В преддверии недавно принятого Закона ЕС об ИИ атмосфера напоминает те годы, когда компании стремились привести свои операции в соответствие с GDPR. Оба регламента представляют собой значительные изменения в том, как компании должны работать в ЕС, особенно в отношении управления данными и новыми технологиями.
GDPR и Закон об ИИ имеют схожие черты в своем стиле регулирования, поскольку оба направлены на защиту основных прав при содействии ответственным инновациям. Оба устанавливают детализированные требования по соблюдению для компаний и предусматривают строгие штрафы за несоблюдение, включая значительные финансовые санкции. Однако, если GDPR сосредоточен на защите персональных данных, то Закон об ИИ направлен на обеспечение этичного и безопасного использования систем ИИ, распространяя регулирование на более широкий круг вопросов, помимо обработки данных.
Поскольку компании всё чаще используют системы ИИ для обработки огромных объемов персональных данных, важно понимать, как эти два правовых акта пересекаются. В этом блоге мы рассмотрим обязательства, предусмотренные GDPR и Законом об ИИ, выделяя ключевые области их пересечения и что это означает для компаний, работающих в этих сферах.
Сходства между GDPR и AI Act
Регулятивный стиль:
Оба акта представляют собой широкие общеевропейские регламенты, которые применяются непосредственно к компаниям без необходимости внедрения через национальные законы государств-членов.
Они устанавливают ясные требования и стандарты для соблюдения.
Экстерриториальный охват:
Одна из заметных схожестей между GDPR и Законом об ИИ — их экстерриториальный охват. Оба регламента распространяются за пределы границ Европейского Союза и применяются к любым субъектам, которые обрабатывают персональные данные или разрабатывают/разворачивают системы ИИ, затрагивающие физических лиц в ЕС, независимо от того, где находится компания. Это означает, что даже компании за пределами ЕС обязаны соблюдать эти регламенты, если их деятельность связана с жителями ЕС, тем самым гарантируя защиту прав людей независимо от государственных границ.
Подход, основанный на оценке рисков:
Оба регламента используют подход, основанный на оценке рисков. Согласно GDPR, контролеры данных и обработчики обязаны оценивать риски для конфиденциальности физических лиц. В то же время, Закон об ИИ идет дальше, требуя систематической классификации рисков систем ИИ — отнесение их к недопустимым, высоким, ограниченным или минимальным рискам, каждая из которых имеет специфические обязательства по соблюдению.
Принципы:
Оба акта основаны на схожих фундаментальных принципах, которые приоритезируют защиту прав человека и ответственное использование технологий. Прозрачность является ключевым принципом в обоих регламентах, так как организации обязаны четко сообщать, как обрабатываются персональные данные и как функционируют системы ИИ, чтобы пользователи были осведомлены о потенциальных рисках и сути процессов принятия решений. Ответственность также играет важную роль: GDPR требует, чтобы контролеры данных могли продемонстрировать соблюдение норм, а Закон об ИИ требует от разработчиков, внедрителей, импортеров и пользователей ИИ соблюдать человеческий контроль, чтобы гарантировать ответственное использование технологий. Кроме того, принцип точности важен в обоих регламентах. В соответствии с GDPR, персональные данные должны быть актуализированы, в то время как Закон об ИИ требует, чтобы заинтересованные стороны осознавали свою ответственность за результаты работы систем ИИ, включая те случаи, когда ИИ «галлюцинирует», работает как «черный ящик» или выдает некорректные ответы, основываясь на неверных данных.
Штрафы за несоблюдение:
Оба акта предусматривают строгие штрафы за нарушение норм. GDPR допускает штрафы до 4% от глобального годового оборота или 20 миллионов евро (в зависимости от того, что больше). Закон об ИИ предлагает даже более высокие штрафы в зависимости от тяжести нарушения — до 35 миллионов евро или 7% от глобального годового оборота.
Различия между GDPR и AI Act
Область регулирования: GDPR сосредоточен исключительно на защите персональных данных (информации, которая может идентифицировать человека).
Закон об ИИ регулирует системы ИИ, независимо от того, обрабатывают ли они персональные данные. Его область включает регулирование разработки, маркетинга и использования ИИ в различных секторах.
Целевые роли в регулировании:
GDPR в первую очередь направлен на контролеров данных и обработчиков данных — субъекты, которые собирают, хранят или обрабатывают персональные данные. Закон об ИИ регулирует поставщиков ИИ, внедрителей, импортеров и дистрибьюторов, налагая обязательства на всех, кто участвует в разработке, развертывании или использовании систем ИИ, даже если персональные данные не обрабатываются. Это включает в себя третьих лиц, размещающих системы ИИ на рынке ЕС. Важно отметить, что между этими ролями нет прямой корреляции. Например, поставщик ИИ может также быть классифицирован как контролер данных или обработчик данных в соответствии с GDPR, в зависимости от того, определяет ли он средства и цели обработки персональных данных. В результате компании могут оказаться в разных или перекрывающихся ролях и иметь различные обязательства в зависимости от их конкретной деятельности в рамках каждого регулирования.
