Применение искусственного интеллекта (ИИ) приносит компаниям миллиарды рублей. "Сбер" зарабатывает 6,7 руб. с каждого потраченного на ИИ рубля, сказал первый зампред банка Александр Ведяхин. При этом обучение моделей нейросетей требует больших данных, которые зачастую формируются обезличенными данными. Власти уже несколько лет обсуждают необходимость приравнять их к персональным данным, поскольку с применением технологий информацию можно деобезличить. Юристы рассказали, как развивалось регулирование отрасли и какие препятствия сохраняются.
С чего все началось
С развитием информационных технологий выросло значение персональных данных (ПД). По мере появления инструментария для сбора и обработки Big Data (больших данных) в конце 2000-х гг. увеличилась роль социальных сетей, истории поисковых запросов, интернета вещей, систем аудио- и видеонаблюдения, данных о местонахождении абонентов сотовой связи и т. д. в качестве источника неструктурированной и разнородной информации.
Анализируя большие данные, компании смогли предлагать гражданам в интернете и через СМС или push-сообщения скидки и специальные предложения в момент нахождения рядом с торговой точкой. Возникло множество маркетинговых инструментов для повышения продаж с помощью BigData. Граждане также выиграли: им стали показывать меньше рекламы, вызывающей раздражение, и больше продуктов, которые их заинтересуют.
Вместе с тем обострились риски, которые несет использование ПД. Получив данные паспорта, информацию о родственниках, контакты гражданина, мошенники могут с помощью социальной инженерии заставлять людей переводить им деньги. Существует линейная зависимость: чем больше данных у злоумышленников, тем выше их шанс на успех. Отчасти поэтому российские парламентарии в 2006 г. приняли закон, обязавший организации и компании, обрабатывающие данные, соблюдать меры безопасности для их защиты от несанкционированного доступа и потери.
Регулировали и зарегулировали
Хотя 152-ФЗ приняли еще 17 лет назад, реально работать он начал с 2016 г., когда Роскомнадзор наделили полномочиями по контролю за его исполнением. Впрочем, развитие регулирования ПД начало вызывать обеспокоенность у крупных корпораций только к 2018 г.
"Ограничивать сегодня доступ к данным, как пытаются делать очень многие, наверное, совершенно бессмысленно. Сегодня весь мир бьется в попытке найти "золотое правило" регулирования персональной информации. И, наверное, здесь нужно идти от обратной ситуации: не пытаться все отрегулировать, а сделать только те исключения, которые не позволяют теневому рынку и злоумышленникам использовать во вред данные. И это сделать значительно проще, чем пытаться погрузить все это в какую-то гигантскую регулятивную среду, которая в конце концов просто затормозит весь процесс развития", ‒ сказал президент Сбербанка Герман Греф на Sberbank Data Science Day еще в ноябре 2018 г.
По словам главы банка, компании, которые располагают данными клиентов, должны нести повышенную ответственность. "[Она] должна заключаться в том, чтобы создавать максимальное количество закрытых на многие замки тем, которые касаются наших клиентских данных", ‒ пояснил Греф.
Однако в 2020 г. правительство внесло на рассмотрение в Госдуму законопроект, регламентирующий политику обработки обезличенных данных. Согласно тексту, оператору запрещено использовать какую-либо дополнительную информацию, которая помогает определить принадлежность персональных данных конкретному субъекту. Также нельзя будет в дополнение к обезличенным данным передавать третьим лицам информацию, которая позволит идентифицировать конкретного человека. Под запретом окажется деобезличивание данных, за исключением тех случаев, когда необходимо защитить жизнь или здоровье человека.
Замминистра цифрового развития Олег Иванов тогда заявил, что новые требования к обращению обезличенной информации вызваны тем, что уже сейчас доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека: "Обезличивание и анонимизация - разные понятия. Деобезличивание - обратимая вещь", ‒ уточнил он.
