راهنما، بدون اصطلاحات حقوقی

هوش مصنوعی و LPD/nLPD در سوئیس: پیامدهای آن

نگاهی روشن به اینکه قانون جدید حفاظت از داده‌ها چه تغییری برای پروژه‌های هوش مصنوعی شما ایجاد می‌کند و چگونه ما با رعایت محل اقامت داده‌ها می‌سازیم. مهم: ما مشاوره حقوقی ارائه نمی‌دهیم.

میزبانی اروپاییمتن‌بازقابل ردیابی

14'036+ وب‌سایت ساخته‌شده در ۳۰ روز گذشته

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
میزبانی اروپایی
متن‌باز
قابل ردیابی

از اول سپتامبر ۲۰۲۳، قانون جدید حفاظت از داده‌ها (nLPD) در سوئیس لازم‌الاجرا شده است. این قانون به صراحت از هوش مصنوعی نام نمی‌برد و این امر عمدی است: قانون به شکلی فناوری‌خنثی تدوین شده است. نتیجه مستقیم این رویکرد: هر سیستم هوش مصنوعی که داده‌های شخصی اشخاص حقیقی را پردازش کند، مشمول nLPD می‌شود. این راهنما توضیح می‌دهد که این موضوع برای یک شرکت سوئیسی که ابزارهای هوش مصنوعی را به‌کار می‌گیرد یا قصد دارد به‌کار گیرد چه معنایی دارد؛ خواه یک چت‌بات داخلی باشد، یک ابزار استخدام خودکار، یک موتور توصیه یا یک راه‌حل تحلیل مشتریان.

14'036+
وب‌سایت ساخته‌شده در ۳۰ روز گذشته
16
زبان
100%
میزبانی اروپا
0
US cloud

نکات کلیدی که باید بدانید

نکات اصلی، به‌سادگی توضیح داده شده.

محل اقامت داده‌ها

جایی که داده‌های شما ذخیره و پردازش می‌شوند اهمیت دارد. ما با میزبانی اروپایی و مدل‌های متن‌باز می‌سازیم.

حداقل‌سازی

پردازش تنها داده‌های ضروری: یک اصل ساده که خطر را کاهش می‌دهد.

شفافیت و قابلیت ردیابی

دانستن اینکه هوش مصنوعی با داده‌های شما چه می‌کند، با پردازش‌هایی که ثبت و قابل ممیزی هستند.

پیمانکاران فرعی

انتخاب ارائه‌دهندگانی که داده‌های شما را در معرض ابرهای ثالث کنترل‌نشده قرار نمی‌دهند.

nLPD و هوش مصنوعی: اصل خنثایی فناوری

نماینده فدرال حفاظت از داده‌ها و شفافیت (PFPDT) در نوامبر ۲۰۲۳ موضع خود را تایید کرد: قانون فعلی حفاظت از داده‌ها مستقیما بر هوش مصنوعی قابل اعمال است. سوئیس برخلاف اتحادیه اروپا و قانون هوش مصنوعی آن، هیچ قانون خاصی برای هوش مصنوعی ندارد. قانون‌گذار سوئیسی آگاهانه رویکردی مبتنی بر خنثایی فناوری را انتخاب کرده است: قوانین موجود (nLPD، قانون تعهدات، LRFP) برای هر فناوری از جمله هوش مصنوعی قابل اعمال هستند. این بدان معناست که ارائه‌دهنده CRM مجهز به هوش مصنوعی، ابزار تحلیل پیش‌بینانه یا دستیار مکالمه‌ای داخلی شما، همه در حوزه شمول nLPD قرار می‌گیرند، به محض اینکه داده‌های مربوط به یک شخص قابل شناسایی را پردازش کنند.

  • هیچ قانون اختصاصی هوش مصنوعی در سوئیس تاکنون وجود ندارد: nLPD به‌عنوان چارچوب اصلی عمل می‌کند
  • خنثایی فناوری: متن قانونی از هوش مصنوعی نام نمی‌برد اما به طور کامل بر آن اعمال می‌شود
  • PFPDT این تفسیر را به طور رسمی در نوامبر ۲۰۲۳ تایید کرد
  • کنوانسیون چارچوبی شورای اروپا درباره هوش مصنوعی (که سوئیس آن را در ۲۷ مارس ۲۰۲۵ امضا کرد) این مکانیزم را تا سال‌های ۲۰۲۶ تا ۲۰۲۷ تقویت خواهد کرد
  • قانون هوش مصنوعی اروپایی می‌تواند به طور غیرمستقیم برای شرکت‌های سوئیسی که داده‌های ساکنان اتحادیه اروپا را پردازش می‌کنند اعمال شود

پنج تکلیف اساسی برای هر استفاده از هوش مصنوعی

صرف‌نظر از ماهیت سیستم هوش مصنوعی به‌کارگرفته‌شده، پنج اصل nLPD برای شرکت مسئول پردازش لازم‌الرعایت است.

