<strong>ВВЕДЕНИЕ</strong>

Развитие цифровых технологий не только ввело много нововведений в жизнь обычных граждан, но также заставило государства задуматься о возможных рисках и последствиях применения этих самых технологий на практике. Наиболее актуальным вопросом наравне с возможностью регулирования деятельности информационных технологий стал вопрос о защите персональных данных. Персональные данные пользователей зачастую становятся самой уязвимой статьёй цифровизации по причине недоработанности пунктов, связанных с обеспечением безопасности личной<em><strong> </strong></em>информации.

На национальном и международном уровне принимаются многочисленные нормативно-правовые акты, направленные на обеспечение основных прав и свобод человека и гражданина, закрепляя различные механизмы защиты этих самых прав и свобод. Но цифровизация современных производственных процессов, как и применение высокотехнологичных процессов практически во всех социальных сферах, приводит к вопросу о защите персональных данных. Становясь частью цифрового пространства, человек предоставляет доступ к информации о частной жизни всё более широкому кругу лиц и этим самым подвергает себя большим рискам. Персональные данные физического лица необходимо ограждать от третьих лиц вследствие увеличения роста краж персональной информации, так как, оказавшись в руках правонарушителя, такие данные превращаются в поражающее оружие против личности [Давыдова О.Б., 2018].

<strong>РОССИЙСКАЯ ФЕДЕРАЦИЯ</strong>

Основополагающим элементом в механизме защиты персональных данных является его достаточная нормативно-правовая обеспеченность. Законодательство Российской Федерации на всех уровнях регулирует вопросы защиты персональных данных. Так, Конституция РФ в статье 23 устанавливает, что каждый человек имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а в статье 24 говорится, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются [1]. Дальнейшее развитие института персональных данных в Российской Федерации проявилось в принятии федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Считается, что указанный закон является важным шагом к повышению уровня безопасности хранения и обработки персональных данных российских граждан; снижается вероятность несанкционированного получения доступа к информации иностранными лицами. Согласно статье 3 федерального закона «О персональных данных», под персональными данными понимается любая информация, которая может прямо или косвенно относиться к физическому лицу. Также, согласно закону, то, что является персональными данными или личной информацией, может видоизменяться в зависимости от того, можно ли идентифицировать самого человека или как его можно разумно идентифицировать при определённых обстоятельствах [2]. В дополнение к общим персональным данным необходимо учитывать, прежде всего, специальные категории персональных данных (также известные как конфиденциальные персональные данные), которые имеют большое значение, поскольку они подпадают под<em><strong> </strong></em>более высокий уровень защиты. Эти данные включают генетические, биометрические характеристики и информацию<em><strong> </strong></em>о состоянии здоровья, а также личные данные, раскрывающие расовое и этническое происхождение, политические взгляды, религиозные или идеологические убеждения или членство в профсоюзах [Рассолов И.М., Чубукова С.Г., Микурова И.В., 2019].

И последняя, но не менее важная особенность этого закона в том, что информация должна относиться к физическому лицу. Другими словами, защита данных не распространяется на информацию о юридических лицах, таких как общества, корпорации, фонды и учреждения. Напротив, для физических лиц защита начинается и прекращается с наличием правоспособности. По сути, человек получает эту способность при рождении и теряет её после смерти. Поэтому данные должны быть присвоены идентифицированным или идентифицируемым живым людям, чтобы считаться «личными».

Правила защиты данных меняются в зависимости от страны, региона, отрасли; это означает, что вопросы правового регулирования ИИ в области персональных данных можно решать по-разному, на основе местного, национального или международного законодательства [Незнамов А.В., Волынец А.Д., Бакуменко В.В., 2018]. На сегодняшний день государственные стратегии по применению ИИ, включая вопросы защиты персональных данных, разработаны во многих странах мира, таких как США, Канада, государства – члены Европейского Союза и многие другие. Рассмотрим некоторые из них.

