Центр четвертой промышленной революции в России провел дискуссию «Изменение подходов к обороту персональных данных». Поводом для обсуждения послужил доклад Всемирного экономического форума. Документ дает представление о возможных путях развития отрасли и почву для дискуссий в экспертной среде.
К обсуждению документа организаторы пригласили авторов документа. Так, руководитель «Проекта в области политики данных» Всемирного экономического форума Энн Жозефина Фланаган рассказала о главной проблеме, с которой сталкиваются пользователи Интернета и других технологий.
Условия и положения использования некоторых цифровых решений подразумевают дачу согласия на использование данных пользователей. Такая документация представлена на нескольких страницах, что далеко от идеала. Не каждый пользователь будет изучать объемные документы. Перед нами стояла задача: изучить ограничения и их важность, возможно, изменения подходов к конфиденциальности данных. Над документом работало более ста экспертов по всему миру: из госорганов, правительств, университетов, гражданского общества, компаний и т. д.
В итоге эксперты, работающие над докладом, выделили девять решений/идей, которые могут иметь различную степень актуальности в разных странах и в разных условиях. Эти аспекты, по мнению Энн Флэнаган, было бы неплохо принимать во внимание при взаимодействии человека с технологиями. Иногда объединение нескольких идей может дать более оптимальный результат, чем единичная их реализация.
Идея первая. Меры стимулирования как инструмент поощрения этичного поведения
Имеется в виду разработка регуляторных норм, которые бы поощряли компании быть более прозрачными и соблюдать этический аспект в сборе данных пользователей. Такой подход еще называется «позитивное регулирование».
Идея вторая. Дата-посредники как инструмент защиты потребителей
Под этой мерой подразумевается создание доверительного хранилища данных, по аналогии с трастом, в который имущество, первоначально принадлежащее учредителю, передается в распоряжение доверительного собственника. Траст создается в рамках закона и прозрачен для пользователей.
Идея третья. Сохранение режима конфиденциальности в общественных местах
Не всегда у устройств, собирающих данные, есть экран. Например, паркоматы старого образца всю информацию передают пользователю на чеке. В итоге у пользователя нет возможности нажать «галочку» и сделать выбор в отношении обработки персональных данных. Поэтому стоит задача: как спрашивать пользователей о согласии. Выходом могут стать носимые устройства для пассивного согласия или явного отказа.
Идея четвертая. Персональные агенты пользователей
Искусственный интеллект может управлять взаимоотношениями между человеком и технологиями. Автоматическая программа или цифровой помощник самостоятельно изучает уведомления об использовании данных, анализирует их и советует, какие принимать, а где лучше не оставлять согласия.
Идея пятая. Возможность отказаться от любых данных наблюдения
Это новая правовая норма, предусматривающая отказ от согласия. Обычно у пользователя нет такой возможности. Сложности для реализации такого подхода заключаются в невозможности реализовать подход в некоторых сценариях.
Идея шестая. Помощь регуляторам в визуализации пользовательского опыта
Эксперты ВЭФ предлагают создать консультативный комитет, задачей которого станет подготовка документации, понятной большинству пользователей. В 2021 году ВЭФ запустил совет по политике в обработке данных. Он займется изучением мнений от ученых, бизнеса. Теперь совет предлагает новый проект – «Дорога к справедливому управлению данными». Проект рассматривает ситуации, в которых данные человека используются во вред ему.
Идея седьмая. Подход справедливого проектирования при внедрении умного города
Умный город невозможно представить без датчиков и устройств, собирающих сведения, в том числе – о человеке. Логично до реализации проектов smart city разрабатывать нормы, позволяющие делать выбор: давать согласие на обработку данных или нет.
Идея восьмая. Аудит для сбора данных
Имеется в виду оценка нанесенного вреда при сборе данных. Эксперты считают важным проверять, насколько сбор данных может повредить тому или иному человеку или обществу в целом. По результатам аудита принимается решение: нужно ли такие данные собирать.