  • شفافیت: افراد مربوطه باید بدانند که یک سیستم هوش مصنوعی داده‌هایشان را پردازش می‌کند، به چه هدفی و بر چه اساسی. تیرگی عمدی نقض قانون محسوب می‌شود.
  • هدف مشخص: داده‌های جمع‌آوری‌شده برای یک هدف خاص نمی‌توانند بدون مبنای قانونی مجزا آزادانه برای آموزش یا بهبود یک مدل هوش مصنوعی مورد استفاده مجدد قرار گیرند.
  • به حداقل رساندن: یک سیستم هوش مصنوعی باید فقط داده‌هایی را پردازش کند که برای هدف مورد نظر کاملا ضروری هستند. تجمیع داده‌ها به صورت احتیاطی نقض این اصل محسوب می‌شود.
  • دقت: داده‌هایی که یک سیستم هوش مصنوعی را تغذیه می‌کنند باید به‌روز نگه داشته شوند. یک تصمیم خودکار مبتنی بر داده‌های منسوخ، مسئولیت شرکت را به همراه می‌آورد.
  • امنیت و قابلیت ردیابی: پردازش‌های هوش مصنوعی باید ثبت و دسترسی‌ها کنترل شوند. در صورت نقض داده‌ها، nLPD اطلاع‌رسانی به مقامات را بدون تاخیر غیرموجه الزامی می‌کند (در مقابل ۷۲ ساعت برای RGPD).

تصمیمات خودکار و حق اعتراض: آنچه کاربران شما می‌توانند مطالبه کنند

nLPD به افراد مربوطه حق اعتراض به تصمیماتی می‌دهد که صرفا بر اساس پردازش خودکار اتخاذ می‌شوند، در صورتی که این تصمیمات آثار حقوقی یا آثار مشابه قابل توجه بر آنها داشته باشند. به طور عملی: اگر ابزار هوش مصنوعی شما به صورت خودکار یک درخواست استخدام را رد می‌کند، نرخ بیمه تعیین می‌کند یا اعتبار را بدون دخالت انسانی رد می‌کند، فرد مربوطه می‌تواند درخواست کند که یک شخص حقیقی تصمیم را بازبینی کند. PFPDT این را در قالب خودمختاری دیجیتال بالا بیان می‌کند: شرکت‌ها باید به افراد مربوطه ابزار لازم برای درک و در صورت لزوم اعتراض به تصمیمات خودکاری که بر آنها تاثیر می‌گذارد را فراهم کنند. این حق اعتراض اختیاری نیست: باید پیش از راه‌اندازی سیستم عملیاتی باشد، نه پس از آن.

  • حق اعتراض به تصمیمات خودکار دارای آثار حقوقی یا قابل توجه
  • تکلیف به پیش‌بینی مکانیزم بازبینی انسانی بنا به درخواست
  • شفافیت درباره نحوه عملکرد الگوریتم پیش‌شرط اعمال این حق است
  • بخش‌های ویژه در معرض خطر: منابع انسانی (غربالگری درخواست‌ها)، بیمه (تعیین نرخ)، بانک‌ها (امتیازدهی اعتباری)، تجارت الکترونیک (شخصی‌سازی تبعیض‌آمیز)

چه زمانی انجام تحلیل تاثیر بر حفاظت از داده‌ها (AIPD) اجباری است؟

nLPD تکلیف انجام تحلیل تاثیر بر حفاظت از داده‌ها (AIPD یا DPIA به انگلیسی) را پیش از هر پردازشی که ممکن است خطر بالایی برای حقوق و آزادی‌های اساسی افراد مربوطه داشته باشد معرفی می‌کند. برای سیستم‌های هوش مصنوعی، آستانه خطر بالا به سرعت رسیده می‌شود. AIPD به‌ویژه در موارد زیر الزامی است: پردازش داده‌های حساس در مقیاس بزرگ (سلامت، عقاید سیاسی، داده‌های بیومتریک)، سیستم پروفایل‌سازی گسترده افراد، تصمیمات خودکار با آثار قانونی یا اقتصادی قابل توجه، یا پردازش مستلزم نظارت منظم بر فضاهای عمومی. AIPD باید پیش از راه‌اندازی انجام، مستند و در صورت تکامل سیستم به‌روزرسانی شود. اگر تحلیل خطر باقی‌مانده بالایی را آشکار کند که کاهش نیافته باشد، می‌توان با PFPDT مشورت کرد.