<strong>СОЕДИНЁННЫЕ ШТАТЫ АМЕРИКИ</strong>

В США вопросы конфиденциальности данных вызывают бурные общественные дискуссии. Многочисленные споры, вызванные новыми изменениями в законодательстве в результате распространения коронавирусной инфекции, показали сильную обеспокоенность по поводу защиты персональных данных. О серьёзности ситуации свидетельствует тот факт, что был принят ряд контрмер, которые могут значительно ограничить возможность использования технологий искусственного интеллекта компаниями для решения задач, в том числе связанных с самим коронавирусом. В частности, ограничения на деятельность технологии по распознаванию лиц и персональных медицинских данных могут препятствовать внедрению технологий для отслеживания распространения и воздействия вируса, таких как применение теплового сканирования для допуска сотрудников на свои рабочие места (эта технология может также применять сканирование лица сотрудника). В свою очередь, владельцы крупной жилой недвижимости рассматривают возможность использования технологии распознавания лиц для контроля и наблюдения за входами в свои здания и предотвращения проникновения посторонних лиц, которые могут быть переносчиками коронавирусной инфекции.<em><strong> </strong></em>

Законопроекты, представленные на рассмотрение Конгрессу США, которые устанавливали бы требование на наличие согласия на использование технологии распознавания лиц, не прошли даже первичный этап. Тем не менее, что касается государственных организаций, один законопроект, который в настоящее время находится на рассмотрении Конгресса, выходит за рамки наложения требования о согласии, а вместо этого просто запрещает применение процесса распознавания лиц и других биометрических технологий федеральными организациями. Кроме того, данный законопроект регулирует вопрос<em><strong> </strong></em>финансирования федеральных грантов местными и государственными организациями, а также вводит мораторий на технологию распознавания лиц и предоставляет право на подачу иска лицам, чьи данные были собраны или использованы в нарушение данного закона.

Одной из наиболее распространённых сфер применения искусственного интеллекта в США, как известно, является именно сфера здравоохранения. Так, закон «Об умном наблюдении» (<em>Smartwatch</em>) запрещает компаниям передавать или продавать информацию о состоянии здоровья с личных потребительских устройств без информированного согласия заказчика, включая носимые устройства и трекеры [3]. Некоторые представители академической среды призвали к регулированию вопросов защиты медицинских или личных данных, в том числе, чтобы обработка этой информации соответствовала правилам, установленным законом «О переносимости и подотчётности медицинского страхования» от 1996 г. (далее – <em>HIPAA</em>) [4],<em> </em>в ещё более строгом порядке.

А данные, подпадающие под действие самого <em>HIPAA,</em><em> </em>будут регулироваться его «Правилом конфиденциальности» [5], которое также может непреднамеренно препятствовать развитию технологий ИИ. Например, один из основных принципов «Правила конфиденциальности» заключается в том, что использование и раскрытие защищённой медицинской информации должно быть ограничено только «минимумом, необходимым для выполнения конкретной транзакции или действия». Такие ограничения на использование могут повлиять и на возможность разработки искусственного интеллекта, связанного со сферой здравоохранения, так как использование ИИ в сфере здравоохранения находится под пристальным общественным вниманием. Так, например, медицинские работники некоторых штатов недавно подали иск в отношении компании, производящей бытовое устройство с голосовым управлением, утверждая, что оно незаконно записывало, хранило и анализировало информацию о пациентах, защищённую <em>HIPAA,</em> включая взаимодействие между медицинскими работниками и их пациентами [4].

