25 мая 2018 года в силу вступил GDPR. GDPR (General Data Protection Regulation) – Генеральный регламент о защите данных от Совета Европейского союза, который предписывает, как юридические лица должны использовать персональные данные всех граждан ЕС. Причем речь идет не только об обработке и хранении информации внутри союза, но и об экспорте данных.

Статья 25 этого документа содержит так называемую концепцию privacy by design, в которой обозначены технические требования для систем, обрабатывающих персональные данные, в том числе и для искусственного интеллекта.

Но как на практике работает 25-я статья GDPR? В этом вопросе помог разобраться спикер AI Conference Kyiv Антон Тарасюк, управляющий партнер в Legal IT Group.

Антон Тарасюк – управляющий партнёр в компании, оказывающей юридическую поддержку IT-проектам и стартапам. В течение более чем шести лет правовой практики успешно сопровождал множество договорных отношений по аутсорсу IT-услуг для иностранных заказчиков. Специализируется на юридической поддержке проектов в сфере Big Data.

Эксперт объяснил, что в документе означают «профилирование» и «система автоматического принятия решений», кому принадлежит право интеллектуальной (или иной) собственности на работу, созданную искусственным интеллектом, и в каких случаях может не подействовать право граждан и резидентов ЕС «не быть субъектом профилирования и системы автоматического принятия решений».

Privacy by design: GDPR в AI-технологиях

Сейчас кругом data-driven-компании, которые с радостью используют таргетированную рекламу, ремаркетинг, весь скоуп персональных данных клиентов для достижения своих рекламных целей.

Заходишь в магазин в торговом центре, а тут приходит SMS: «О, ты к нам пожаловал, вот тебе персональная скидка!» Ты волнуешься, мол, неужели за мной следят, бежишь в другой магазин, и тут приходит SMS, и снова та же история. Ты бросаешь смартфон на пол и кричишь: «Это, пожалуй, паранойя», а тебе приходит голосовое сообщение: «Лекарство для вас и вашей семьи».

Страшно? А часто бывает так, что мы сами на все это соглашаемся. На использование персональных данных в качестве платы за сервис, на персонализированные рассылки и еще на использование данных о самочувствии вашего щенка. Что обо всем этом говорит GDPR и причем здесь AI?

Профайлинг и автоматизированное принятие решений

GDPR говорит о риске дискриминации при использовании профайлинга и автоматизированного принятия решений в отношении субъекта персональных данных.

Особенно рисковым считаются такие решения, где человек не принимает никакого участия. А еще страшнее, когда в результате анализа машина (AI) узнает об уязвимостях определенного индивидуума и направляет ему такую рекламу, просмотр которой имеет наибольшую вероятность привести к рисковой покупке именно через эту уязвимость.

Что же это за машина! Неужели мы не имеем права пользоваться технологиями искусственного интеллекта в рамках обработки персональных данных европейцев? Можем, но взвешенно и в рамках соблюдения и обеспечения прав субъектов персональных данных.

GDPR + AI = one love

1. При получении согласий субъектов персональных данных в рамках GDPR обязательно необходимо сообщать о том, что субъект может быть отнесен к определенной группе лиц (в рамках профайлинга), что может иметь последствия для него (следует указать какие).

2. Стоит брать дополнительное согласие (отдельную галочку) при условии, что персональные данные субъекта мы закинем в black box нашего супер AI. В этом случае пользователю должно быть понятным языком донесено, что это произойдет и что будет дальше.

3. Следует объяснить логику своего AI пользователям. Субъекты персональных данных должны быть ознакомлены с механикой работы AI. «Как это все описать? Мы сами не понимаем, как работает эта штука, это же искусственный интеллект», – скажете вы. Я скажу – словами, схемами, инфографикой и слайдами.

Этот чеклист – неплохое начало. При приведении вашего АI-проекта в compliance с GDPR стоит воспользоваться комплексным подходом – нарисовать карту движения персональных данных, понять роль AI в этом процессе и от этого строить документы и техническую базу.

AI дает новые возможности, но при этом не стоит забывать, что нельзя просто так взять и забросить персональные данные миллионов людей без их согласия в мультиварку и получать конкретные инсайды для конкретных кейсов.

Возможно ли это в принципе? Да, если все происходит в рамках закона.

Комплаенса всем!