  • پردازش داده‌های حساس در مقیاس بزرگ: AIPD اجباری
  • پروفایل‌سازی گسترده یا امتیازدهی خودکار: AIPD اجباری
  • تصمیمات خودکار با آثار قانونی یا اقتصادی قابل توجه: AIPD اجباری
  • نظارت منظم بر فضاهای عمومی: AIPD اجباری
  • AIPD باید پیش از راه‌اندازی انجام شود، نه پس از یک حادثه
  • در صورت باقی ماندن خطر باقی‌مانده بالا می‌توان با PFPDT مشورت کرد

شیوه‌های هوش مصنوعی ممنوع توسط nLPD

اگرچه nLPD فهرست جامعی از کاربردهای ممنوع هوش مصنوعی تعیین نمی‌کند، برخی شیوه‌ها آشکارا با حقوق اساسی‌ای که این قانون از آنها حمایت می‌کند و نیز مواضع PFPDT ناسازگار هستند.

  • تشخیص چهره بلادرنگ در مقیاس بزرگ در فضاهای عمومی: ناسازگار با nLPD و حقوق اساسی
  • سیستم‌های امتیازدهی اجتماعی (social scoring) که به طور منظم افراد را بر اساس کل رفتارشان ارزیابی می‌کنند: ناسازگار با خودمختاری اطلاعاتی محفوظ در LPD
  • جمع‌آوری و پردازش داده‌های بیومتریک بدون مبنای قانونی محکم و بدون هدف مشروع و مستند
  • آموزش مدل‌های هوش مصنوعی با داده‌های شخصی منحرف‌شده از هدف اولیه‌شان، بدون مبنای قانونی مجزا
  • پردازش داده‌های حساس (سلامت، منشا نژادی، عقاید سیاسی) بدون رضایت صریح یا بدون مبنای قانونی پذیرفتنی دیگر

آموزش یک مدل هوش مصنوعی با داده‌های داخلی شما: آنچه nLPD می‌گوید

یکی از متداول‌ترین موارد در سازمان‌ها: استفاده از داده‌های داخلی (ایمیل‌ها، پرونده‌های منابع انسانی، تاریخچه مشتریان، قراردادها) برای آموزش یا تنظیم دقیق یک مدل هوش مصنوعی. nLPD چندین سپر حفاظتی الزامی می‌کند. اول، هدف: داده‌های جمع‌آوری‌شده برای مدیریت قراردادهای مشتری را نمی‌توان بدون مبنای قانونی مجزا برای آموزش یک مدل هوش مصنوعی استفاده کرد. سپس، موقعیت مکانی: اگر مدل توسط یک ارائه‌دهنده خارج از سوئیس یا خارج از EEE میزبانی شود، یک انتقال بین‌المللی داده صورت می‌گیرد که مشمول ضمانت‌های مناسب nLPD است. در نهایت، تیرگی مدل‌ها: پس از آموزش، تضمین اینکه هیچ داده شخصی از آن استخراج یا استنتاج نشود دشوار است. یک معماری مستقل، با مدلی که بر زیرساخت اروپایی یا بر سرورهای خودتان اجرا می‌شود، قوی‌ترین پاسخ به این مشکل است.

  • پیش از هر استفاده مجدد از داده‌های داخلی برای هوش مصنوعی، مبنای قانونی را بررسی کنید
  • هدف آموزش را مستند کنید و از سازگاری آن با جمع‌آوری اولیه اطمینان حاصل کنید
  • تشخیص دهید که آیا انتقال بین‌المللی صورت می‌گیرد (ارائه‌دهنده آمریکایی، ابر خارج از EEE) و ضمانت‌های مناسب را برقرار کنید
  • داده‌های خود را (عمومی، داخلی، محرمانه، حساس) طبقه‌بندی کنید پیش از اینکه تصمیم بگیرید کدام‌ها می‌توانند یک مدل را تغذیه کنند
  • مدل‌های منبع باز مستقر بر زیرساخت اروپایی را برای جلوگیری از برون‌سرزمینی بودن ترجیح دهید
  • تصمیمات معماری را در یک دفتر ثبت پردازش مستند کنید

