Особенности обработки персональных данных при использовании искусственного интеллекта. Мировой опыт
Иллюстрация: Dmitry Demidovich/shutterstock
Вопросы защиты персональных данных и охраны интеллектуальной собственности при обучении и использовании ИИ, напрямую затрагивающие личные права граждан, критически важны для безопасного развития технологии и ее внедрения в жизнь общества. Мнение юриста о том, как регулируется отрасль ИИ и обеспечивается безопасность данных на рынках разных стран.
Сфера регулирования ИИ, к сожалению, сегодня развита слабо во всем мире.
Один из немногих действующих нормативных актов — Регламент ЕС 2024/1689, также известный как «Закон об искусственном интеллекте», направленный на гармонизацию регулирования технологии. Ряд нормативных актов действует в КНР: законы о безопасности данных и о защите персональных данных с поправками о регулировании ИИ от 2021 года, а также ряд актов Государственной канцелярии интернет-информации КНР, в частности, Положение о временных мерах по управлению генеративными системами искусственного интеллекта.
Содержание:
Евросоюз
Необходимо сказать несколько слов о Регламенте ЕС 2024/1689, поскольку это один из самых полных нормативных актов в данной сфере на сегодняшний день. Первая часть требований этого закона вступила в силу 2 февраля 2025 года, отдельные части регламента, как планируется, начнут действовать в августе 2025 года, августе 2026 года и августе 2027 года. Регламент разделяет все виды искусственного интеллекта на четыре основных категории:
запрещенный ИИ затрагивает самые уязвимые или самые важные сферы общественной жизни (дипфейки; системы предупреждения правонарушений, например, по аналогии с ИИ из фильма «Особое мнение»);
высокорисковый ИИ хотя и допускается на рынок, но подлежит особому контролю в связи с определенной уязвимостью данных, которые им обрабатываются, и последствиями использования ИИ для населения;
ИИ общего назначения (фактически генеративные ИИ);
генеративный ИИ с системным риском – тот генеративный ИИ, для работы которого потребляются вычислительные мощности свыше пороговых значений.
В зависимости от категории, к которой относится конкретный ИИ, к оператору такого ИИ и к организации его деятельности предъявляются разные требования. Например, к операторам генеративного ИИ — требования по раскрытию технической информации о работе ИИ и по необходимости размещения меток о контенте, созданном с помощью ИИ. Для операторов высокорискового ИИ — к соблюдению особых технических требований, внедрению систем риск-менеджмента и размещению полной технической документации об ИИ.
В отношении обработки персональных данных с помощью ИИ также устанавливаются особые правила регулирования. В частности, прямо указывается, что ИИ может обрабатывать персональные данные, только если человек дал на это разрешение, или если цель использования данных совпадает с той, для которой данные были собраны. Это уточнение является примером специальной реализации принципа целевой обработки персональных данных применительно к ИИ. В остальном к использованию персональных данных применяются те же нормы, которые применимы и к другим случаям их обработки.
Одним из важнейших правил, которые характерны именно для обработки персональных данных ИИ, являются правила относительно автоматизированного принятия решения. Так, Общий регламент защиты персональных данных (Постановление Евросоюза 2016/679) прямо запрещает любое автоматизированное принятие решений на основе обработки персональных данных, если таковое вызывает для него юридические последствия (т.е. возникновения юридических прав, обязанностей и/или ответственности) или иным существенным образом влияют на него. При автоматизированном принятии решений именно ПО, в т.ч. ИИ, принимает решение на основании обработки персональных данных субъекта. Например, решение о найме на работу, решение о выдаче кредита и иные подобные решения. В таких случаях ИИ не может быть использован для принятия итогового решения. Он лишь может дать результаты своего анализа, которые человек изучает и, опираясь в том числе на эти результаты, принимает решение.
Возможность полной автоматизации процессов, которые затрагивают юридические права и обязанности человека ограничивается. Из указанного правила есть несколько исключений, например, получение прямого выраженного согласия человека на принятие в отношении него такого автоматизированного решения, или если это требуется для заключения договора с человеком.