Идея девятая. Необходимость оценки возможности проверки получаемых результатов алгоритмов «черного ящика»
ИИ собирает данные разными способами. Нужно понимать, как технологии ИИ работают с данными. Эксперты должны убедиться, что при таком анализе не используются алгоритмы «черного ящика».
Участники дискуссии предложили аудитории проголосовать в небольшом опросе в Telegram-канале «Цифровая экономика». Из девяти идей аудитории предложили выбрать несколько самых приоритетных для реализации. В итоге лидирующим сценарием стал отказ от любых данных наблюдения. Шесть сценариев набрали почти четверть (от 20 до 24%) голосов.
В канале «Цифровая экономика» эксперты обсудили важность девяти идей и выбрали приоритетные. Для участников опроса были доступны несколько вариантов ответа. В итоге голоса распределились следующим образом:
Эксперты затронули локальные и глобальные тренды в области политики регулирования данных, определили коренные региональные различия.
Некоторые пользователи сталкиваются с тем, что их данные продаются компаниями без получения на то согласия. Об этом рассказала еще один соавтор документа – директор по вопросам защиты данных потребителей Центра Интернета и общества Стэнфордского университета Джен Кинг. В пример она привела опыт штата Калифорния (США).
Этот закон в Калифорнии, где я живу, принимали люди, которые работают вне законодательной системы. Нашим ответом стало создание подхода, аналогичного европейскому Общему регламенту по защите данных (GDPR). И хотя, с одной стороны, закон разрешает компаниям продавать данные пользователей, с другой стороны, он запрещает получать согласия на обработку персональных данных мошенническими действиями или вводом в заблуждение. Есть также понятие «информированное согласие», которым запрещается организовывать сбор информации без видимой на то причины. Например, приложение о погоде не должно знать о пользователе больше, чем его локацию, чтобы предоставить релевантный прогноз.
По ее словам, другие штаты США также пересматривают подходы по обращению с персональными данными пользователей. Однако компаниям подобные изменения не нравятся и они оказывают давление на членов Конгресса. Около десяти лет эксперты в Калифорнии вносят предложения для доработки нормативно-правовых актов, но поправки до сих пор не приняты. Федеральные законы, по словам Джен Кинг, регулируют отрасль куда слабее, чем законы штатов. Поэтому в первую очередь нужны изменения в местные нормативные акты.
В Индии, напротив, данные пользователей надежно защищены. В 2018 году Верховный суд страны утвердил защиту персональных данных как одно из основных прав, и это гарантируется конституцией наряду со свободой слова.
«Теперь же новая инициатива правительства страны имеет общие черты с европейским GDPR, а ее главные задачи – защита персональных данных, введение правил сбора и обработки данных. Мы используем принцип конфиденциальности, который необходимо закладывать изначально. Так мы сможем добиться того, что использование технологии будет минимально инвазивным и соответствовать нормам. Кроме того, мы хотим, чтобы каждый гражданин сам контролировал, куда идут и как используются его данные. Осталось решить, что делать с теми формами согласия, что занимают несколько страниц: они неудобные, нечитабельные, изобилуют непонятными терминами и т. д.», – отметил ведущий советник Центра четвертой промышленной революции Индии Сатьянараяна Джидигунта. Также эксперт считает использование обезличенных данных пользователей базисом для инноваций, поэтому необходимо соблюсти баланс между конфиденциальностью и цифровизацией. Наборы обезличенных данных используются в экспериментально-правовых режимах.
Мы благодарны иностранным коллегам за интересный опыт, в области обработки персональных данных еще много нерешенных вопросов. Конструктивный диалог между бизнес-сообществом и государством на площадке АНО «Цифровая экономика», я уверен, приведет к ощутимым результатам, необходимым и достаточным для построения эффективного правового фундамента.
Говоря о России, вице-президент ПАО «МТС» Руслан Ибрагимов отметил следующую проблему: согласно ст. 5 152-ФЗ, к персональным данным (далее – ПДн) в настоящее время относятся и обезличенные данные.
