Регулирование / Статьи
за рубежом информбезопасность персональные данные технологии
10.6.2020

Этика для искусственного интеллекта

Создателей цифровых решений могут обязать встраивать инструменты защиты данных

Рекомендации о внимании к конфиденциальности информации и осведомленности граждан при внедрении систем с алгоритмами, в том числе искусственного интеллекта (ИИ), дают регуляторы Канады, Германии, Евросоюза. В России отдельные нормы при использовании таких технологий могут быть приняты к концу 2020 года, в том числе по итогам тестирования инноваций. Но комплексное законодательство в этой области планируется сформировать к 2024 году.


ВЛИЯТЕЛЬНЫЙ ИИ

Искусственный интеллект проник во все сферы жизни. Нейросети помогают восстановить доступ к личному профилю на коммуникационных площадках. Боты – финансовые помощники в онлайн-банках давно принимают решение о выдаче кредитов. Обученные сенсоры в супермаркете понимают, какие товары взял с полки потребитель, чтобы суммировать и затем списать деньги с его кредитной карты.

Помимо нишевых коммерческих применений, ИИ активно используют госструктуры. Это стало очевидным при организации карантинных мероприятий во многих городах мира с применением биометрических технологий.

Пандемия только подстегнула государства проводить масштабные эксперименты по внедрению искусственного интеллекта в процессы жизнедеятельности городов. Так, с 1 июля 2020 года в Москве стартует пятилетний проект по тестированию ИИ-систем. Принять участие в эксперименте смогут юрлица и индивидуальные предприниматели из специального реестра. Попасть в этот список можно будет на основании заявки, говорится в материалах к соответствующему закону.

ДИТ Москвы сообщал, что за последние три месяца база знаний об ИИ выросла до 550 кейсов. Из них 244 практики ИИ – новые, 140 решений – российские.

Стоит отметить, что со второй половины 2020 года вступят в силу и первые отечественные стандарты в сфере ИИ.

Напомним, фундаментом для тестирования инноваций является Стратегия развития искусственного интеллекта, подписанная президентом РФ в декабре 2019 года.


КАК С ЗАЩИТОЙ ДАННЫХ ПРИ ТЕСТИРОВАНИИ ИИ В СТОЛИЦЕ РФ?

Согласно исследованию Microsoft, Россия в 2019 году заняла первое место в мире по активному внедрению ИИ, поэтому создание экспериментального правового режима в Москве является логичным решением, считает юрист практики интеллектуальной собственности CMS Russia Ксения Даньшина.

В беседе с RSpectr директор московского офиса ООО «ЦПО групп» Лариса Науменко отметила, что на участников эксперимента распространяются общие положения об обработке данных, в частности, ФЗ № 152 «О персональных данных», акты Роскомнадзора, ФСБ и ФСТЭК в этой области. Но поскольку множество положений закона (об эксперименте с ИИ. – Прим. ред.) не работают на данный момент и не ясно, какие именно технологии ИИ будут внедряться, говорить об особенностях защиты данных граждан преждевременно, сказала эксперт.

В IT-компаниях обычно строго относятся к защите информации, так как это практически ничего не стоит, зато в случае нарушений компанию ждут неприятности. Так считает декан факультетов ИИ, аналитики Big Data и Data Engineering в GeekUniversity, онлайн-университета Mail.ru Group и образовательного портала GeekBrains Сергей Ширкин.

Оценивать принятый закон с точки зрения его полноты действительно является нецелесообразным, поскольку значительная часть норм будет устанавливаться подзаконными актами, уточнила юрист практики интеллектуальной собственности CMS Russia Ксения Даньшина. Также эксперт отметила в разговоре с RSpectr, что 

при эксперименте в Москве предусмотрена возможность использования предварительно обезличенных персональных данных (ПД) 

Установлено, что ПД могут передаваться только его участникам. Далее регулировать порядок и условия их обработки игроками будет правительство Москвы по согласованию с Минкомсвязью, пояснила эксперт.

Государственный контроль будет осуществляться и со стороны координационного совета экспериментального правового режима, отметила Л. Науменко.

Ксения Даньшина, CMS Russia:

– Создание такой регуляторной «песочницы» как раз направлено на адаптацию имеющегося регулирования ИИ с целью внедрения норм, которые будут способствовать развитию технологий и одновременно учитывать права и интересы граждан.

В апреле 2020 года АНО «Цифровая экономика» (ЦЭ) представила Концепцию правового регулирования ИИ, авторы надеются на принятие документа в течение шести месяцев. Однако 

полный набор нормативных актов, определяющих логику развития технологий ИИ в РФ, появится только к 2024 году

Разрабатывается еще один федеральный проект «ИИ» в рамках нацпрограммы «ЦЭ», застрявший на согласованиях в министерствах.