مجازات‌های nLPD: مسئولیت شخصی و مبالغ

نکته‌ای که اغلب دست کم گرفته می‌شود: برخلاف RGPD که شرکت را مجازات می‌کند، nLPD در وهله اول اشخاص حقیقی را مجازات می‌کند. این مدیران، مسئولان فناوری اطلاعات و برخی کارکنان هستند که می‌توانند تحت پیگرد قرار گرفته و به جریمه‌های شخصی محکوم شوند. حداکثر مبلغ ۲۵۰٬۰۰۰ CHF به ازای هر نقض است. بیشترین موارد نقض در معرض مجازات عبارتند از: عدم رعایت تکلیف اطلاع‌رسانی، عدم اطلاع‌رسانی نقض داده به مقام صلاحیتدار، یا نقض قوانین مربوط به تصمیمات فردی خودکار. مجازات خودکار نیست: باید شکایتی تقدیم شود. اما خطر اعتباری، در صورت رسیدگی قضایی عمومی، می‌تواند از خود جریمه بیشتر باشد.

  • حداکثر مجازات: ۲۵۰٬۰۰۰ CHF به ازای هر نقض (جریمه شخصی، نه شرکتی)
  • افراد در معرض خطر: مدیران، مسئولان فناوری اطلاعات، DPO، کارکنان درگیر
  • رایج‌ترین نقض‌های مجازات‌شده: عدم اطلاع‌رسانی، عدم اطلاع از نقض، نقض قوانین مربوط به تصمیمات خودکار
  • جریمه خودکار نیست: شکایت ضروری است (برخلاف RGPD)
  • خطر اعتباری بالقوه بیشتر از خود جریمه است

LPD در برابر RGPD: تفاوت‌های کلیدی برای پروژه‌های هوش مصنوعی

بسیاری از شرکت‌های سوئیسی همچنین داده‌های ساکنان اروپایی را پردازش می‌کنند و بنابراین به موازات nLPD مشمول RGPD نیز هستند. دو چارچوب در اصل شبیه به هم هستند اما در چند نقطه مهم تفاوت دارند. در زیر قابل توجه‌ترین تفاوت‌ها برای یک پروژه هوش مصنوعی آمده است.

  • مجازات‌ها: RGPD شرکت‌ها را هدف قرار می‌دهد (تا ۴٪ از گردش مالی جهانی)، nLPD اشخاص حقیقی را هدف قرار می‌دهد (حداکثر ۲۵۰٬۰۰۰ CHF)
  • DPO: در برخی موارد تحت RGPD اجباری است، تحت nLPD توصیه می‌شود اما اجباری نیست
  • اطلاع‌رسانی نقض: ۷۲ ساعت برای RGPD، بدون تاخیر غیرموجه برای nLPD (انعطاف‌پذیرتر اما مبهم‌تر)
  • رضایت: nLPD برخلاف RGPD که آن را پایه مرکزی می‌داند، رضایت صریح را به‌عنوان تنها مبنای قانونی الزامی نمی‌کند
  • دامنه برون‌سرزمینی: RGPD به محض اینکه یک ساکن اتحادیه اروپا درگیر باشد اعمال می‌شود، حتی اگر شرکت در سوئیس باشد
  • قانون هوش مصنوعی اتحادیه اروپا: مستقیما در سوئیس اعمال نمی‌شود، اما یک شرکت سوئیسی که در اتحادیه اروپا بازاریابی می‌کند ممکن است مشمول آن شود

چشم‌انداز نظارتی ۲۰۲۵ تا ۲۰۲۷: آنچه در راه است

چارچوب قانونی سوئیس درباره هوش مصنوعی در حال تحول است. چندین تغییر برای شرکت‌هایی که سیستم‌های هوش مصنوعی به‌کار می‌گیرند قابل پیش‌بینی است.

