Генеративный искусственный интеллект. Как ИИ меняет нашу жизнь и работу - Нума Дхамани

При использовании этих инструментов в вашем бизнесе или продукте будьте прозрачны в отношении их применения и контролируйте практики применения, чтобы обеспечить соблюдение политики конфиденциальности данных.

Отдавайте себе отчет, что чат-боты – не люди, что у них есть как возможности, так и риски; мы не должны полагаться на них бездумно. Используйте надежный VPN [37]для маскировки своего IP-адреса, чтобы ограничить объем данных, собираемых этими системами.

3.3. Изучаем ПДД: политика и нормативные положения в области обработки данных

31 марта 2023 года итальянский регулятор по защите данных принял временное экстренное решение о том, что OpenAI должен прекратить использовать личную информацию итальянцев в своих обучающих данных для ChatGPT19. В ответ OpenAI приостановил работу чат-бота в Италии. Примерно в то же время регулирующие организации Франции, Германии, Ирландии и Канады тоже начали расследование того, как OpenAI собирает и использует данные.

В этом разделе мы рассмотрим законы и нормативные акты, которые регулируют сбор, хранение, обработку и удаление данных. Как мы обсудим далее, существующие законы о конфиденциальности и механизмы защиты данных часто носят ограниченный характер: осуществление надзора распределено между ведомствами, и существует множество открытых вопросов о том, кто должен возглавлять регулирование в этой области, а также определять его границы. В главе 8 мы рассмотрим эти вопросы более подробно и обсудим необходимость глобального надзора за управлением ИИ.

3.3.1. Международные стандарты и законы о защите данных

Законы о защите данных обеспечивают правовую основу для получения, использования и хранения данных физических лиц или связанных с ними данных. В 1970‐х и 1980‐х годах были приняты первые законы о защите данных в ответ на создание государственных баз данных. В 1973 году Швеция стала первой страной, принявшей национальный закон о защите данных20. Первые законы о защите данных были ограничены в сфере действия и в основном были направлены на привлечение владельцев баз данных и операторов к ответственности за безопасность и точность данных. Они также были в первую очередь приняты для официальных баз данных и записей, которые ведутся государственными учреждениями. Вскоре после этого Германия, Франция, Испания, Великобритания, Нидерланды и несколько стран Латинской Америки приняли свои собственные законы о защите данных.

Рис. 3.4. Основополагающие принципы добросовестных практик использования данных (FIPs)21

Одну из самых ранних правовых систем приняли Соединенные Штаты в начале 1970‐х годов. Основываясь на Федеральном кодексе добросовестных практик использования данных (Fair Information Practices, FIPs), который был разработан Консультативным комитетом по автоматизированным системам обработки персональных данных при Министерстве здравоохранения, образования и социального обеспечения (HEW)21, Конгресс США принял Закон о конфиденциальности 1974 года, регулирующий сбор и использование персональной информации федеральными агентствами (см. http://mng.bz/9Q7o). Как показано на рис. 3.4, добросовестные практики использования данных включают в себя пять принципов: ограничение сбора, обнародование, повторное использование, исправление записей и безопасность. Эти стандарты легли в основу политики конфиденциальности, вдохновив на разработку множества национальных принципов и правовых рамок на протяжении последних десятилетий. Добросовестные практики использования данных и последующие системы, разработанные на их основе, в совокупности сформировали принципы добросовестных практик использования данных (Fair Information Practice Principles (FIPPs) (см. http://mng.bz/j1op).

В 1980 году Организация экономического сотрудничества и развития (ОЭСР), межправительственная организация по экономическому развитию и мировой торговле, приняла первый согласованный на международном уровне свод принципов защиты данных, который по большей части следовал основным принципам FIPPs и добавлял новый принцип – подотчетность (см. http://oecdprivacy.org/). Опять же, вдохновленный положениями FIPPs, закрепленными в принципах ОЭСР, Европейский парламент в 1995 году принял первый современный закон о защите данных в цифровую эпоху – Директиву о защите данных (Data Protection Directive, DPD). В 2012 году Европейская комиссия официально предложила Общий регламент по защите персональных данных (General Data Protection Regulation, GDPR) – логически обоснованное обновление Директивы о защите данных, которое было одобрено Европейским парламентом в 2016 году и стало национальным законом в 2018 году22.

Между тем по другую сторону Атлантики Федеральная торговая комиссия США (FTC) сузила восемь принципов ОЭСР, уделяя главное внимание уведомлению и выбору. Фокус на принципах уведомления и выбора обосновывался идеей о том, чтобы отдельные лица могли принимать взвешенные решения о сборе и использовании их данных при наличии адекватной информации о цели такого сбора23. Только в 2018 году законодательный орган Калифорнии принял Калифорнийский закон о защите персональных данных потребителей (California Consumer Privacy Act, CPPA) – первый закон о защите персональных данных на уровне штата в Соединенных Штатах24. Помня о скандале с Cambridge Analytica [38], 25, составители CCPA сосредоточились на защите данных и оперативном снижении рисков. В 2023 году Калифорнийский закон о правах на неприкосновенность частной жизни (CPRA) заменил CCPA, расширив существующие права и введя новые26. После CCPA были приняты всеобъемлющие законы в Колорадо, Коннектикуте, Айове, Вирджинии и Юте, а также были внесены законопроекты в нескольких других штатах27. Конгресс США тоже начал вносить федеральные законопроекты по защите персональных данных, приняв при этом федеральные законодательные акты, направленные на решение более узких вопросов, касающихся конфиденциальности детей в интернете, технологии распознавания лиц и многого другого. На рис. 3.5. ниже представлена хронология принятия основных законов о защите данных.

Рис. 3.5. Краткая хронология принятия законов о защите данных

В книге Beyond Data: Reclaiming Human Rights at the Dawn of the Metaverse («За пределами данных: Восстановление прав человека на заре Метавселенной») Элизабет Реньерис описывает недостатки существующего законодательства в области конфиденциальности и защиты данных. Она говорит о том, что механизмы защиты основаны на предположении о том, что существуют некие взаимоотношения между стороной, собирающей данные, и стороной, чьи данные собираются, и дополнительно подчеркивает, что законодательство фокусируется только на обработке данных. Реньерис утверждает, что эти механизмы защиты данных перестают работать по мере того, как сбор данных становится более пассивным, а люди все меньше осведомлены о том, какие организации собирают их данные, особенно это касается технологий искусственного интеллекта и машинного обучения. Она также утверждает, что главные принципы управления данными – уведомление и выбор – терпят крах в нашем цифровом мире. Она говорит: «Права человека – это наша главная надежда на достижение нового консенсуса в области управления технологиями в постцифровом мире, подобного всеобъемлющему международному консенсусу, который сформировался вокруг FIPPs в эпоху баз данных. Включение управления новыми и передовыми технологиями в систему прав человека позволяет нам рассматривать этот вопрос с точки зрения человека, а не данных, технологий, коммерции или рынка»28.

3.3.2. Соответствуют ли