Трансграничные регуляторные песочницы данных

Департамент (по-нашему — министерство) цифрового развития, культуры, СМИ и спорта Великобритании недавно опубликовало исследование о построении трансграничных песочниц данных.

Отчёт описывает типологию регуляторных песочниц данных и формирующийся опыт их построения в трансграничном формате.

Обозначаются ситуации и технологии, для которых могут быть полезны такие песочницы, а также основные проблемы при их создании.

Предлагается типовой план построения и развития песочницы, включая определение критериев для выбора участников.

Стандартное соглашение об обработке персональных данных

Специалисты по прайваси насмотрелись на OneNDA и создали OneDPA — на тех же принципах краудсорсинга и стандартизации — но для регулирования обработки персональных данных.

Основные зачинщики проекта — PWC и ContractPodAI. Также на сайте указаны и иные участники, в числе которых целый ряд всем известных организаций.

Скачать и почитать подробнее можно здесь.

Инструмент годится для тех, на кого распространяется GDPR или его британская версия.

Коллеги, давайте смотреть и высказываться в комментариях. Оно нам (применяющим GDPR) нравится, не нравится, и почему...

Также, пожалуйста, делитесь, если вам известны другие аналогичные краудсорс-инициативы по стандартизации документов об условиях обработки персональных данных — в Европе или в других регионах.

"Ирландкомнадзор" планирует заблокировать Фейсбук

Ирландский орган по защите персональных данных уведомил своих коллег на континенте о своих планах заблокировать передачу Метой персональных данных европейцев в США, сообщает Политико.

Утверждается, что Мете будет запрещено полагаться в этом вопрос на стандартные договорные условия (SCC) — инструмент, остававшийся доступным после признания недействительным фреймворка Прайваси Шилд.

В случае реализации этого решения при отсутствии у Меты технической возможности обеспечить работоспособность Фейсбука и Инстаграма в Европе без такой передачи доступность этих платформ в Европе может быть ограничена.

Деятельность Meta Platforms Inc. по реализации продуктов — социальных сетей Facebook и Instagram запрещена в РФ

Cyber Week 2022: будущее регулирования защиты данных

Интересное мероприятие прошло на прошлой неделе в Тель-Авиве.

Две панели:
1) по регулированию рекламы на цифровых платформах,
2) по трансграничной передаче данных.

Интересные спикеры: руководители профильных служб и подразделений Федеральной торговой комиссии США, Еврокомиссии, Гугл, Ибэй, Эппл, Эпсфлаер (маркетинговая аналитическая платформа), ТрансЮнион (бюро с досье из 200 млн. кредитных историй).

Обсуждали: будущее рекламы в цифровой среде, "экономику слежки", влияние новых технологий, новое соглашение США и ЕС о трансграничной передаче данных на замену "Прайваси Шилд", вызовы для международного бизнеса.

Видеозапись, программа.

Чат канала

Если хотите обсудить что-то по тематике канала, но не обязательно в привязке к конкретным постам, у нас есть чат

Евросоюз пересматривает Директиву о машинном оборудовании

В проекте Регламента по ИИ Евросоюз фокусируется на регулировании систем ИИ повышенной опасности. При этом по всему видно, что те категории систем, которые хотят регулировать через Регламент об ИИ, очевидно лишь частично будут пересекаться с теми, которые, например, в России будут признаваться источником повышенной опасности.

В традиционном понимании опасно и заслуживает строгой ответственности (независимо от вины) только то, что повышает риск причинения физического вреда жизни, здоровью людей, ну и окружающей среде, как важной опять же для физического выживания людей.

В контексте проектируемого регламента об ИИ фокус — на предотвращении вреда не физического, а нематериального.

Если оперировать терминами из защиты прав человека, то обоснование введения новых норм можно найти в защите права на психическую неприкосновенность, но не на физическую.

Если посмотреть практику ЕСПЧ, можно увидеть, что есть континуум нарушений этой пары прав, защищаемой разными статьями ЕКПЧ в зависимости от тяжести нарушения.

Незначительные посягательства на психическую и физическую неприкосновенность не образуют нарушения ЕКПЧ. Начиная с определённого порога такие посягательства, включая чисто психические, образуют нарушение нормы о неприкосновенности частной жизни. При определённой более высокой тяжести нарушения те же психическая и телесная неприкосновенность начинают защищаться через норму о запрете пыток и обращения, унижающего достоинство. И как кульминация — наиболее тяжкие посягательства в основном уже по сути на физическую неприкосновенность защищаются через норму о праве на жизнь.