  • کنوانسیون شورای اروپا درباره هوش مصنوعی (CETS 225): سوئیس آن را در ۲۷ مارس ۲۰۲۵ امضا کرد. تصویب آن تعهدات اضافی ایجاد خواهد کرد، به‌ویژه درباره سیستم‌های هوش مصنوعی پرخطر و نظارت مقامات
  • قانون هوش مصنوعی اتحادیه اروپا که به تدریج تا سال ۲۰۲۶ اجرایی می‌شود: شرکت‌های سوئیسی که در بازار اتحادیه اروپا فعالیت می‌کنند می‌توانند درگیر شوند، به‌ویژه برای سیستم‌های هوش مصنوعی پرخطر (منابع انسانی، اعتبار، سلامت، زیرساخت حیاتی)
  • بازبینی احتمالی nLPD: شورای فدرال تحولات اروپایی را دنبال می‌کند و تطبیقی در افق ۲۰۲۶ تا ۲۰۲۷ قابل تصور است
  • آیین‌نامه فدرال درباره استفاده از هوش مصنوعی در اداره عمومی: در مرحله مشاوره، ممکن است الهام‌بخش استانداردهای بخشی خصوصی باشد
  • قدرت گرفتن PFPDT: موضع‌گیری‌های بیشتر در بخش‌های مختلف درباره کاربردهای خاص هوش مصنوعی (چت‌بات‌ها، پروفایل‌سازی، هوش مصنوعی مولد)

چک‌لیست: ده اقدام عملی برای هوش مصنوعی منطبق با nLPD

این فهرست نقطه شروع عملیاتی برای شرکت‌هایی است که ابزارهای هوش مصنوعی را به‌کار می‌گیرند یا قصد به‌کارگیری آنها را دارند. این فهرست مشاوره حقوقی نیست: برای موقعیت خاص خود با یک حقوقدان متخصص مشورت کنید.

  • ۱. نقشه‌برداری: فهرستی از تمام ابزارهای هوش مصنوعی مورد استفاده در سازمان خود تهیه کنید و مشخص کنید کدام‌ها داده‌های شخصی را پردازش می‌کنند
  • ۲. طبقه‌بندی داده‌ها: داده‌های عمومی، داخلی، محرمانه و حساس را از هم تمیز دهید پیش از اینکه تصمیم بگیرید کدام‌ها می‌توانند یک مدل را تغذیه کنند
  • ۳. مستندسازی هدف: برای هر پردازش هوش مصنوعی، هدف دقیق را در دفتر ثبت فعالیت‌های پردازش خود مستند کنید
  • ۴. ارزیابی ریسک: تعیین کنید که آیا یک پردازش نیازمند AIPD است (داده‌های حساس، پروفایل‌سازی، تصمیمات خودکار تاثیرگذار)
  • ۵. اطلاع‌رسانی: اطمینان حاصل کنید که اطلاعیه‌های اطلاع‌رسانی (سیاست حفظ حریم خصوصی، اعلان پردازش) به صراحت کاربردهای هوش مصنوعی را پوشش می‌دهند
  • ۶. پیش‌بینی اعتراض: یک مکانیزم عملیاتی بازپرسی انسانی برای هر تصمیم خودکار مهم ایجاد کنید
  • ۷. کنترل پیمانکاران فرعی: ضمانت‌های ارائه‌شده توسط ارائه‌دهندگان هوش مصنوعی خود را بررسی کنید (موقعیت مکانی، انتقال‌ها، گواهی‌نامه‌ها)
  • ۸. آموزش تیم‌ها: کارکنان را نسبت به تکالیف nLPD در زمینه هوش مصنوعی آگاه کنید، به‌ویژه تیم‌های منابع انسانی، بازاریابی و فناوری اطلاعات
  • ۹. آزمون و ممیزی: ممیزی‌های منظم سیستم‌های هوش مصنوعی را برای بررسی انطباق و عدم وجود تعصبات تبعیض‌آمیز پیش‌بینی کنید
  • ۱۰. نگهداری یک دفتر ثبت زنده: مستندات را با هر تکامل سیستم هوش مصنوعی یا مقررات به‌روزرسانی کنید

nLPD در برابر RGPD: تفاوت‌های اساسی برای پروژه‌های هوش مصنوعی شما

اکثر شرکت‌های سوئیسی باید با هر دو چارچوب کنار بیایند. اینجا مهم‌ترین تفاوت‌هایی که باید برای ساختاردهی پروژه‌های هوش مصنوعی خود بدانید آمده است.