Надзор за соблюдением:
Применение GDPR в первую очередь осуществляется органами по защите данных (DPA) в каждой стране-члене.
Закон об ИИ предусматривает более широкую структуру надзора, включая национальные компетентные органы (как минимум один уведомляющий орган и один орган надзора за рынком), Офис по вопросам ИИ, Европейский совет по искусственному интеллекту (EAIB) и Научный совет независимых экспертов, играющих роли в контроле за соблюдением.
Пересечение между GDPR и Законом об ИИ
Не все обработка данных, регулируемая GDPR, обязательно будет включать ИИ. Таким образом, не все контролеры и обработчики персональных данных будут подпадать под действие Закона об ИИ. С другой стороны, компании, предоставляющие/развертывающие/импортирующие системы ИИ, почти наверняка будут обязаны соблюдать оба эти нормативных акта. В то время как GDPR применяется к обработке персональных данных, Закон об ИИ регулирует разработку и использование систем ИИ, многие из которых связаны с обработкой персональных данных. Это создает значительную область пересечения для бизнеса.
Ключевым фактором для бизнеса является то, что системы ИИ часто обрабатывают большие объемы как персональных, так и неперсональных данных, что делает технически сложным их различение. Поскольку технологии ИИ в значительной степени зависят от наборов данных для своей работы, высока вероятность, что на каком-то этапе жизненного цикла системы ИИ будут задействованы персональные данные, будь то на этапе обучения, развертывания или использования. Это увеличивает вероятность того, что положения GDPR будут задействованы наряду с обязательствами в рамках Закона об ИИ.
В результате большинству поставщиков ИИ, развертывающих и использующих ИИ, потребуется соблюдать оба набора нормативных актов. Им необходимо будет управлять не только рисками, связанными с ИИ (как это требуется Законом об ИИ), но и обеспечивать, чтобы любые персональные данные обрабатывались в соответствии с GDPR. Это означает, что бизнес должен быть внимательным в идентификации использования персональных данных и внедрении механизмов соблюдения, охватывающих оба нормативных акта.
В следующих разделах блога мы рассмотрим некоторые из конкретных обязательств, которые должны соблюдать компании, подпадающие под действие Закона об ИИ, в рамках GDPR. Для получения более подробной информации о требованиях к законной обработке данных с использованием ИИ, пожалуйста, ознакомьтесь с нашим блогом: Основной контрольный список для соответствующего использования персональных данных при разработке и развертывании ИИ.
Выбор правильного правового основания:
Поставщики ИИ и развертывающие ИИ, обрабатывающие персональные данные, должны обеспечить одно из шести правовых оснований в рамках GDPR для обоснования обработки данных. Эти основания включают согласие, законный интерес, исполнение договора, юридические обязательства, жизненно важные интересы или общественные интересы. Без действующего правового основания обработка персональных данных будет считаться незаконной.
Определение целей обработки:
Цели, для которых обрабатываются персональные данные, должны быть четко и прозрачно определены. Поставщики ИИ и развертывающие ИИ должны обеспечить, чтобы каждая фаза их операций — будь то обучение, разработка или развертывание систем ИИ — имела определенную законную цель, обосновывающую обработку данных. Правовое основание может различаться в зависимости от фазы, и на некоторых этапах может потребоваться иное обоснование для использования данных.
Технические и организационные меры:
И GDPR, и Закон об ИИ требуют от бизнеса внедрения соответствующих технических и организационных мер для обеспечения безопасности данных. Эти меры могут включать шифрование, псевдонимизацию и другие способы защиты персональных данных. Поскольку большинство данных обрабатываются в электронном виде, меры безопасности, необходимые для соблюдения обоих нормативных актов, часто схожи, и хорошо структурированная система безопасности может помочь выполнить требования обоих.
Ведение записей о данных:
Поставщики ИИ и развертывающие ИИ должны вести записи о своей деятельности по обработке данных, особенно если они обрабатывают персональные данные в больших объемах или работают с чувствительными данными. Эти записи должны содержать категории обрабатываемых данных, цели и сроки их хранения. Ведение точных и актуальных записей имеет ключевое значение для демонстрации соблюдения требований GDPR.
Соглашение об обработке данных (DPA):
Если используется сторонняя система ИИ или если задействованы поставщики услуг, поддерживающие работу ИИ, поставщики или развертывающие ИИ могут потребовать заключения Соглашения об обработке данных (DPA). Это соглашение гарантирует, что все внешние стороны, участвующие в обработке данных, соблюдают стандарты защиты данных в соответствии с GDPR, четко определяя ответственность каждой стороны.
Предотвращение и обнаружение предвзятости:
И GDPR, и Закон об ИИ требуют тщательного рассмотрения вопросов предотвращения предвзятости и дискриминации, особенно при обработке чувствительных данных, таких как раса или этническое происхождение, политические взгляды, религиозные убеждения, биометрические данные, сексуальная жизнь или сексуальная ориентация. В рамках GDPR обработка таких данных требует особой осторожности для предотвращения предвзятости и защиты прав индивидов. Между тем, Закон об ИИ позволяет обрабатывать специальные категории персональных данных при наличии защитных мер для целей мониторинга, обнаружения и коррекции предвзятости.