Между тем в период формирования нового законодательства в России значительно увеличилось число мошенничеств с ПД, констатировали в InfoWatch.

Большинство историй об утечках информации из организаций – это обращения к базам данных (БД), рассказал RSpectr начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд.

Алексей Дрозд, «СёрчИнформ»:

– БД – главный информационный актив бизнесов, на них всегда сохраняется высокий спрос. Решений для противодействия внешним злоумышленникам много, программы защиты от инсайдерских манипуляций с базами данных внедряются реже. Поэтому такие действия, как внесение критичных изменений в БД с целью мошенничества, удаление информации, ее копирование или слив, часто выявляют уже по факту.

Чтобы обнаруживать подозрительную активность раньше, когда пользователь только обратился к БД, компании, как правило, применяют контроль на уровне СУБД*. Выявлять инциденты таким способом сложно: на разбор уходит много времени. Поэтому современный уровень угроз требует внедрения DAM-решений, которые этих недостатков не имеют.

Мы со своей DAM-системой в июне 2020 года вышли на почти пустой рынок отечественных кейсов. В первом релизе «СёрчИнформ Database Monitor» умеет логировать все запросы к базам данных и ответы на них, определять пользователей, которые обращаются к БД и работают (запрашивают, изменяют, копируют) с информацией в них.

Решение интегрируется с другими программами, что позволяет обеспечить защиту всех уровней IT-инфраструктуры (конечного пользователя, файловой системы, баз данных) и сократить время выявления инцидента. Появляется возможность увидеть нарушение на всех, даже самых ранних этапах: в моменте обращения к БД (в том числе извне), хранения на рабочей станции, перемещения.


О КОНТРОЛЕ РЕГУЛЯТОРОВ ПРИ ВНЕДРЕНИИ ТЕХНОЛОГИЙ

ИИ предполагает использование различных алгоритмических систем (АС). Разработчики и правоприменители должны понимать, какое влияние эти инструменты оказывают на общество. Авторы инициатив в сфере использования ИИ поясняют, что должна быть возможность в случае необходимости внести коррективы в те или иные алгоритмы.

Дальше всех в этом направлении продвинулась Канада. Правительство страны в апреле 2019 года утвердило Директиву об автоматизированном принятии решений для обеспечения управления, надзора и аудита за государственными АС. Ее соблюдение обязательно с 1 апреля 2020 года, а контрольные проверки должны проводиться каждые шесть месяцев.

В Германии за рисками использования АС следят в Комиссии по этике данных и безопасности алгоритмов МВД (Datenethikkommission). Там напоминают, что в конечном счете технологии служат людям, а не наоборот.

В подготовленном в апреле 2020 года отчете комиссии, который приводит портал d-russia.ru, говорится: 

регулирование АС должно быть риск-ориентированным, то есть основываться на принципе – лишь увеличение потенциального ущерба должно сопровождаться ужесточением требований


КАНАДСКИЙ ВАРИАНТ РЕГУЛИРОВАНИЯ

Согласно канадской Директиве, госсайты и сервисы, на которых используются АС, обязаны уведомлять об этом пользователей «на видном месте и понятном языке». А также регулярно публиковать информацию об эффективности и действенности таких АС. Также владелец ИИ-кейса должен по требованию предоставлять объяснения принятия алгоритмом того или иного конкретного решения. А если его потребуется изменить, предложить альтернативные варианты.

Правительство страны разработало и опубликовало инструмент определения уровня воздействия АС с открытым исходным кодом. В частности, для такой оценки владельцам ИИ-разработок, помимо разъяснения их сути, предлагается ответить на несколько десятков вопросов. Среди них такие:

  •  Заменит ли система решение, которое могло быть принято человеком?
  •  Планирует ли АС использовать личную информацию в качестве входных данных?
  •  Будет ли АС получать данные из интернета или устройств и взаимодействовать с другими IT-системами?
  •  Предусмотрен ли механизм получения обратной связи от пользователей АС?
  •  Трудно ли объяснить используемый алгоритмический процесс?

Ответы на них помогут регулятору и бизнесу понять оценку влияния АС на экономику, государственное устройство, свободы и права человека, практику управления данными и др. По результатам анкетирования компании будет присвоен один из четырех уровней воздействия АС.

Последствия несоблюдения директивы для АС каждого уровня варьируются от профилактических мер до требований по заморозке системы и существенных ограничений работы организации.