معیارnLPD (سوئیس)RGPD (اتحادیه اروپا)
تاریخ لازم‌الاجرا شدن۱ سپتامبر ۲۰۲۳۲۵ مه ۲۰۱۸
مجازات‌هاحداکثر ۲۵۰٬۰۰۰ CHF، جریمه شخصیتا ۴٪ از گردش مالی جهانی، جریمه شرکتی
DPO (مسئول حفاظت از داده‌ها)توصیه می‌شود، برای SME اجباری نیستدر برخی موارد اجباری است
مهلت اطلاع‌رسانی نقضبدون تاخیر غیرموجه (انعطاف‌پذیرتر)حداکثر ۷۲ ساعت
رضایت به‌عنوان مبنای قانونییکی از چند پایه (انعطاف‌پذیرتر)مرکزی اما دارای قیود
AIPD اجباریبله، برای پردازش‌های پرخطربله، برای پردازش‌های پرخطر
دامنه برون‌سرزمینیاعمال می‌شود اگر شرکت داده‌های افراد در سوئیس را پردازش کندبه محض اینکه یک ساکن اتحادیه اروپا درگیر باشد اعمال می‌شود
قانون خاص هوش مصنوعیهیچ (خنثایی فناوری)قانون هوش مصنوعی که به تدریج تا سال ۲۰۲۶ اجرایی می‌شود

نقش ما

ما با رعایت داده‌های شما می‌سازیم

ما حقوق ارائه نمی‌دهیم، اما هوش مصنوعی را به‌گونه‌ای می‌سازیم که محل اقامت و محرمانگی داده‌های شما رعایت شود.

میزبانی اروپایی

زیرساخت در اروپا (Hetzner)، بدون ابر آمریکایی.

متن‌باز

مدل‌های متن‌باز روی زیرساخت ما، داده‌های شما برای آموزش هیچ مدلی استفاده نمی‌شوند.

قابل ردیابی

پردازش‌هایی که ثبت و قابل ممیزی هستند.

زمینه سوئیسی: PFPDT، کانتون‌ها و ویژگی‌های محلی

سوئیس دارای یک مقام مستقل اختصاصی است: نماینده فدرال حفاظت از داده‌ها و شفافیت (PFPDT) مستقر در برن، که توصیه‌هایی صادر می‌کند و می‌تواند تحقیقات اولیه را آغاز کند.
کانتون‌های Vaud، Genève، فریبورگ و نوشاتل قوانین کانتونی خاص خود درباره حفاظت از داده‌ها دارند که برای نهادهای عمومی کانتونی قابل اعمال است. برای شرکت‌های خصوصی، nLPD فدرال مقدم است.
سوئیس فرانسوی‌زبان (Suisse romande) دارای چندین بازیگر متخصص در انطباق با nLPD و هوش مصنوعی است: دفاتر حقوقی تخصصی (به‌ویژه در Genève و Lausanne)، مشاوران حفاظت از داده و ارائه‌دهندگان فناوری که انطباق را از همان ابتدای طراحی ادغام می‌کنند.
بخش مالی سوئیس (بانک‌ها، بیمه‌ها، مدیریت ثروت) به‌ویژه در معرض تکالیف nLPD در زمینه هوش مصنوعی قرار دارد، با توجه به ماهیت حساس داده‌های پردازش‌شده و تصمیمات خودکار مکرر (امتیازدهی، تشخیص تقلب، مشاوره خودکار).
کنوانسیون چارچوبی شورای اروپا درباره هوش مصنوعی (که سوئیس آن را در ۲۷ مارس ۲۰۲۵ امضا کرد) اولین معاهده بین‌المللی الزام‌آور حقوقی درباره هوش مصنوعی است. تصویب آن توسط پارلمان سوئیس تعهدات رسمی اضافه‌ای ایجاد خواهد کرد.

پرسش‌های متداول

آیا LPD برای ابزارهای هوش مصنوعی مانند ChatGPT یا Copilot مورد استفاده در شرکت‌ها اعمال می‌شود؟

بله. به محض اینکه این ابزارها داده‌های شخصی اشخاص حقیقی قابل شناسایی (نام‌ها، ایمیل‌ها، اطلاعات مربوط به کارمندان یا مشتریان) را پردازش کنند، nLPD اعمال می‌شود. شرکتی که از این ابزارها استفاده می‌کند مسئول پردازش است. باید اطمینان حاصل کند که هدف مستند شده، افراد مطلع هستند و داده‌ها برای اهداف پیش‌بینی‌نشده توسط ارائه‌دهنده مورد استفاده مجدد قرار نمی‌گیرند. بررسی شرایط قراردادی ارائه‌دهنده ضروری است، به‌ویژه درباره موقعیت مکانی داده‌ها و استفاده مجدد برای آموزش مدل‌ها.