Согласно законопроекту, использовать обезличенные персональные данные без согласия можно будет только в исследовательских и статистических целях, уточнили в Минцифре.
Однако законопроект завис в Госдуме после первого чтения, встретив сопротивление со стороны крупнейших компаний, которые не согласились с предложенным вариантом регулирования.
В рамках международной конференции "Путешествие в мир искусственного интеллекта 2022" "Сбербанк" пригласил к участию президента Владимира Путина, которому рассказали, как важно сохранить доступ к обезличенным данным и почему без этого нельзя сохранить глобальную конкуренцию в развитии ИИ. По итогам конференции Путин поручил ускорить работу над поправками, регулирующими доступ к обезличенным данным.
Впрочем, законопроект до сих пор не прошел второе чтение. Вопрос вновь поднимался летом на совещании президента с членами правительства, а 6 сентября 2023 г. Путин утвердил перечень поручений. Законопроект должен быть принят до конца текущего года.
Не вариант
Недавно компании раскритиковали идею собирать персональные данные клиентов без их согласия в единую государственную информационную систему (ГИС) для последующей работы с ними разработчиков сервисов на базе ИИ. Об этом говорится в письме Сбербанка, МТС, "Вымпелкома", "Мегафона", "Яндекса" и Avito в правительство на имя вице-премьера Дмитрия Чернышенко от 2 августа 2023 г.
"Создание единой государственной системы персональных данных потребует существенных государственных затрат. Для этой ГИС нужна инфраструктура такой сложности и масштаба, аналогов которой сейчас нет даже среди государственных информационных систем", ‒ говорится в письме. Создание единой ГИС приведет к стагнации рынка решений с использованием ИИ и отставанию России от других стран в части разработки и применения передовых технологий, уверены его авторы.
Бизнес просит свободный доступ к обезличенным данным без получения отдельного согласия на обработку ПД. Если же создавать единую информационную систему, то надо использовать в ней информацию, собранную государством, считает бизнес. Сами же компании предлагают делиться только той персональной информацией, которая нужна для обеспечения безопасности, в том числе для защиты от ЧС или санитарно-эпидемиологического благополучия населения.
Власти на это отвечают, что ГИС нужна для защиты данных от деобезличивания. Минцифры прорабатывает "доступ к наборам данных в закрытом контуре". В ведомстве полагают, что такой формат работы с дата-сетами ускорит развитие ИИ в России.
"Сейчас в России пока не принят закон, регулирующий обращение с обезличенными ПД в негосударственном секторе, ‒ уверена юрист практики защиты персональных данных Адвокатского бюро ЕПАМ Елена Квартникова. ‒ Как следствие, недостаточная защита ПД и препятствие для эффективного использования Big Data".
Как менялось регулирование ПД в России
Поводом для принятия закона о защите персональных данных (ПД) стала необходимость устранения барьеров в международной торговле со странами Евросоюза: осуществлять обмен ПД возможно только между государствами, способными обеспечить соответствующую защиту передаваемой и получаемой информации. В 2006 г. Россия приняла 152-ФЗ "О персональных данных", который установил основные правила по сбору, хранению и обработке ПД россиян. С тех пор его изменяли 26 раз. Так, в 2011 г. существенно переработали вопросы трансграничной передачи ПД, меры по обеспечению безопасности ПД при их обработке, права и обязанности оператора, взаимоотношения оператора и субъекта ПД. На следующий год прошла либерализация и компаниям разрешили обеспечивать различный уровень безопасности в зависимости от вида ПД, типа актуальных угроз, количества обрабатываемой информации. В 2014 г. базы, хранящие информацию о россиянах, локализовали. С тех пор данные должны сохраняться только на серверах, которые расположены на территории России. Зарубежные дублирующие базы данных или их копии запрещены.
