Як GDPR обмежує роботу АІ з персональними даними: пояснює керівний партнер Legal IT Group Як GDPR обмежує роботу АІ з персональними даними: пояснює керівний партнер Legal IT Group

25 травня 2018 року став чинним GDPR. GDPR (General Data Protection Regulation) – Генеральний регламент про захист даних від Ради Європейського союзу, який регулює використання юридичними особами персональних даних усіх громадян ЄС. Причому мова йде не тільки про обробку та зберігання інформації всередині союзу, а і про експорт даних.

Стаття 25 цього документа містить так звану концепцію privacy by design, у якій позначені технічні вимоги для систем, що обробляють персональні дані, зокрема і для штучного інтелекту.


Але як на практиці працює 25-та стаття GDPR? У цьому питанні допоміг розібратися спікер AI Conference Kyiv Антон Тарасюк, керівний партнер в Legal IT Group.

Антон Тарасюк – керівний партнер у компанії, яка надає юридичну підтримку IT-проєктам і стартапам. Протягом шести років правової практики він успішно супроводжував безліч договірних відносин з аутсорсу IT-послуг для іноземних замовників. Спеціалізується на юридичній підтримці проєктів у сфері Big Data.

Експерт пояснив, що в документі означають «профілювання» й «система автоматичного прийняття рішень», кому належить право інтелектуальної (або іншої) власності на роботу, створену штучним інтелектом, і в яких випадках може не подіяти право громадян і резидентів ЄС «не бути суб’єктом профілювання та системи автоматичного прийняття рішень».

Privacy by design: GDPR в AI-технологіях

Зараз навколо data-driven-компанії, які з радістю використовують таргетовану рекламу, ремаркетинг, увесь скоуп персональних даних клієнтів для досягнення своїх рекламних цілей.

Заходиш до магазину в торговому центрі, а тут приходить SMS:«О, ти до нас завітав, ось тобі персональна знижка!»Ти хвилюєшся, мовляв, невже за мною стежать, біжиш в інший магазин, і тут приходить SMS, і знову та ж історія. Ти кидаєш смартфон на підлогу і кричиш: «Це, мабуть, параноя», а тобі приходить голосове повідомлення: «Ліки для вас і вашої родини».

Страшно? А часто буває так, що ми самі на все це погоджуємося. На використання персональних даних як плати за сервіс, на персоналізовані розсилки й ще на використання даних про самопочуття вашого цуценя. Що про все це говорить GDPR і до чого тут AI?

Профайлінг і автоматизоване прийняття рішень

GDPR говорить про ризик дискримінації під час використання профайлінгу й автоматизованого прийняття рішень щодо суб’єкта персональних даних.

Особливо ризиковим вважаються такі рішення, де людина не бере ніякої участі. А ще страшніше, коли в результаті аналізу машина (AI) дізнається про вразливість певного індивіда та направляє йому таку рекламу, перегляд якої має найбільшу ймовірність призвести до ризикової покупки саме через цю вразливість.

Що ж це за машина! Невже ми не маємо права користуватися технологіями штучного інтелекту в межах обробки персональних даних європейців? Можемо, але виважено й у межах дотримання й забезпечення прав суб’єктів персональних даних.

GDPR + AI = one love

1. Під час отримання згоди суб’єктів персональних даних у межах GDPR обов’язково необхідно повідомляти про те, що суб’єкт може бути віднесений до певної групи осіб (у межах профайлінгу), що може мати наслідки для нього (варто вказати які).

2. Варто брати додаткову згоду (окрему галочку) за умови, що персональні дані суб’єкта ми закинемо в black box нашого супер AI. У цьому випадку користувачеві повинно бути зрозумілою мовою донесено, що це станеться й що буде далі.

3. Слід пояснити логіку свого AI користувачам. Суб’єкти персональних даних повинні бути ознайомлені з механікою роботи AI. «Як це все описати? Ми самі не розуміємо, як працює ця штука, це ж штучний інтелект», – скажете ви. Я скажу – словами, схемами, інфографікою та слайдами.

Цей чекліст – непоганий початок. Під час приведення вашого АI-проєкту в compliance з GDPR варто скористатися комплексним підходом – намалювати карту руху персональних даних, зрозуміти роль AI в цьому процесі і від цього будувати документи й технічну базу.

AI дає нові можливості, але не варто забувати, що не можна просто так узяти й закинути персональні дані мільйонів людей без їхньої згоди в мультиварку й отримувати конкретні інсайди для конкретних кейсів.

Чи можливо це в принципі? Так, якщо все відбувається в межах закону.

Комплаєнсу всім!

Схожі новини