Обработка данных и системы ИИ с высоким уровнем риска
И GDPR, и Закон об ИИ применяют подход, основанный на оценке риска, но определения «высокого риска» различаются в рамках этих двух нормативных актов. Обработка данных с высоким уровнем риска в рамках GDPR относится к любой деятельности по обработке, которая, вероятно, создаст значительный риск для прав и свобод лиц. В свою очередь, Закон об ИИ определяет системы ИИ с высоким уровнем риска на основе их потенциального значительного воздействия на отдельных лиц или общество, особенно когда эти системы используются в критических секторах, таких как здравоохранение, правоохранительные органы или занятость.
Различие в том, как определяется риск этими нормативными актами, приводит к различным обязательствам. Обработка данных с высоким уровнем риска в рамках GDPR требует применения конкретных защитных мер и проведения оценок, в то время как системы ИИ с высоким уровнем риска в рамках Закона об ИИ подлежат строгим требованиям, направленным на обеспечение прозрачности, справедливости и безопасности.
Дополнительные обязательства для обработки данных с высоким уровнем риска и систем ИИ с высоким уровнем риска
Проведение DPIA, FRIA и Оценки соответствия
В соответствии с GDPR организации должны проводить оценку воздействия на защиту данных (DPIA) всякий раз, когда их деятельность по обработке данных, вероятно, приведет к высоким рискам для прав и свобод лиц. Это особенно актуально в случаях, когда задействованы чувствительные данные, большие наборы данных или автоматизированные процессы принятия решений. DPIA помогает компаниям выявить и устранить потенциальные риски, обеспечивая принятие мер для их смягчения до их реализации. При развертывании систем ИИ проведение оценки DPIA в рамках GDPR практически всегда будет необходимо, поскольку технологии ИИ обычно включают обработку больших объемов данных, часто с участием чувствительных персональных данных и автоматизированным принятием решений, что считается деятельностью с высоким риском в рамках GDPR.
Параллельно Закон об ИИ требует проведения Оценки воздействия на основные права (FRIA) для систем ИИ с высоким уровнем риска, уделяя особое внимание потенциальному воздействию системы на основные права, включая право на конфиденциальность, равенство и недискриминацию. Эта оценка выходит за рамки защиты данных, исследуя, как ИИ может повлиять на более широкие права и свободы лиц. Кроме того, должна быть проведена Оценка соответствия для проверки того, что система ИИ с высоким уровнем риска соответствует строгим требованиям Закона об ИИ в отношении безопасности, прозрачности и подотчетности. Оценка соответствия охватывает технические проверки конструкции системы, ее функционирования и способности быть под наблюдением человека. Оценка FRIA и Оценка соответствия служат критически важными проверками для систем ИИ, и, где есть пересечения с DPIA, организации могут оптимизировать эти процессы, чтобы избежать дублирования усилий при обеспечении комплексного управления рисками.
Рамки для автоматизированного принятия решений
И GDPR, и Закон об ИИ регулируют системы автоматизированного принятия решений, придавая особое значение надзору со стороны человека. В рамках GDPR лица должны быть проинформированы, когда решения принимаются исключительно на основе автоматизированных процессов, особенно если эти решения оказывают на них значительное влияние. Более того, у них есть право запросить вмешательство человека для пересмотра решения, чтобы убедиться, что исход является справедливым, а их права защищены. Это особенно важно в таких контекстах, как кредитный скоринг, найм на работу или юридические процессы, где автоматизированные решения могут кардинально изменить жизнь человека.
Закон об ИИ развивает эту концепцию, требуя, чтобы системы ИИ с высоким уровнем риска были спроектированы с встроенными механизмами надзора со стороны человека, что гарантирует, что физическое лицо может эффективно контролировать и при необходимости вмешиваться в процесс. Подход «человеческий надзор по умолчанию» означает, что поставщики ИИ должны интегрировать инструменты, позволяющие человеку контролировать систему ИИ на протяжении всего её жизненного цикла, обеспечивая прозрачность и подотчетность процесса принятия решений.
В заключение, использование систем ИИ все больше привлекает внимание органов по защите данных, которые уже вынесли штрафы за несоблюдение требований GDPR в связи с использованием ИИ. Например, итальянский орган по защите данных (DPA) оштрафовал ChatGPT от OpenAI за нарушения конфиденциальности, французский DPA наложил штраф на Clearview AI за незаконный сбор данных, а голландский DPA принял меры против Налоговой и таможенной администрации Нидерландов за предвзятость в автоматизированном принятии решений. Поскольку и GDPR, и Закон об ИИ накладывают строгие требования, компании, подпадающие под действие обоих нормативных актов, должны обеспечивать соблюдение каждого из них. Несоблюдение может привести к двойным значительным штрафам, поскольку оба нормативных акта предусматривают серьезные санкции в зависимости от серьезности нарушений.