清楚公司如何真正获得对已经涉及数百万个数据点的数据集的许可。
印度的道路也与全球人工智能监管方式不同。 “印度的做法建立在‘数据原则第一’的基础上,优先考虑个人数据保护,这与欧盟采用‘风险第一’的人工智能具体法律不同。印度的法案重点关注组织如何处理数据以及如何为数据主体提供更多控制,而欧盟人工智能法案则按风险对系统进行分类。”帕拉尼斯瓦米指出。
这意味着印度的框架较少关注按危险级别对人工智能进行分类,而更多地关注确保推动人工智能的用户数据得到谨慎和负责任的处理。
一个主要的灰色地带在于公开数据的处理。 “根据第 3(c)(ii) 条,DPDP 法案的规定不适用于‘由与之相关的数据主体公开提供的个人数据’……这意味着公开的个人数据仍然可以被抓取并用于模型训练,而不会产生法律后果,”SFLC.in 发言人表示。
这就提出了一些棘手的问题:公共数据是否会自动免费供人工智能使用?当第三方上传这些数据时会发生什么?
数字媒体顾问桑杰·特雷汉 (Sanjay Trehan) 认为这个问题将会演变。 “这是一个非常复杂的问题,随着时间的推移,DPDP 在创建负责任的人工智能方面的作用将会变得更加清晰……它如何驾驭智能算法和超个性化模型网络并平衡个人权利将是值得关注的空间,”他说。
他还对已经吸收了大量数据的人工智能系统的长期影响提出了更深层次的担忧:“如何在不越界的情况下利用它?如何删除深深嵌入大型模型中的数据?如何最大限度地减少算法偏差?如何让机器忘记学习?”
对于当地的人工智能公司来说,DPDP 已经在影响运营策略。 “对于人工智能开发人员来说,这意味着对同意……保留限制……和违反透明度等问题有更清晰的期望。” Avtr Meta Labs 联合创始人兼首席执行官 Abhishek Razdan 说道。
“DPDP 仍然是一部数据保护法,而不是人工智能治理法。它尚未解决大型人工智能模型应如何处理网络抓取数据、应如何记录或审计训练数据集,或者如何对高风险人工智能系统进行分类,”Razdan 补充道。
SquadStack.ai 联合创始人兼首席执行官 Apurv Agrawal 评论道:“数字个人数据保护 (DPDP) 法案通过制定明确的数据使用和处理指南,为印度的人工智能公司提供了更大的清晰度……随着法律的发展,某些元素,特别是与人工智能特定法规相关的元素,可能仍需要进一步明确。”
“我们根本不抓取数据……我们处理的所有数据都是以明确的目的收集的,并受到严格的合规性、隐私控制和认证级安全实践的约束,完全符合 DPDP,”他补充道。
虽然 DPDP 代表着在规范个人数据处理方式方面向前迈出了重要一步,但它仍然没有解决主要的人工智能特定问题,从如何获取和审核培训数据到如何管理偏见和可解释性。
正如 Trehan 所说,“显然,DPDP 在数据保护和维护数据完整性方面迈出了重要一步,但它在人工智能领域的应用充满了技术和管理隐私侵犯风险方面的挑战。”