Пересмотр же Директивы о машинном оборудовании, наряду с иным отраслевым регулированием, позволяет адресовать и проблему физического вреда. В контексте Директивы (преобразуемой в Регламент) — фокус на машинном оборудовании, содержащем в своём составе системы ИИ, обеспечивающие физическую безопасность.

Текст соглашения на замену Прайваси Шилд может появиться к концу 2022 — началу 2023 года

Такое предположение сделал Бруно Генчарелли, руководитель подразделения по трансграничной передаче и защите данных Еврокомиссии.

Тезис был озвучен на второй дискуссионной панели Cyber Week 2022, о которой я писал в пятницу.

Напомню, что рамки будущего текста соглашения, необходимого для трансграничной передачи данных европейцев в США, были согласованы США и ЕС ранее в марте этого года. По этому поводу у меня также был пост.

Немецкая конференция органов по защите данных предлагает закрыть все фан-страницы на Фейсбуке

С этим невозможно согласиться.

При решении таких деликатных вопросов, как возможное закрытие ВСЕХ страниц негосударственных организаций в социальных сетях, право посетителей страниц на защиту данных является лишь одним из прав, которые необходимо учитывать.

Это не абсолютное право, и в каждом конкретном случае оно должно быть сбалансировано с правами других, включая свободу выражения мнений и право на ведение бизнеса.

Предложения DSK («просто закрыть все фан-страницы на Facebook»), на мой взгляд, демонстрируют досадное отсутствие необходимо нюансированного взгляда на этот вопрос.

Кроме того, предложения основаны на возможно ошибочной интерпретации GDPR с точки зрения того, как на самом деле может работать совместное выполнение двумя лицами функций оператора (оно не обязательно будет распространяться на все операции по обработке данных, например, на трансграничную передачу, не обязательно в равной степени будет распределяться бремя соблюдения требований на двух сооператоров, которые явно находятся в очень разных "весовых категориях").

Присутствие в социальных сетях жизненно необходимо в наше время.

Поэтому я искренне желаю, чтобы органы по защите данных и их ассоциации были более осведомлены о вышеизложенном, чтобы на корню не задушить любую законную некоммерческую и коммерческую деятельность. Даже если с добрыми намерениями.

Гугл хочет удалить Тиндер из Гугл Плей

Выражаясь мемной фразой из "Героев меча и магии", астрологи объявили год блокировок.

В ответ на майский иск оператора Тиндера о злоупотреблении завышенными комиссиями, Гугл предъявил встречный иск, в котором добивается взыскания убытков и "индульгенции" от суда на удаление Тиндера из своего магазина приложений.

Кто победит "в схватке двух якодзун" — покажет время.

Clearview AI снова оштрафована за нарушение GDPR

Очередной рекордный штраф — 20 млн. евро — компания получила на этот раз от греческого органа по защите данных. Также ей предписано удалить незаконно собранные данные.

Основное вменяемое компании нарушение: для обучения своих моделей она использовала пригодные для биометрического распознавания фотографии людей, полученные из интернета без наличия на то законного основания.

Между тем, для обработки таких данных как правило требуется явное согласие субъекта персональных данных. Без такого согласия обработка биометрических данных допускается лишь в исключительных случаях, под которые действия компании не подпадали.

Ранее компания уже была объектом расследования и санкций со стороны государственных органов Канады, Австралии, Великобритании (штраф 7,5 млн. фунтов), Франции и Италии (штраф 20 млн. евро).

Как на самом деле работают большие языковые модели, подобные LaMDA

Теперь, когда тема ушла из заголовков, самое время посмотреть объясняющее видео от Компьютерофила.

Нет, у них не то, что "сознания" нет. Более того, есть довольно сильные ограничения. Спросите их про то, о чём вы уже с ними "разговаривали" пару месяцев назад — маловероятно, что "вспомнят".

Смарт-контракты: автоматическое создание на основе XML-разметки

Вималь Двиведи и Алекс Норта разработали и предлагают свою версию XML-разметки для описания условий смарт-контрактов, а также способ последующей автоматической конвертации в код на языке Солидити, пригодный для использования на блокчейне Эфириума.