УРОВНИ КРИТИЧНОСТИ АС В ГЕРМАНИИ

В отчете немецкого МВД также упоминаются инструменты коррекции АС, требования к их прозрачности, объяснимости и прослеживаемости результатов внедрения.

При этом выделяется пять уровней критичности АС, в которых варьируется потенциал негативных последствий применения технологии. Так, на первом уровне контроль за АС не нужен, тогда как на пятом на них даже может быть введен запрет.

Для АС с повышенной критичностью (начиная со второго уровня) требуется введение обязательной маркировки

Оператор системы должен четко указывать, когда и как используются алгоритмические системы, какова их логика, объемы и эффекты.

Для АС с риском появления негативных последствий или большим уровнем уязвимости (уровень 3) или со значительным потенциалом отрицательного воздействия (уровень 4) имеет смысл установить процедуры одобрения или проведения предварительных испытаний.

Эксперты Datenethikkommission считают, что надо законодательно обязать компании публиковать в СМИ информацию об утечках данных и оценку риска наступления негативных последствий при применении АС.

Л. Науменко напомнила, что Регламент GDPR*, который регулирует в том числе обработку ПД организациями, внедряющими ИИ, вступил в силу в 2018 году.

Правительству страны также рекомендуется создать общенациональный Центр компетенции по АС, который будет поддерживать отраслевые надзорные органы.

Руководству Германии предписано законодательно закрепить принцип «соблюдай или объясни»: он возложит юридические обязательства на операторов АС следовать Кодексу алгоритмической ответственности

Разработать такой документ должна группа экспертов, не находящихся под влиянием государства. Информировать граждан о надежности АС будет специальный знак соответствия Кодексу.

Рекомендуется провести адаптацию законодательства о наказании за просчеты при применении АС. Так, если банк использует автономную систему для проверки кредитоспособности своих клиентов, то он должен нести такую же ответственность перед своими клиентами, как если бы он использовал сотрудника-человека.


ИНИЦИАТИВЫ ЕВРОСОЮЗА

В отличие от Канады Евросоюз планирует осуществлять контроль за всеми алгоритмами, а не только принадлежащими государству.

Европарламент подготовил два аналитических документа по оценке воздействия АС:

«Понимание алгоритмического принятия решений: возможности и проблемы» (март 2019 года),

«Система управления для обеспечения алгоритмической подотчетности и прозрачности» (апрель 2019 года).

В документах рекомендуется сертифицировать и стандартизировать АС. Пока в Евросоюзе будут ориентироваться на два стандарта:

– IEEE P7000 «Процесс решения этических проблем во время проектирования систем»,

– IEEE P7001 «Прозрачность автономных систем».

Предлагается и создание специального органа для контроля и надзора за деятельностью АС. Такой регулятор могут наделить полномочиями:

– по проведению оценки рисков применения алгоритмов по степени воздействия на человека,

– организации мероприятий по проведению «алгоритмической грамотности» и др.

Важно, что ранее выпущенные документы в области ИИ в ЕС дополнили в феврале 2020 года, приняв:

– цифровую стратегию Евросоюза, включающую принципы разработки правовых норм для развития и внедрения ИИ,

– Европейскую стратегию в области данных.

На важность контроля над АС также обращает внимание председатель Еврокомиссии Урсула фон дер Ляйен, представившая эти документы.

Стоит отметить, что это далеко не единственные инициативы по регулированию алгоритмических систем. В частности, Всемирный экономический форум в марте 2020 года выпустил первую программу безопасного и этичного использования технологии распознавания лиц.

Сергей Ширкин, GeekUniversity, онлайн-университет Mail.ru Group, портал GeekBrains:

– В США существует две системы контроля за технологиями ИИ: на федеральном уровне и в каждом штате, и здесь законы строже. Одни из самых серьезных запретов – в Калифорнии, где сфера IT, и ИИ в частности, наиболее развита. Особо трепетно относятся к данным, которые используются интернет-провайдерами: клиент может в любой момент запретить передавать личную информацию третьим лицам и использовать их в ИИ. В случае массовых подобных отказов многие IT-компании могут пострадать, особенно если их бизнес построен на данных.

*СУБД – система управления БД (Database Management System).

** GDPR (the General Data Protection Regulation) – регламент защиты ПД в ЕС.

Фото: lori.ru 

ЕЩЕ ПО ТЕМЕ: 

Сила цифрового разума
Какие инициативы подготовили государство и бизнес для развития искусственного интеллекта

Еще по теме

Что нужно знать родителям о влиянии искусственного интеллекта на детей

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании