Как подружить искусственный интеллект и закон о персональных данных?

Дата: 11.06.2025 16:42
Как подружить искусственный интеллект и закон о персональных данных?

Мы спросили ChatGPT что ждет индустрию искусственного интеллекта в 2025 году и получили такой ответ:

“Ожидается рост количества жалоб в органы по защите данных, связанных с использованием ИИ, особенно в сферах автоматизированного принятия решений.”

Это подчеркивает важность для компаний, разрабатывающих и использующих ИИ, уделять внимание соблюдению требований GDPR, особенно принципам прозрачности и справедливости.

GDPR юристы из Stalirov&Co составили гайд о том, как ИИ продуктам уже сегодня готовиться к повышенному вниманию регуляторов и выполнить требования GDPR. Здесь вы найдете шаги, которые помогут вашему ИИ-продукту избежать штрафов и проблем с регуляторами.

1. Делаем ИИ понятным для GDPR

Прежде чем использовать персональные данные в ИИ-системе, четко определите правовую основу для этого. Это может быть согласие пользователя, исполнение контракта, законный интерес компании или юридическое обязательство.

Например, если ваш AI-продукт использует данные о местоположении для персонализации рекомендаций, вы должны получить явное согласие пользователя на такую обработку. Согласие должно быть свободным, конкретным, информированным и однозначным.

Будьте прозрачны в отношении использования данных. Предоставьте пользователям четкую и понятную информацию о том, какие данные собираются, как они используются, с какой целью, кто имеет к ним доступ и как долго они будут храниться.

В Политике конфиденциальности вашего ИИ-продукта опишите, какие типы данных (текст, изображения, поведение пользователя) используются для обучения модели и для предоставления услуг, а также объясните логику работы основных ИИ-функций на понятном языке.

Обеспечьте справедливость алгоритмов. Стремитесь к тому, чтобы ваши ИИ-алгоритмы не были предвзятыми и не приводили к дискриминационным результатам. Регулярно проверяйте модели на наличие предубеждений и принимайте меры для их устранения.

Если ваш AI-продукт используется для оценки кредитоспособности, проведите GDPR анализ https://stalirov.lawyer/services/gdpr-compliance и убедитесь, что модель не дискриминирует определенные группы населения по признакам расы, пола или возраста. Используйте разнообразные и репрезентативные наборы данных для обучения.

 

2. Собираем минимум данных для конкретного результата

Собирайте и обрабатывайте персональные данные в ИИ-системе только для конкретных, легитимных целей, про которые знают пользователи. Кроме этого, собирайте только тот объем персональных данных, который необходим для функционирования продукта и достижения заявленных целей.

К примеру, когда AI-модель обучается на текстовых данных пользователей для улучшения работы чат-бота и предоставления более релевантных ответов, эти же текстовые данные не должны использоваться для создания таргетированной рекламы, основанной на анализе личных тем обсуждений, без явного информирования пользователей об этой дополнительной цели и получения их согласия. 

 

3. Учим ИИ забывать вовремя

Установите четкие сроки хранения персональных данных ИИ-системой, и соблюдайте их. Удаляйте данные, если они больше не нужны для достижения определенных целей.

Например, данные об истории поисковых запросов пользователя в AI-системе могут храниться в течение определенного периода для улучшения релевантности результатов, но по истечении этого периода они должны быть анонимизированы или удалены.

4. Обеспечиваем целостность и конфиденциальность

Внедрите технические и организационные меры, такие как шифрование, контроль доступа, аудит безопасности.

Если ваш AI-продукт обрабатывает чувствительные персональные данные (например, медицинские), используйте сквозное шифрование и многоуровневую аутентификацию для защиты доступа к этим данным.

5. Обеспечиваем реализацию прав субъектов данных

В соответствии с GDPR важко гарантировать пользователям такие права:

 

  • Право на информацию: легкий доступ к информации об обработке их персональных данных.
  • Право на исправление: возможность требовать исправления неточных персональных данных.
  • Право на удаление ("право быть забытым"): возможность требовать удаления персональных данных.
  • Право на ограничение обработки: возможность требовать ограничения обработки персональных данных.
  • Право на переносимость данных: возможность получать свои персональные данные в структурированном и машиночитаемом формате и передавать их другому контролеру.
  • Право на возражение против обработки персональных данных, в частности для целей прямого маркетинга и профилирования.
  • Право не быть объектом решения, основанного исключительно на автоматизированной обработке, которое имеет юридические последствия или существенно влияет на них. Предоставьте возможность получить пересмотр такого решения человеком и выразить свое мнение.

 

Примером автоматизированной обработки будет автоматическое отклонение онлайн-заявки на кредит на основе скоринговой модели ИИ.

Чтобы выполнить требования GDPR, нужно предупредить пользователей о том, что решение принимается автоматизировано, раскрыть логику работы алгоритма и потенциальные последствия такой обработки. Кроме этого, предоставьте возможность связаться с представителем компании для пересмотра решения и предоставить дополнительную информацию.

6. Ведем документацию и регулярно проводим DPIA

Храните подробную документацию о процессах обработки персональных данных и проводите оценку воздействия на защиту данных (DPIA). 

Юристы, которые предоставляют GDPR услуги, уточнили: “Если ваша ИИ-система представляет высокий риск для прав пользователей, вы обязаны провести DPIA для оценки этих рисков и принять меры для их уменьшения.”

Например, приложение для онлайн-знакомств планирует внедрение ИИ-алгоритма с целью автоматизированного подбора потенциальных партнеров для пользователей. Такой алгоритм будет анализировать значительный объем персональных данных, включая предпочтения, поведенческие паттерны в приложении и эмоциональную тональность переписки.

Перед запуском такого функционала нужно провести DPIA, чтобы оценить следующие риски:

  • Потенциальная дискриминация. Проверьте нет ли у алгоритма скрытых предубеждений, которые могут привести к неравномерному или несправедливому подбору партнеров для различных групп пользователей.
  • Влияние на автономию принятия решений в личной сфере. Оцените степень влияния автоматизированных рекомендаций на самостоятельность пользователей в процессе формирования личных отношений.
  • Прозрачность алгоритма подбора. Определите уровень понимания пользователями принципов работы алгоритма и факторов, влияющих на предлагаемые совпадения.

Подготовка ИИ-продуктов к повышенному вниманию регуляторов и выполнение требований GDPR – это непрерывный процесс, требующий внимания на каждом этапе разработки и внедрения. Помните, что ответственный подход к обработке персональных данных - это ключ к устойчивому и этическому развитию искусственного интеллекта.

Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co

штучний інтелект
реклама
персональні дані

 

Реклама на сайті

 

Поради Юриста

 

знайди близьких

 

Реклама

 

ПРАВОВА ДОПОМОГА

БПД
Правова допомога

 

Правова допомога

 

Газета ПОРАДИ ЮРИСТА

 

1

 

https://pro.drc.ngo/

 

ААУ

 

Ліга Закон

 

ActiveLex

 

 

Світ документів

 

работа