Китай
В Китае параллельно существует две концепции регулирования ИИ: для государства и для бизнеса. Несмотря на то, что в КНР полноценного регулирования, аналогичного регламенту ЕС все еще нет, тем не менее, законодательство в этой области развивается почти 10 лет. Все началось с разработки и утверждения в 2017 году документа под названием «План развития искусственного интеллекта следующего поколения», который установил курс Китая на активное развитие технологии.
План предусматривал три основных этапа развития ИИ:
до 2020 года — обеспечение возможности КНР конкурировать на международном рынке ИИ;
до 2025 года — теоретическое и практическое внедрение ИИ в китайскую экономику;
к 2030 году — достижение лидерства КНР на глобальном рынке ИИ.
«Закон о безопасности данных Китайской Народной Республики»(DSL), вступивший в силу с 1 сентября 2021 года, и основанный на «Законе Китая о кибербезопасности» и «Законе Китая о защите данных», направлен на обеспечение безопасности данных в сфере ИИ. Однако носит, скорее, административный характер, устанавливая дополнительное полномочие компетентных органов в сфере учета требований к ИИ для целей законов. Вступившие в силу 15 августа 2023 года «Временные меры по управлению сервисами генеративного искусственного интеллекта» — наиболее полный документ, регламентирующий технические аспекты использования ИИ. Он уделяет особое внимание порядку работы с данными для тренировки ИИ, в том числе с персональными данными. Документ устанавливает, что оператор ИИ является оператором персональных данных, и, соответственно, несет все предусмотренные законом обязанности в отношении них. В частности, оператор ИИ обязан получить прямое согласие физического лица на обработку его данных искусственным интеллектом, обеспечить минимально возможный доступ ИИ к персональным данным, а также обеспечить возможность физических лиц управлять своими данными, включая их изменение или удаление.
Отдельно стоит отметить существующие в КНР государственные системы рейтинга граждан, которые основаны на обработке биометрических данных государственным ИИ. На такой ИИ не распространяются общие требования, описанные выше, так как в роли оператора данных выступает государство, и оно же устанавливает правила игры.
Россия
В России, несмотря утвержденную на срок до 2030 года Национальную стратегию развития ИИ и планы войти в число мировых лидеров по развитию технологии, полноценного регулирования искусственного интеллекта на текущий момент не существует. Действующее законодательство может применяться по аналогии к отношениям, связанным с обучением и использованием ИИ. Цифровые двойники в строительстве. Эффективность, проблемы и перспективы Модульные ЦОДы. Как быстро масштабировать вычисления? Конструктор криптообменников: революция в мире обмена криптовалют?
Стоит отметить, что приняты отдельные программы экспериментально-правовых режимов (ЭПР). В их рамках государство позволяет бизнесу тестировать технологии ИИ с определенными послаблениями из действующего законодательства, чтобы оценить их потенциальное негативное воздействие на общество и определить правовые механизмы для снижения рисков и уровня такого воздействия.
На текущий момент установлено 14 различных ЭПР. 12 из них связано с транспортом. Еще два — с медициной: «Персональные медицинские помощники» и «Сбор и обработка сведений о состоянии здоровья и диагнозы граждан». И именно в рамках этих двух и уделяется внимание персональным данным при их обработке искусственным интеллектом. Программы этих двух ЭПР устанавливают специальное регулирование в отношении обработки персональных данных медицинскими организациями, которые в рамках ЭПР тестируют использование ИИ, а также самими разработчиками подобного ИИ.
Стоит отметить, что речь идет об особых категориях персональных данных граждан – о состоянии здоровья, заболеваниях, группе крови и пр. Перед загрузкой данных в систему ИИ медицинские организации обязаны обезличить такие данные и присвоить им специальный идентификатор. С помощью этого идентификатора организация сможет сопоставить полученные в результате работы ИИ данные с данными конкретных пациентов. Благодаря такому механизму обеспечивается достаточно высокий уровень защиты персональных данных при их попадании в систему ИИ. Это позволит обеспечить невозможность идентификации с помощью ИИ конкретного субъекта персональных данных. В этом случае идентификацию может провести только сама медицинская организация, которая осуществила обезличивание данных.
С юридической точки зрения между медицинской организацией и оператором системы ИИ заключается договор поручения на обработку персональных данных, помимо собственно договора на использование системы ИИ. В рамках договора медицинская организация, будучи оператором персональных данных, передает данные своих клиентов оператору системы ИИ в обезличенном формате. Оператор, в свою очередь, обрабатывает их для целей и в порядке, определенными медицинской организацией. Ответственность за обработку в полной мере несет медицинская организация, тогда как оператор системы ИИ несет договорную ответственность за корректную обработку обезличенных персональных данных перед медицинской организацией.
Отдельным вопросом, которому уделено внимание в рассматриваемых ЭПР, является необходимость использования средств криптографической защиты информации, одобренных ФСБ и ФСТЭК. Положения носят общий руководящий характер, не добавляя какого-либо специального регулирования относительно действующего законодательства. На медицинские организации государство возлагает обязанности по обучению сотрудников правилам работы с персональными данными, правилам их обезличивания и хранения. Это позволит минимизировать риски утечки персональных данных при их обработке ИИ, риски возникновения утечек персональных данных при их передаче в систему ИИ и использовании ИИ для предоставления определенных информационных результатов.
Искусственный интеллект в финтехе: как подстроиться под эмоции клиента
Еще одним актом, который косвенно связан с регулированием ИИ в РФ, является «Кодекс Этики в сфере ИИ», разработанный Альянсом в сфере искусственного интеллекта. Цель Кодекса — установить определенные рамки дальнейшего развития данной сферы и объединение участников рынка ИИ в единую саморегулируемую организацию. Фактически, это декларация, где перечислены основные принципы при создании и использовании ИИ, которых участникам рынка желательно придерживаться. Например, человеко-ориентированный и гуманистический подход, уважение автономии и свободы воли человека, соответствие ИИ закону, недискриминация, оценка рисков и гуманитарного воздействия, ответственное отношение при использовании ИИ, обеспечение идентификации ИИ в общении с человеком, безопасность работы с данными и информационная безопасность, сотрудничество разработчиков, достоверность информации об ИИ и ряд других. Читайте также
Вышло глобальное обновление системы централизованного управления РЕД АДМ Промышленная редакция 2.0 РЕД АДМ Промышленная редакция получила глобальное обновление. Появилась поддержка многоуровневых доменных инфраструктур с возможностью выстраивать транзитивные доверительные отношения, расширен состав подсистем и партнерских интеграций. Функционал, ранее доступный только пользователям Microsoft Active Directory, появился в обновлении 2.0.
В перспективе такой подход, объединив наиболее крупных игроков ИИ-рынка, позволит выработать стандарты отношений в этой сфере, и обеспечить госорганы достаточными практическими рекомендациями по регулированию ИИ в целях установления понятного, но при этом справедливого и не мешающего осуществлять развитие технологий, регулирования.
Отечественный законодатель уже сейчас предпринимает шаги для регулирования искусственного интеллекта, в том числе в части установления особых правил обработки персональных данных. Однако регулирование пока находится в зачаточном состоянии и распространяется только на отдельных субъектов ЭПР. Для всех остальных участников применяются общие правила по обработке персональных данных, предусмотренные ФЗ-152, включая правила о локализации хранения таких данных на серверах в РФ.
Буквально на днях прошла информация о том, что в Госдуме РФ заработала межфракционная группа. Она должна определить потребности всех заинтересованных в регулировании технологии сторон, от малого и среднего бизнеса до государственных структур, и заняться разработкой законодательной базы для регулирования ИИ. Новые законы должны охватить вопросы этики, безопасности, технологического развития и стратегического применения ИИ в экономике и обороне, и учитывать национальные интересы.
В ближайшие пару лет ожидаем установления уже полноценного регулирования сферы ИИ, за основу которого можно взять отдельные положения действующих программ ЭПР, а также наиболее актуальные практики из европейского Регламента по ИИ.
Журнал IT News
Денис Поляковруководитель практики «Цифровая экономика» юридической компании GMT LegalИскусственный интеллект AIГенеративный искусственный интеллектЭкономика данных