Данные решают. Как управлять данными, чтобы создавать ценность для бизнеса - Светлана Бова

Претензии регуляторов (США, Австралия, Франция, Греция, Италия, Нидерланды, Австрия и др.) были такими:

• Отсутствие законных оснований для сбора данных.

• Невозможность выполнения прав субъектов данных (право на удаление, информацию). Как человек может потребовать удалить свои данные из системы, если не знает, что они там есть, а компания не способна точно отследить, где и как его фото используется в сложной нейросети?

Это привело к многомиллионным штрафам (до 100 миллионов долларов к началу 2026 года). По оценкам экспертов, штрафы превышают годовую выручку компании, причем как минимум один из них в размере 50 миллионов долларов компании придется заплатить единовременно, что может грозить ей финансовой катастрофой. Непрозрачность и необъяснимость внутренних процессов обработки данных ИИ-системой, а также незаконность сбора данных лишили Clearview AI возможности доказать соответствие требованиям регуляторов.

ДИСКРИМИНАЦИОННЫЙ АЛГОРИТМ ГОЛЛАНДСКОГО ПРАВИТЕЛЬСТВА ПО ОБНАРУЖЕНИЮ МОШЕННИЧЕСТВА С СОЦИАЛЬНЫМИ ВЫПЛАТАМИ

Правительство Нидерландов использовало продвинутый алгоритм для выявления потенциальных мошенников среди получателей социальных пособий[53]. Алгоритм — «Система индикации рисков» (System Risk Indication, SyRI) — анализировал данные о гражданах из множества госорганов. Он использовался для выявления людей, которые с большей вероятностью могут совершить мошенничество с социальными пособиями, и предоставлял местным властям широкие полномочия по обмену и анализу данных, которые ранее размещались в отдельных хранилищах.

SyRI использовал скрытую алгоритмическую модель оценки рисков и применялся исключительно в районах с преимущественно малообеспеченным населением. С помощью SyRI целые бедные районы и их жители подвергались цифровому наблюдению. При этом не было даже конкретных подозрений в том, что отдельные лица совершили правонарушения.

В 2020 году Гаагский суд постановил, что использование SyRI нарушает Европейскую конвенцию по правам человека. Суд подчеркнул, что отсутствие прозрачности в использовании персональных данных и алгоритмической логике не позволяет гражданам оспорить решение, что делает систему несовместимой с правовым государством. Ее пришлось остановить. Это прецедент, где необъяснимость сама по себе и непрозрачность в использовании данных граждан была признана нарушением закона.

Инциденты управления рисками ИИ и данных множатся день ото дня и постепенно собираются в общедоступные базы данных[54]. Важно настроить свои процессы управления данными и моделями так, чтобы ваши бизнес-решения и модели не породили новые строчки в базах данных ИИ-рисков.

Что это значит для вашей компании?

Будущее регулирование ИИ и персональных данных — это не про «запрет технологий», а про установление высоких стандартов доказательности. И готовиться к этому нужно не тогда, когда регулирование будет создано или ужесточено, а сейчас, начиная с малого.

• Для вашего следующего ИИ-проекта назначьте не только моделиста, но и офицера данных. Его задача — не обучить модель, а задокументировать каждый этап ее создания, включая выборку для разработки, калибровки и валидации модели.

• Начните строить Lineage не со всей компании, а с одного критического процесса, в котором задействованы ИИ-модели. Причем с того, который влияет на принятие решений о людях: кредитование, найм, рекомендации продуктов клиентам и т. д.

• Спросите своих ИИ-аналитиков: «Откуда эти цифры? И как вы можете их обосновать?» Это простые вопросы, которые запускают культурный сдвиг.

Готовьтесь заранее. В мире, где доверие — самая дефицитная валюта, компания, которая может не просто предсказать, но и объяснить и доказать свои решения, получит ключ к лояльности клиентов, одобрению регулятора и рынкам, закрытым для тех, кто все еще играет с «черными ящиками». Это переход от магии данных к их инженерии. И это единственный путь вперед.

Регуляторный ландшафт России: готовый фундамент и незавершенные этажи

Настоящий момент в России напоминает ситуацию, когда в современном жилом квартале все дома подключены к единой системе водоснабжения и канализации: это базовые, обязательные для всех коммуникации. Но только в одном здании, самом высоком, проложены еще и системы «умного» климат-контроля, датчики давления в несущих стенах и противопожарная автоматика, управляемая с единого пульта. Этот квартал — наше регуляторное поле, а высокое здание — банковский сектор.

Регуляторный ландшафт в России действительно состоит из двух основных компонентов, как и в большинстве других стран.

Первый — закон о персональных данных (152-ФЗ), общий для всех. Он подобен строгим правилам пожарной безопасности и санитарным нормам в строительстве. Его должны соблюдать все: и небольшой магазин, и гигантский завод. Он задает необходимый минимум: где можно «хранить» данные (локализация), как получить на это «разрешение» (согласие) и какие «защитные конструкции» (меры безопасности) установить. Это необходимый, но не достаточный уровень для управления современным цифровым «предприятием».

Второй компонент — регулирование управления данными (716-П, 845-П) — пока существует только в мире финансов. Банки, словно небоскребы в сейсмоопасной зоне, живут по своим, особым правилам. Их регулятор, Банк России, предъявляет требования не просто к хранению «материалов» (данных), а к управлению всем жизненным циклом возведения «здания» — от чертежей до эксплуатации.

Но если присмотреться к этим правилам, становится очевидно: они фиксируют текущее состояние строительства, но оставляют за рамками ряд элементов архитектурного плана.

Вот области, где российский «проект» банковского регулирования может потребовать доработки.

• Стратегия. В международной практике стратегия управления данными — обязательный документ. Его наличие для российских банков пока носит рекомендательный характер, что отражено в методических рекомендациях регулятора[55].

• Владение данными. Мировая практика настаивает: у критичных данных должен быть бизнес-владелец — руководитель, который отвечает за их ценность, качество и использование как ключевого актива. Российское регулирование предполагает введение персональной ответственности за данные, но без конкретизации роли владельца и наделения топ-менеджмента ответственностью.

• Риск данных. В прочих регуляторных моделях[56] риск недостоверных, утерянных или неправильно истолкованных данных — такой же стратегический риск, как финансовый или операционный. Он требует своего места в корпоративной системе риск-менеджмента, своих метрик и сценариев реагирования. В России пока это закреплено лишь на уровне рекомендаций, не носящих обязательного характера.

• Ресурсы — не по остаточному принципу. Программа управления данными требует отдельного бюджета, команды и полномочий. Без этого она обречена быть инициативой энтузиастов, которая тихо угаснет при первом же сокращении расходов. В международной практике это проверяется регулятором и второй и третьей линиями защиты. В российском регулировании это пока не обязательное требование.

• Инструменты описания: Lineage, глоссарий, каталог. Их обязательное создание и заполнение регламентировано в международном регулировании. В российском пока упомянуто только на уровне рекомендаций.

Учитывая состояние международного регулирования и историю его развития, не исключено, что российское банковское регулирование может быть расширено на горизонте нескольких лет.

Что ждет другие индустрии? В обозримом будущем вряд ли стоит ждать появления столь же детальных нормативных актов для ретейла, телекома или промышленности. Государство не стремится регламентировать внутренние процессы компаний без крайней необходимости. Единственный сектор, где регулирование может ужесточаться, распространяясь на других участников, —