Авторы отмечают, что их подход позволит облегчить задачу создания смарт-контрактов, выстраивая их в общепринятой BPMN-нотации.

США: федеральное регулирование применения искусственного интеллекта

О планах разработки такого регулирования стало известно в начале года, координация работы была поручена Управлению научно-технической политики США.

Однако, вопреки заявлениям руководителя Управления, какой-либо конкретный проект документа пока опубликован не был.

Организации, обеспокоенные этим, надеются, что вопрос будет поднят в ближайшую среду, когда Конгресс будет утверждать в должности нового главу Управления.

Как сообщалось ранее, в первую очередь такое регулирование может быть сфокусировано на технологиях обработки биометрических данных, а также на использовании ИИ при подборе персонала.

Основная линия предлагаемого регулирования: защита прав человека.

Основные объекты внимания:
- требования к качеству обучающей выборки для машинного обучения,
- информирование об использовании ИИ для принятия значимых решений, влияющих на права человека,
- ограничение сбора персональных данных,
- право на эффективные средства правовой защиты в связи с причинением вреда в результате применения ИИ.

Великобритания представила свою концепцию регулирования искусственного интеллекта

Правительство страны представило парламенту и публике концепцию "проинновационного" регулирования ИИ.

Проинновационность заключается в том, что, в отличие от ЕС, межотраслевое законодательное регулирование ИИ вводиться не будет.

В качестве рамок будущего отраслевого регулирования провозглашаются следующие межотраслевые принципы, основанные на принципах ИИ ОЭСР:

1) контекст-ориентированные меры по оценке и предотвращению вреда системами ИИ;

2) доказанная техническая надёжность и соответствие систем ИИ решаемым задачам, в том числе за счёт качества используемых данных;

3) прозрачность и объяснимость систем ИИ с учётом необходимой конфиденциальности и защиты интеллектуальной собственности (включая недопустимость применения необъяснимых моделей для определённых задач, например, при вынесении судебных решений);

4) обоснованность и непроизвольность значимых решений, принимаемых с использованием систем ИИ

5) атрибуция юридической ответственности за любые последствия применения системы ИИ конкретному физическому или юридическому лицу;

6) сохранение эффективности существующих мер правовой защиты для оспаривания последствий применения систем ИИ и получения компенсации.

Одновременно — до 26 сентября 2022 г. — Правительство открыло публичные консультации для подготовки следующего концептуального доклада, который будет выпущен к концу года и более детально покажет, как обозначенные принципы будут реализованы на практике.

Максим Фёдоров о проблемах применения искусственного интеллекта

Ректор "Сириуса" и известный специалист по ИИ дал интересное интервью Коммерсанту. Важнейшие тезисы:

- проблема неустойчивости решений обученных моделей: жизнь обязательно богаче обучающей выборки, поэтому ошибки по результатам использования ИИ-продуктов гарантированы, вопрос лишь в их времени и частоте,

‐ закладки через данные: угрозы кибербезопасности (например, неожиданный разгон автономного автомобиля, запланированное искажение распознавания лица) теперь могут создаваться манипуляциями на обучающей выборке и присутствовать в том числе в популярных открытых наборах данных, которым поэтому не стоит полностью доверять,

- системы социального рейтинга: не просто репрессивны, но ещё и антинаучны, поскольку основаны на ложном предположении о возможности выразить сложную социальную реальность моделью с конечным числом параметров.

Стивен Талер проиграл апелляцию по ДАБУС

Ранее я писал о его попытках указать в заявке на патент в качестве изобретателя систему, которую он использовал для генерации изобретения.

Патентное бюро США посчитало это не очень элегантным и отказало. С ним согласился суд первой инстанции. Но фрикам нет покоя — они подают жалобы.

И вот в эту пятницу федеральный апелляционный суд отказал Стивену Талеру в оспаривании акта нижестоящего суда.

Апелляционный суд согласился с тем, что, исходя из буквального толкования патентного закона, изобретателем может быть только человек.

Суд отметил, что если в законе буквально написано, что изобретателем может быть только человек (а там так буквально и написано), то работа суда на этом заканчивается.

Тайная сокровищница данных Илона Маска.
Мы теряем приватность и даже не знаем об этом.
Tesla уже продала около 3 млн. автомобилей. Они практически ежедневно отгружают в хранилища своего производителя моря разнообразных данных о пройденных ими миллиардах миль и GPS-треках маршрутов, сопровождая это деталями, запечатленными на миллионах фотографий и видео (1).
Почти каждый новый серийный автомобиль оснащен набором датчиков, включая камеры и радары, которые собирают данные о водителях, других участниках дорожного движения и их окружении.
Сбором больших данных промышляет далеко не только Tesla (хотя Tesla – явный чемпион в этом деле). Уже существует огромная индустрия торговцев данными о транспортных средствах, водителях и местоположении, которая к 2030 может стоить до 800 $млрд (2).
Считается, что все эти данные анонимные. И что автопроизводитель получает право лишь на те данные, что согласился отдавать ему владелец авто.

Что это совсем не так, хорошо знают в Компартии Китая. Для них это автомобиль-шпион. И потому этим летом шпионским авто запрещен въезд на курорт Бэйдайхэ, где проходит 2-х месячная серия мероприятий КПК. Китайцы убеждены, что встроенные камеры автомобилей Tesla могут много чего увидеть и передать из того, что вовсе не предназначено для чужих глаз.

Другой отрезвляющий свежий пример – история о том, как легко и непринужденно Tesla отбила судебный иск о халатности после того, как двое молодых людей сгорели в автокатастрофе модели S, принадлежащей отцу одной из жертв аварии. В рамках своей защиты компания представила исторический анализ скорости, показывающий, что за несколько предшествовавших аварии месяцев автомобиль двигался с ежедневной максимальной скоростью в среднем более 90 миль в час (145 километров в час). Эта информация собиралась в тайне от водителя и хранилась на серверах Tesla (в результате присяжные сочли, что компания Tesla проявила небрежность всего на 1%).

Многие эксперты считают, что Tesla знает практически обо всем: кто, куда и когда ездит, как ездит, с кем ездит, с какими машинами и людьми встречается на дорогах, общественных и приватных парковках, сколько времени проводит в конкретных ресторанах и клубах, как часто приезжает (и как надолго) по конкретным адресам и т.д.

Что компания – детище Илона Маска, - делает со всеми этими данными, можно только предполагать.
Но то, что владельцы шикарных авто могут забыть о приватности своих поездок, - уже свершившийся факт.

1 2
#Приватность

Пообсуждали ИИ и этику с Романом Душкиным (@drv_official), любезно пригласившим меня в гости.

Лайк, шер, сабскрайб на нас обоих :)

P.S. в интро до эфира Роман немного преувеличил мои заслуги: я был не руководителем рабочей группы Росстандарта, а только её участником :)

Опубликован проект Директивы ЕС об особенностях применения внедоговорной гражданской ответственности к системам искусственного интеллекта

Вслед за публикацией летом проекта поправок в Директиву о машинном оборудовании Еврокомиссия на прошлой неделе опубликовала проект новой Директивы, применяемой ко в том числе сугубо программным ИИ-продуктам.

После оценки регуляторного воздействия трёх вариантов Директивы выбран её промежуточный вариант: предлагается вначале провести ограниченную гармонизацию гражданского процессуального и деликтного права стран ЕС, а затем оценить необходимость более серьёзных изменений.

В течение двух лет после вступления Директивы в силу (период транспозиции) странам ЕС необходимо будет внести в своё национальное законодательство изменения: ввести новые процессуальные гарантии истребования доказательств, а также установить опровержимые презумпции, облегчающие доказывание состава гражданского правонарушения истцу, предъявляющему деликтный иск разработчикам или эксплуатантам систем ИИ повышенной опасности (high-risk AI).

В результате имплементации Директивы:
1) истцы-потерпевшие будут вправе ходатайствовать перед судом об истребовании доказательств, в том числе у третьих лиц, если ответчик по иску о причинении вреда не содействует в этом истцу, и о принятии обеспечительных мер для сохранности таких доказательств,
2) будет установлена опровержимая презумпция нарушения ответчиком ныне проектируемого Регламента ЕС об ИИ, применяемая в случаях, когда ответчик отказывается содействовать в истребовании или обеспечении сохранности доказательств,
3) будет установлена опровержимая презумпция причинной связи между нарушением ответчиком Регламента ЕС об ИИ и действием или бездействием системы ИИ, приведшим к причинению вреда истцу.

До истечения пяти лет по окончании периода транспозиции (то есть в течение семи лет после вступления Директивы в силу) после Еврокомиссия должна будет оценить, насколько эффективна принятая Директива, и нужно ли в дополнение к описанным выше правилам об ответственности при наличии вины также гармонизировать в странах ЕС правовые режимы безвиновной ("строгой") ответственности для отдельных сценариев применения ИИ.

Куки-баннеры: казнить нельзя помиловать

Где поставить запятую в этом предложении, после "казнить" или после "нельзя"?

Исследователи и создатели расширения под браузер Хром "Консент-о-Матик" предлагают первый вариант. А один из лидеров рынка кукибаннеростроения — УанТраст — конечно, за второй.

Казалось бы, статья 21 (5) Общего регламента ЕС по защите данных прямо даёт пользователю право использовать средства автоматизации для отклонения запросов на обработку персональных данных. Это положение действует преимущественно перед правилами статьи 5 (3) Директивы 2002/58/EC, предписывающей брать с пользователя согласие до установки кукис на его оконечное оборудование.

Соответственно, европейские пользователи имеют полное право установить подобное расширение, чтобы автоматически отклонять запросы на сохранение кукис.

Но, по словам одного из разработчиков Консент-о-Матика, Мидаса Нувенса, компания "УанТраст" сейчас пытается запатентовать решение, которое позволит отклонять такие автоматизированные отказы, и даже заставлять пользователей вводить капчу, чтобы подтвердить человеческое происхождение отказа от сохранения кукис.

При этом УанТраст обосновывает полезность патентуемого решения аргументом о том, что пользователь-де в подобном сценарии может принимать неинформированное решение об отказе от кукис, что не позволяет администратору сайта соблюсти требования закона.

Как совершенно верно отмечает Нувенс, подобный аргумент совершенно абсурден, ведь указанная выше норма Регламента ЕС прямо допускает использование пользователем программы для автоматического, невдумчивого отказа от сохранения кукис. Отказ, в отличие от согласия, не должен быть "конкретным, информированным, данным свободно и недвусмысленно".

По-хорошему, УанТраст должен публично покаяться в подобной ошибке и отозвать свою заявку.

В противном случае, на мой взгляд, компания достойна всяческого порицания за такой шаг.

Кроме того, мне кажется (но точнее может сказать @vychislit_po_ip), что при попытке получить такой же патент в Европе УанТрасту может быть отказано в связи с противоречием изобретения европейскому публичному порядку: единственная заявленная цель использования изобретения состоит в прямом нарушении Регламента ЕС о защите данных и прав пользователей.

Федеральное (не)регулирование ИИ в США

На этой неделе появился повод написать сиквел к моей июльской заметке. Управление научно-технической политики Администрации Президента США опубликовало документ, озаглавленный "Blueprint for an AI Bill of Rights".

Основное тело документа состоит из пяти принципов разработки и эксплуатации систем ИИ, сопровождаемых руководством по их практической реализации и глоссарием.

Базовые принципы:
1) безопасность и эффективность систем ИИ,
2) предотвращение алгоритмической дискриминации,
3) приватность данных - конструктивная и по умолчанию,
4) предупреждение о взаимодействии с системой ИИ и объяснимость результатов её работы,
5) человеческий контроль и право на взаимодействие с человеком.

В целом, по сравнению с проектом Регламента ЕС в документе не заметно никаких принципиально новых идей, хотя, конечно, есть разница в изложении и подходах.

Самое важное — вопреки некоторым ожиданиям, это не законопроект. Практически вся первая страница документа посвящена дисклеймерам о том, что это лишь доклад ("вайт пейпер") в поддержку развития будущего регулирования ИИ с фокусом на гражданские права и демократические ценности.

При этом документ не только строго никого ни к чему не обязывающий ("non-binding"), но и не представляет собой даже изложение государственной политики в этой области ("does not constitute U.S. government policy"). В этом смысле он имеет даже меньшую силу, чем ранее принятая российским правительством концепция развития регулирования ИИ и робототехники.

Таким образом, американское правительство, по сути, оставляет развязанными руки как себе, так и американским разработчикам и эксплуатантам систем ИИ. В том числе по этически спорным сценариям применения ИИ, типа биометрической идентификации в общественных местах, которые могут быть потенциально запрещены в Европейском союзе.