آیا شرکت من باید برای استفاده از هوش مصنوعی یک مسئول حفاظت از داده‌ها (DPO) معرفی کند؟

nLPD DPO را در همان شرایط RGPD اجباری نمی‌کند. با این حال، تعیین یا انتساب یک مسئول حفاظت از داده‌ها به شدت توصیه می‌شود به محض اینکه شرکت شما سیستم‌های هوش مصنوعی پردازش‌کننده داده‌های شخصی در مقیاس بزرگ یا داده‌های حساس را به‌کار می‌گیرد. این مسئول می‌تواند داخلی یا خارجی باشد (مشاور حقوقی، مشاور متخصص). نقش او: نظارت بر انطباق، انجام AIPD، مدیریت درخواست‌های افراد مربوطه و در صورت لزوم برقراری ارتباط با PFPDT.

AIPD چیست و در چه مواردی برای یک پروژه هوش مصنوعی اجباری است؟

تحلیل تاثیر بر حفاظت از داده‌ها (AIPD) یک ارزیابی مستند از خطراتی است که یک پردازش داده بر حقوق و آزادی‌های افراد مربوطه تحمیل می‌کند. تحت nLPD هنگامی اجباری است که پردازش احتمالا خطر بالایی داشته باشد: پردازش داده‌های حساس در مقیاس بزرگ، پروفایل‌سازی گسترده، تصمیمات خودکار با آثار قابل توجه، یا نظارت منظم. برای اکثر پروژه‌های بلندپروازانه هوش مصنوعی در سازمان‌ها (هوش مصنوعی منابع انسانی، امتیازدهی مشتری، تحلیل رفتاری)، AIPD لازم است. باید پیش از راه‌اندازی انجام شود.

آیا می‌توان یک مدل هوش مصنوعی را با داده‌های مشتریان یا کارکنان شرکت آموزش داد؟

بله، مشروط به شرایطی. ابتدا باید مبنای قانونی معتبری برای این پردازش جدید وجود داشته باشد (جمع‌آوری اولیه داده‌ها کافی نیست اگر هدف متفاوت بود). افراد مربوطه باید از این استفاده مطلع باشند. اگر داده‌ها حساس هستند، رضایت صریح یا مبنای قانونی قوی دیگری لازم است. موقعیت مکانی مدل تعیین‌کننده است: یک مدل میزبانی‌شده بر سرورهای خارج از سوئیس یا خارج از EEE مستلزم انتقال بین‌المللی داده‌هاست که مشمول ضمانت‌های اضافی می‌شود. مستندسازی این تصمیمات در دفتر ثبت پردازش ضروری است.

چه شیوه‌های هوش مصنوعی توسط nLPD ممنوع هستند؟

nLPD فهرست جامعی تعیین نمی‌کند اما PFPDT مشخص کرده است که برخی کاربردها با حقوق اساسی‌ای که این قانون از آنها حمایت می‌کند ناسازگار هستند: تشخیص چهره عمومی بلادرنگ در فضاهای عمومی، سیستم‌های امتیازدهی اجتماعی (social scoring) که به طور منظم رفتار افراد را ارزیابی می‌کنند، و هرگونه جمع‌آوری یا پردازش داده‌های بیومتریک یا حساس بدون مبنای قانونی محکم. قانون هوش مصنوعی اتحادیه اروپا که به صراحت برخی از این شیوه‌ها را ممنوع می‌کند، می‌تواند به طور غیرمستقیم برای شرکت‌های سوئیسی که داده‌های ساکنان اتحادیه اروپا را پردازش می‌کنند اعمال شود.

مجازات‌های نقض nLPD در زمینه هوش مصنوعی چیست؟

nLPD اشخاص حقیقی را مجازات می‌کند، نه مستقیما شرکت را. جریمه‌ها می‌توانند به ۲۵۰٬۰۰۰ CHF به ازای هر نقض برسند. مدیران، مسئولان فناوری اطلاعات و کارکنان درگیر به صورت شخصی در معرض خطر هستند. نقض‌های مجازات‌پذیرتر: عدم اطلاع‌رسانی به افراد مربوطه، عدم اطلاع از نقض داده، یا نقض قوانین مربوط به تصمیمات فردی خودکار. برای آغاز یک روند رسیدگی باید شکایتی تقدیم شود. خطر اعتباری اغلب نگران‌کننده‌تر از خود جریمه است.