При этом до 2011 года законом подразумевалось, что обезличивание – это действие, в результате которого без использования дополнительной информации невозможно определить принадлежность ПДн конкретному субъекту. Последствиями такого подхода к регулированию, по мнению Руслана Ибрагимова, стали:
По мнению Руслана Ибрагимова, необходимо менять законодательство, чтобы обезличенные данные считались не персональными, а анонимными, как в европейском праве, так как они «оторваны» от самого субъекта. Не лишним, по словам эксперта, будет установление ответственности за незаконное деобезличивание данных, а также совершенствование методики обезличивания, чтобы снизить правовые риски.
Эксперт предлагает также упростить дачу согласий для экосистем, которые предлагают множество различных сервисов от нескольких компаний.
Для этого следует определить сервис для входа, который запускает согласие на обработку персональных данных по всей экосистеме. Тогда не потребуется каждый раз давать согласия. Но при этом требуется повысить ответственность сервиса – «точки входа», чтобы тот отвечал за данные клиента.
Свободный оборот данных и их доступность для разработчиков имеют первостепенное значение для обучения ИИ. От того, какие данные пришли на вход, зависит принятие ИИ конкретных решений, рассказал Владимир Авербах, старший управляющий, директор-начальник управления Национального развития AI Сбера.
В России есть несколько документов программного характера:
Подробнее эксперт остановился на документе «Национальная стратегия развития ИИ – 2030». Так, стратегия направлена на повышение доступности и качества данных, необходимых для развития технологий искусственного интеллекта.
Среди таких мер: разработка унифицированных методологий описания, сбора и разметки данных, механизма контроля за соблюдением указанных методологий; создание и развитие информационно-коммуникационной инфраструктуры для обеспечения доступа к наборам данных посредством:
к 2024 году – дата-сетов, которые соответствуют методологиям их сбора и разметки и хранятся на общедоступных платформах, должны быть доступны разработчикам;
к 2030 году – объем опубликованных на общедоступных платформах наборов данных должен быть достаточным для решения всех актуальных задач в области ИИ.
Рассказал Владимир Авербах и о том, как усовершенствовать режим оборота данных. По его словам, необходимо увеличить объем доступных данных и развивать информационно-коммуникационную инфраструктуру для доступа к данным.
Сделать это можно тремя способами:
Экономический эффект к 2025 году, по сравнению с 2021-м, от применения ИИ может быть как и положительным (+185 млрд рублей), так и отрицательным (–200 млрд рублей). Об этом рассказала президент Ассоциации больших данных Анна Серебряникова. По ее словам, эффект зависит от сценариев государственной политики в области обезличивания. Таких прогнозов четыре:
Первый. Сейчас требуется согласие на обезличивание, нет государственного контура, поэтому рынок прирастает на 15% ежегодно (эффект к 2025 году – +40 млрд рублей).
Второй. Согласие требуется, также появляется государственный контур, при котором безопасность данных обеспечивается государством (–200 млрд рублей).
Третий. Согласие не требуется, но безопасность данных обеспечивается в госконтуре (–80 млрд рублей).
Четвертый. Согласие не требуется, а госконтур передает обезличенные данные в специальные дата-трасты дата-посредникам (+185 млрд рублей).
Анна Серебряникова отметила, что в России сложилась парадоксальная ситуация. Общая защита данных создает барьеры для поиска ИИ новых идей, а специализированное регулирование двигается вперед. Например, приняты нормативные акты в области здравоохранения, которые позволяют относительно свободно работать с обезличенными медицинскими данными и обучать ИИ.
«В области промышленных данных ведется обсуждение законопроекта, который такой обмен разрешит. И это – позитивное регулирование. Остается только выработать стандарты такого обмена. Но в первую очередь необходимо менять общее законодательство», – рассказала Анна Серебряникова.
В этом, по мнению эксперта, помогут единые стандарты, наличие профессиональных цифровых посредников по хранению данных, усиление защиты информации. Также останется определить разработчиков ИИ, которые не допустят мошеннических действий. В этой сфере потребуется определенная механика контроля. Ее выработкой могут заняться государство и цифровые посредники.
Запись дискуссии доступна на Youtube-канале «Цифровой экономики»
Презентации участников доступны по ссылкам:
