France — CNIL AI Action Plan & GDPR-AI Recommendations
CNIL(Commission Nationale de l’Informatique et des Libertés / 法国国家数据处理与自由 委员会)是法国独立的数据保护监管机构。自 2023-05 发布 AI 行动计划以来,系统性输出 AI × GDPR 的合规指引,是欧盟最活跃的 AI 数据保护监管之一。
四大工作支柱(2023 行动计划)
Section titled “四大工作支柱(2023 行动计划)”- 理解 AI 系统的工作原理和对个人的影响
- 促进和引导尊重隐私的 AI 发展
- 团结和支持法国和欧洲 AI 生态中的创新者
- 审计和监督 AI 系统 + 处理 GDPR 下的投诉
主要指引系列(2023-2025)
Section titled “主要指引系列(2023-2025)”2023-10 起:12 份实操指南
Section titled “2023-10 起:12 份实操指南”覆盖:
- AI 系统开发的合法基础(contract、legitimate interest、consent)
- 训练数据的 GDPR 合规(含网络抓取 / 合法利益评估 LIA)
- 开发者 / 提供者 / 部署者的角色划分(AI Act × GDPR 映射)
- DPIA(数据保护影响评估)模板
- 数据主体权利在 AI 场景下的实现(第 13-22 条)
2025-02-07:两份核心推荐
Section titled “2025-02-07:两份核心推荐”- “AI: Informing Data Subjects”(AI:告知数据主体)
- “AI: Complying and Facilitating Individuals’ Rights”(AI:合规与便利个人权利)
意义:明确 GDPR 适用于 AI 系统开发和部署全生命周期,不因 AI Act 而让位。
2025-2028 战略计划
Section titled “2025-2028 战略计划”持续工作重点:
- 行业专项指引(医疗、金融、就业、教育等)
- 合规评估工具
- AI 监管沙盒(参照 AESIA + UK ICO 模式)
具体执法 / 调查
Section titled “具体执法 / 调查”OpenAI / ChatGPT
Section titled “OpenAI / ChatGPT”CNIL 收到多起投诉,已立案调查(2023 起持续至 2026)。
因 OpenAI 主要营业地在爱尔兰,GDPR 主要执法归爱尔兰 DPC(Data Protection Commission)。 CNIL 仍可依 GDPR 第 60 条(一站式机制)参与调查,或对在法国的具体违法行为 直接执法(第 55 条第 2 款)。
Mistral / LightOn(法国公司)
Section titled “Mistral / LightOn(法国公司)”CNIL 对主要营业地在法国的 GPAI 提供者完全管辖。对 Mistral 的合规路径是 行业事实标准。
Clearview AI
Section titled “Clearview AI”CNIL 2022 年对 Clearview AI 罚款 €20M(人脸训练数据的 GDPR 合规)。 对人脸训练数据的态度是欧盟最严格之一。
与 AI Act 的分工
Section titled “与 AI Act 的分工”CNIL 与法国 AI Act 主管机构(预计由 DINUM — 法国数字总局 + ANSSI — 国家信息系统 安全局联合指定)形成并行体系:
| 场景 | 主管机构 |
|---|---|
| AI 系统的数据处理合规 | CNIL(GDPR) |
| AI 系统的产品合规(高风险) | 法国 AI Act MSA(未正式指定) |
| 两者叠加 | 合作机制待建立 |
2025-07-10 截止日,法国尚未完成 AI Act 国家主管机构指定(与德、意、西、奥等同样 未完成)。
对欧盟 GPAI 合规的影响
Section titled “对欧盟 GPAI 合规的影响”- 合法利益为训练数据合法基础:CNIL 在多份指引中明确接受,但要求严格 LIA
- 目的限制:CNIL 采相对灵活立场,认可训练目的可涵盖”AI 系统开发”的宽泛范围
- 数据主体权利(删除、访问):要求AI 系统设计阶段即考虑(privacy by design)
对比意大利 Garante:CNIL 更建设性(引导合规),Garante 更对抗性(快速封禁)。
与美国 / 中国的对比
Section titled “与美国 / 中国的对比”- 美国:无联邦数据保护法,州层拼图;AI 数据合规靠民事诉讼
- 中国:PIPL + CAC 备案 + TC260-003,准入管制主导
- 法国 CNIL:合规引导 + 强执法,GDPR 是基线,AI Act 为辅
| 来源 | 链接 |
|---|---|
| CNIL AI 行动计划(2023) | cnil.fr/en/artificial-intelligence-action-plan-cnil |
| 2025-02 两份核心推荐 | cnil.fr/en/ai-cnil-finalises-its-recommendations |
| AI Act 首批问答(CNIL) | cnil.fr/en/entry-force-european-ai-regulation-first-questions |
| AI × GDPR 新建议 | cnil.fr/en/ai-and-gdpr-cnil-publishes-new-recommendations |
| Hunton Andrews Kurth 解读 | hunton.com/…/cnil-publishes-recommendations-on-ai |
| Bird & Bird 法国 AI Tracker | twobirds.com/…/france-ai |
| 日期 | 事件 |
|---|---|
| 2023-05-16 | CNIL 发布 AI 行动计划 |
| 2023-10 起 | 12 份实操指南陆续发布 |
| 2024-08-01 | EU AI Act 生效,CNIL 发布首批问答 |
| 2025-02-07 | 两份核心推荐(Informing + Complying) |
| 2025-2028 | 五年战略计划 |