آیا nLPD و RGPD به طور همزمان برای شرکت سوئیسی من اعمال می‌شوند؟

این بستگی به فعالیت شما دارد. اگر داده‌های ساکنان اتحادیه اروپا (مشتریان، شرکا، مشتریان بالقوه) را پردازش می‌کنید، RGPD برای آن پردازش‌ها اعمال می‌شود، صرف‌نظر از اینکه شرکت شما در سوئیس باشد یا نه. nLPD برای تمام پردازش‌های داده‌های افراد در سوئیس اعمال می‌شود. در عمل، بسیاری از شرکت‌های سوئیسی باید هر دو چارچوب را رعایت کنند. خبر خوب: هر دو به طور گسترده هم‌راستا هستند و یک سیاست انطباق خوب ساخته‌شده هر دو را پوشش می‌دهد، مشروط به در نظر گرفتن چند تفاوت (مجازات‌ها، DPO، مهلت‌های اطلاع‌رسانی).

آیا قانون هوش مصنوعی اروپایی برای شرکت‌های مستقر در سوئیس مرتبط است؟

قانون هوش مصنوعی اتحادیه اروپا مستقیما در سوئیس اعمال نمی‌شود، چرا که سوئیس عضو اتحادیه اروپا نیست. با این حال، اگر شرکت شما سیستم‌های هوش مصنوعی را در بازار اروپایی عرضه می‌کند، یا اگر سیستم‌های شما بر افراد در اتحادیه اروپا تاثیر می‌گذارند، قوانین قانون هوش مصنوعی ممکن است برای شما مرتبط باشد. علاوه بر این، سوئیس کنوانسیون شورای اروپا درباره هوش مصنوعی (مارس ۲۰۲۵) را امضا کرده است که تصویب آن تعهدات تکمیلی را معرفی خواهد کرد، به‌ویژه برای سیستم‌های هوش مصنوعی پرخطر.

چگونه یک ارائه‌دهنده هوش مصنوعی منطبق با nLPD را انتخاب کنیم؟

سه معیار اصلی: موقعیت مکانی داده‌ها (ترجیح به سرورهای در سوئیس یا اتحادیه اروپا/EEE برای جلوگیری از انتقال‌های بین‌المللی بدون قیود)، سیاست استفاده مجدد از داده‌ها (آیا ارائه‌دهنده از داده‌های شما برای آموزش مدل‌هایش استفاده می‌کند؟ اگر بله، با چه مبنای قانونی؟)، و شفافیت قراردادی (آیا ارائه‌دهنده می‌تواند دفتر ثبت پیمانکاران فرعی، DPA، ضمانت‌های امنیتی مستند به شما ارائه دهد؟). مدل‌های منبع باز مستقر بر زیرساخت شما یا یک زیرساخت اروپایی معمولا بهترین پاسخ را به هر سه معیار ارائه می‌دهند.

آیا nLPD برای مدل‌های هوش مصنوعی منبع باز مستقر در داخل سازمان اعمال می‌شود؟

بله. nLPD برای مسئول پردازش اعمال می‌شود، یعنی شرکت شما، صرف‌نظر از ماهیت مدل (منبع باز یا اختصاصی، میزبانی‌شده در داخل یا نزد ثالث). اگر مدل منبع باز شما داده‌های شخصی را پردازش کند، تمام تکالیف nLPD اعمال می‌شوند: اطلاع‌رسانی، به حداقل رساندن، امنیت، AIPD در صورت خطر بالا و غیره. مزیت منبع باز مستقر در داخل دقیقا این است که کنترل کامل بر داده‌ها را به شما می‌دهد و خطر انتقال ناخواسته به ثالث را از بین می‌برد.

پروژه‌ای هوش مصنوعی که داده‌های شما را رعایت کند؟

درباره مورد خود با ما صحبت کنید. ما با رعایت محل اقامت داده‌ها می‌سازیم.

درخواست دموی سفارشی

درباره تیم خود به ما بگویید و ظرف 24 ساعت با شما تماس خواهیم گرفت.

ما هرگز اطلاعات شما را به اشتراک نمی‌گذاریم. انتظار پاسخ ظرف 24 ساعت.

هوش مصنوعی و LPD/nLPD در سوئیس | پیامدهای آن (راهنما)