Māris Butāns

Старший руководитель проектов, PwC Legal

В последнее время искусственный интеллект (ИИ) вызывает интерес уже большей части общества. Одни рисуют картины конца света, когда ИИ отберет у людей работу, а впоследствии – и власть над миром. Другие считают, что бояться инструментов ИИ нет оснований. Как всегда, истина находится где-то посередине. Сейчас одним из самых популярных инструментов ИИ является ChatGPT, который может опробовать любой желающий и о возможностях которого мы уже писали в Новостях MindLink. Почему же учреждения по защите данных европейских стран начинают бить тревогу?

В чем упрекают ИИ?

Первым учреждением, предпринявшим действия в связи с ChatGPT, стал итальянский орган по защите данных, который в конце марта текущего года наложил временный запрет на обработку персональных данных на территории Италии разработчиком ChatGPT – американским предприятием OpenAI LP. Основные замечания итальянского органа по надзору за данными:

1. поскольку возраст пользователей ChatGPT не проверяется, возможна обработка данных несовершеннолетних;
2. пользователям ChatGPT не предоставляется достаточная информация об обработке их персональных данных;
3. отсутствует юридическое основание для обработки данных в объеме, необходимом для обучения инструмента ИИ генерированию ответов.

Получив жесткую критику, итальянское учреждение по защите данных в середине апреля предложило для ChatGPT список рекомендаций, которые OpenAI LP нужно выполнить, чтобы ChatGPT снова смог работать на территории Италии. Среди них – рекомендация разработать информационное сообщение об обработке персональных данных пользователей и внедрить меры, позволяющие субъектам данных использовать предусмотренные Общим регламентом о защите данных права субъектов данных, а также призыв использовать согласие пользователей в качестве юридического основания для обработки персональных данных и рекомендация внедрить инструмент проверки возраста пользователей в процессе регистрации. Компания OpenAI LP пока не дала ответа, планирует ли она внедрение таких мер.

Вскоре примеру Италии последовали органы по защите данных других стран. Французский орган по надзору за данными начал расследование по ряду полученных жалоб субъектов данных на некорректную обработку их персональных данных в рамках ChatGPT. Испанские и канадские учреждения по защите данных тоже проводят первичное расследование правомерности обработки персональных данных пользователей ChatGPT. Учреждения ряда стран обратились к итальянскому органу по защите данных, чтобы разобраться с дальнейшими шагами.

Хотелось бы верить, что аспекты обработки персональных данных не станут препятствием для инноваций в сфере ИИ и не затормозят развитие данной области. Поскольку ChatGPT доступен не только в странах, поднявших тревогу касательно возможных нарушений при обработке персональных данных, требуется общий ответ на уровне ЕС.

Какие меры приняла Европа?

Европейская коллегия по защите данных создала рабочую группу для содействия коммуникации между учреждениями ЕС по защите данных о возможных нарушениях в связи с обработкой данных пользователей ChatGPT. Однако пока неизвестно, какие конкретные действия Европейская коллегия по защите данных планирует предпринять.

В целом на уровне ЕС нельзя сказать, что регулирование ИИ забыто. Еще в 2021 году мы писали о проекте регламента об ИИ, который станет первым нормативным актом в Европе, регулирующим вопросы ИИ. В конце 2022 года Европейская комиссия представила проект директивы об условиях внедоговорной ответственности ИИ, который наряду с проектом регламента об ИИ и правилами безопасности продуктов ИИ создаст нормативные рамки для распространения систем ИИ на рынке ЕС. Таким образом, уже сейчас идет поиск юридических решений, чтобы аспекты обработки персональных данных и другие аспекты не препятствовали развитию рынка продуктов ИИ.

Что делать предпринимателям?

Наличие вышеуказанных рисков обработки персональных данных не означает, что предпринимателям следует прекратить использование ChatGPT или других продуктов ИИ. Их использование несомненно можно продолжать, поскольку на этом учатся генеративные продукты ИИ. Однако мы советуем соблюдать осторожность в отношении собственных персональных данных и персональных данных своих клиентов, а также конфиденциальности информации.

Поскольку ChatGPT разработан предприятием из США, уже сейчас можно предполагать существование известных рисков, если обработанные в рамках ChatGPT персональные данные будут отправлены в США. Пока все свидетельствует о том, что Европейская коллегия по защите данных присоединится к мнению, что для отправки персональных данных в США теперь недостаточно стандартных оговорок.

Однако регулирование обработки персональных данных никогда не преследовало цель затормозить прогресс, поэтому сейчас мы советуем соблюдать осторожность при использовании продуктов ИИ, надеясь при этом на возможность объединить корректную обработку персональных данных с прогрессом ИИ.