Возможно, ни одна область применения технологии искусственного интеллекта не вызывала таких горячих усилий по регулированию или запрету её использования в Соединённых Штатах, как внедрение технологии распознавания лиц правоохранительными органами и чиновниками иных государственных ведомств. Как и другие биометрические показатели, данные, связанные с геометрией и структурой лица, часто считаются одними из «самых личных» и конфиденциальных данных о человеке, что побуждает правозащитников призывать к особой бдительности при защите от несанкционированного или злонамеренного использования. В результате многие общественные группы и другие ярые противники технологии распознавания лиц поспешили забить тревогу из-за проблем,<em><strong> </strong></em>связанных<em><strong> </strong></em>с базовой технологией, а также о потенциальном или фактическом неправомерном использовании со стороны государственных органов, хотя большая часть регулирующей деятельности на сегодняшний день осуществлялась на местном уровне. Несмотря на все эти усилия по ограничению применения технологии распознавания лиц, её использование фактически увеличилось в 2021 г., в первую очередь из-за усилий правоохранительных органов по выявлению и аресту участников беспорядков в здании Капитолия США. Однако даже повсеместное осуждение участников беспорядков коренным образом не изменило «тревожное» отношение защитников цифровых прав к растущему применению технологий распознавания лиц [6].

Обеспокоенность по поводу распознавания лиц и других биометрических технологий, выдвинутая на передний план движениями за расовую справедливость, заставила законодательные органы федерального уровня и штатов пересмотреть использование технологии распознавания лиц государственными и полицейскими управлениями и предложить закон, запрещающий применение этой технологии полицией в целом. Так, предлагаемый закон «О развитии технологии распознавания лиц» [7] призывает министра торговли и Федеральную торговую комиссию провести исследование технологии распознавания лиц, а предлагаемый закон «О развитии американского ИИ» [8] будет способствовать формированию отношения к искусственному интеллекту «в соответствии с принципом защиты частной жизни, гражданских прав и свобод». Однако, несмотря на возобновление внимания к проблеме технологии распознавания лиц и сбора и использования биометрических данных в течение последних нескольких лет, Конгресс ещё не принял ни одного из предложенных законов [9]. Единственным действующим на федеральном уровне можно считать закон «О защите персональных данных» от 1980 года [10].

За последние несколько лет законодатели на уровне штатов сами разработали несколько законопроектов, связанных с защитой персональных данных. Среди них, к примеру, можно отметить, закон штата Калифорния «О правах на неприкосновенность частной жизни и обеспечении их соблюдения». Хотя большинство из них не относятся конкретно к технологиям ИИ, некоторые включают положения, касающиеся автоматизированного принятия решений, а большая часть из них может сильно повлиять на сам процесс развития технологий ИИ в Соединённых Штатах.

<strong>КАНАДА</strong>

Канадское правительство и промышленность в целом за последние несколько лет инвестировали значительные средства в развитие сферы ИИ, в развитие сотрудничества с целью создания инновационных и исследовательских центров. Кроме того, для расширения этой сферы были выделены гранты в размере нескольких миллионов долларов. Канада не только оказала заметное влияние на развитие в глобальных масштабах различных инноваций в области ИИ, разработав динамичную стартап-экосистему, но также способствовала привлечению экспертов в этой области, в том числе исследователей в крупные компании – разработчики программного обеспечения.

Единственным нормативно-правовым актом всестороннего регулирования ИИ и автоматизированных систем в Канаде является Директива правительства Канады об автоматизированной системе поддержки принятия решений (“<em>Canada</em><em>’</em><em>s</em><em> </em><em>Directive</em><em> </em><em>on</em><em> </em><em>Automated</em><em> </em><em>Decision</em><em>-</em><em>making</em><em>”</em><em> </em>либо<em> </em><em>“</em><em>Canada</em><em> </em><em>ADM</em><em> </em><em>Directive</em><em>”</em><em>)</em> (далее – директива)<em>.</em> Она вступила в силу 1 апреля 2020 г. В отличие от предлагаемых в отношении ИИ норм в Европейском Союзе, канадская директива <em>“</em><em>ADM</em><em>”</em><em> </em>очень ограничена по своему охвату. Что наиболее важно, директива<span style="text-decoration: underline;"> </span>“ADM”<em> </em>регулирует только системы федерального правительства и федеральные структуры. Она не применяется к системам, используемым правительствами провинций, муниципалитетами или провинциальными агентствами, таким как полицейские службы, агентства по защите детей, а также многим другим важным государственным учреждениям. Канадская директива<em> </em>также не применяется к системам искусственного интеллекта или нормативным актам, относящимся к частному сектору.

