Hvorfor AI-inference har brug for en DPA
Når din applikation sender en prompt til et inference-API, indeholder den prompt ofte persondata - navne, e-mails, support-tickets, medicinsk eller juridisk tekst. Under GDPR er du controller, og inference-udbyderen er processor, der handler på dine instrukser, og artikel 28 kræver, at dette forhold reguleres af en skriftlig kontrakt: DPA'en. Uden en sådan har det ingen lovlig hjemmel på behandlingssiden at sende persondata til udbyderen - uanset hvor god udbyderens sikkerhed er.
En DPA er derfor en af de første ting, en enterprise- eller reguleret køber tjekker - "tilbyder I en DPA, vi kan underskrive?" er et knock-out-spørgsmål i de fleste indkøbs- og sikkerhedsgennemgange. En udbyder, der ikke kan fremlægge en ordentlig artikel-28-DPA, kan ikke bruges til noget, der berører persondata, hvilket udelukker den fra de fleste seriøse EU-deployments.
Hvad en DPA skal dække
Artikel 28 fastlægger, hvad aftalen skal indeholde. Processoren skal: kun behandle persondata på controllerens dokumenterede instrukser; sikre, at alle med adgang er bundet af fortrolighed; implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger; ikke antage sub-processors uden godkendelse og videreføre de samme forpligtelser til dem; bistå controlleren med de registreredes rettigheder og anmeldelse af brud; og slette eller returnere dataene ved tjenestens ophør.
Sub-processor-klausulen er dér, hvor suverænitet og DPA'en mødes. Hver part i kæden, der kan berøre dataene - datacentret, enhver managed-service- eller hardware-leverandør med adgang - er en sub-processor, der skal navngives og bindes. Derfor betyder transparens noget: en DPA er kun så stærk som ærligheden i dens sub-processor-liste, og en udbyder under fremmed jurisdiktion kan stadig tvinges til at udlevere, selv med en underskrevet kontrakt.
DPA'en hos Infercom
Infercom tilbyder en GDPR-artikel-28-Data Processing Agreement, du kan underskrive, til enterprise-kunder, understøttet af et EU-driftsselskab og EU-behandling. Vores sub-processors og certificeringer er transparent oplistet i vores Trust Center, herunder hvor en komponent - såsom hardware-leverandøren - sidder uden for EU, så du kan vurdere hele kæden frem for et mærkat. En DPA plus EU-jurisdiktion er det, der forvandler "dine data bliver i EU" fra en markedsføringsfrase til en kontrakt, du kan holde os op på.
Kilder
Relaterede begreber
GDPR for AI-inference
Hvad Europas databeskyttelseslov kræver, når dine prompts indeholder persondata - en lovlig hjemmel, en processor-aftale og behandling, der forbliver inden for EU-rettens rækkevidde.
Data Residency
Hvor dine data fysisk lagres og behandles - en nødvendig del af suverænitet, men ikke det samme som kontrol over, hvem der lovligt kan få adgang til dem.
Zero Data Retention (ZDR)
Når en inference-udbyder ikke gemmer dine prompts eller outputs efter at have betjent en forespørgsel og aldrig træner på dem - din dataeksponering skrumper til selve behandlingsøjeblikket.
Inference
At køre en trænet AI-model for at producere output - AI's produktionsworkload, og den hvor omkostning og hastighed forstærkes med brugen.
Se hvordan EU-jurisdiktion, Data Residency og en DPA, du kan underskrive, spiller sammen på vores EU-suveræne AI-platform - kontrol, du kan holde os op på, ikke et mærkat.