Однако до 2016 г. ни один государственный орган не отвечал за контроль соблюдения 152-ФЗ. Эти полномочия закрепили за Роскомнадзором, ранее среди множества функций административные дела могла возбуждать прокуратура. В случае нарушений ведомство может штрафовать организации. В 2019 г. рост утечек информации и их распространение онлайн вынудило власти разрешить блокировку сайтов, нарушивших закон о ПД. В этом же году биоматериалы, содержащие генетический код, признали ПД. Использовать их можно только с письменного согласия гражданина. Также подняли максимальные штрафы за нарушение до 18 млн руб., а при повторных нарушениях они будут еще значительнее. В 2021 г. вступил в силу запрет на распространение ПД неограниченному кругу лиц, например, социальные сети без разрешения не могут обезличивать и продавать информацию. В 2022 г. ужесточились правила трансграничной передачи ПД.
В мире персональных данных
Мировой опыт законодательного регулирования оборота персональных данных можно условно разделить на две модели: американскую и европейскую, пояснил руководитель дирекции юридической фирмы VEGAS LEX Кирилл Никитин.
По его словам, в американской модели отсутствует единый свод правил, а регулирование осуществляется на уровне отрасли. При этом степень регулирования государственного и частного секторов значительно отличается. Также в США нет единого органа по защите ПД, но для многих случаев контролирующую функцию осуществляет Federal Trade Commission (Федеральная торговая комиссия). Отсутствуют и требования по регистрации или уведомлению обработки ПД.
Для европейской модели характерно, наоборот, установление единого регулирования и наличие мегарегулятора (Еврокомиссия), обладающего всеми необходимыми полномочиями, продолжил Никитин.
Для российской отрасли ИИ наиболее интересен европейский опыт. Дело в том, что при разработке действующего российского законодательства о персональных данных за основу была взята именно Директива Европейского союза № 95/46/EC от 1995 года, указал Никитин.
Летом 2018 г. вступил в силу Регламент № 2016/679 Европейского Парламента и Совета Европейского Союза (Общие правила защиты данных)", или "Общий регламент о защите персональных данных/ЕС" (General Data Protection Regulation ‒ GDPR), заменивший собой действовавшую с 1995 г. Директиву ЕС № 95/46/EC.
Основной новеллой GDPR стало введение оборотных штрафов за нарушение законодательства о защите персональных данных ‒ до 20 млн евро, или 4% от мирового годового оборота за финансовый год. Кроме того, GDPR распространяется не только на резидентов ЕС, но и на третьих лиц, например, в случаях, когда компания обрабатывает персональные данные граждан ЕС, независимо от ее местонахождения.
Многие российские компании, работающие с ЕС, вынуждены соблюдать требования GDPR, и аналогичные изменения в отечественном регулировании уже не будут для них чем-то неожиданным.
Существующий в России подход к обработке данных, полученных в результате обезличивания ПД, соответствует концепции "псевдонимизации персональных данных" в европейском регулировании: если обезличенные данные являются обратимыми, т. е. могут быть возвращены к исходному состоянию, то они относятся к категории информации, которая может косвенно определить лицо, и, следовательно, являются ПД, считает Квартникова.
Причем GDPR различает "псевдонимизацию", под которой понимается такая обработка ПД, что их нельзя отнести к определенному лицу без использования дополнительной информации, и "глубокое обезличивание", когда полностью утрачивается связь с физическим лицом. В первом случае можно восстановить связь между данными и конкретным человеком, а во втором нет, пояснила эксперт.
В мире сейчас накоплен большой опыт регулирования ИИ, отметил Греф. По его словам, ситуация такова, что те страны, которые к этому вопросу подходят осмотрительно, взвешенно и "мудро", получают бум в развитии искусственного интеллекта. В случае опережающего регулирования ИИ страны становятся "пустыней" с точки зрения привлекательности для компаний и специалистов в области ИИ, заявил Греф на ВЭФ-2023.
"Если их [правовые условия] еще немножко подрегулировать, то, я боюсь, с мечтой оставаться в числе лидеров области ИИ нам придется расстаться", - признал Греф.