Директива устанавливает базовые требования, применяемые обычно ко всем системам ИИ, независимо от уровня их влияния [11: s. 6], в том числе: к доступу, анализу информации, тестированию и аудиту для лицензионного программного обеспечения; к выпуску пользовательского исходного кода, принадлежащего правительству Канады; к обеспечению качества и к мониторингу, включая:

– тестирование «перед запуском в производство… [чтобы убедиться, что все системы] проверены на непреднамеренные искажения данных и другие факторы, которые могут исказить результаты»;

– мониторинг «результатов систем для защиты от непредсказуемых последствий» и проверка «соблюдения институционального и программного законодательства»;

– консультации с государственными юридическими службами с целью обеспечения соблюдения требований директивы действующему законодательству;

– предоставление информации об эффективности и результативности и другие.

Директива устанавливает требования по алгоритмической оценке воздействия для каждого автоматизированного процесса «Поддержки принятия решений», включая также оценку «воздействия на права отдельных лиц или сообщества в целом». В директиве также указывается, что мониторинг и проверки должны быть публичными и открытыми.

Канадская директива<em> </em>прямо не требует, чтобы системы ИИ или иные автоматизированные системы соответствовали Хартии Европейского Союза об основных правах или канадскому законодательству о правах человека. Напротив, в директиве говорится, что её целью является «гарантировать, чтобы автоматизированные системы “Поддержки принятия решений” были развёрнуты таким образом, чтобы снизить риски для канадцев и федеральных учреждений, и вести к более эффективному, точному, последовательному и интерпретируемому процессу, соответствующему канадскому законодательству» [11: s. 4.1].

Как указано в директиве, её цель состоит в том, чтобы «положения, принятые ведомством федерального правительства, были правомерны и соблюдали принцип процедурной справедливости и процессуальные требования». Разработка и внедрение искусственного интеллекта представляет собой многогранный процесс, включающий различные аспекты, и государство должно определять уровни рисков, которые могут иметь различные организации и предприятия.

<strong>ЗАКЛЮЧЕНИЕ</strong>

Таким образом, завершая тему правового обеспечения защиты персональных данных, можно сделать следующие выводы.

– При использовании технологий ИИ важно сохранять прозрачность и открытость, чтобы пользователи могли интерпретировать выходные данные и применять их надлежащим образом. Данное положение может быть включено в руководство по использованию ИИ в отношении предприятий, чтобы не допускать неправильного толкования. Многие технологии искусственного интеллекта непредсказуемы и трудно поддаются контролю. Должна быть осуществлена предварительная оценка рисков, а также проведена проверка того, что системы ИИ работают точно на протяжении всей фазы их жизненного цикла с воспроизводимыми результатами. Кроме того, системы ИИ должны адекватно обрабатывать ошибки, имея возможности, в том числе, для их исправления. Также следует разработать дополнительные правила для обеспечения устойчивости к кибератакам и попыткам манипулирования данными или алгоритмами.

– Важен также контроль со стороны человека, в дополнение к тому, что уже установлено для поддержки автоматизированного принятия решений. В зависимости от обстоятельств человеческий контроль должен осуществляться до того, как будут получены результаты, или после и/или на протяжении всего процесса обучения и получения результатов. Это будет зависеть также от типа системы и сферы её использования.

– Дополнительные требования могут быть установлены для других конкретных систем, включая дистанционную биометрическую идентификацию, которая позволяет идентифицировать людей на расстоянии и в общественном месте с помощью набора биометрических идентификаторов (например, отпечатков пальцев, изображения лица и т.д.), которые сравниваются с другой информацией, хранящейся в базе данных.