Обязательства в отношении данных в сфере искусственного интеллекта

В нашу эпоху технологические достижения происходят с головокружительной скоростью. В области искусственного интеллекта за последние годы также были осуществлены значительные прорывы. Международные компании, опираясь на крупные массивы данных и колоссальные инвестиции, добиваются серьёзных инноваций. В этом контексте все компании, желающие производить продукты, основанные на технологиях искусственного интеллекта, обязаны осуществлять процессы сбора данных и разметки данных. С этой точки зрения компании сталкиваются с рядом юридических процедур, которые варьируются в зависимости от региона.

В Европейском союзе обработка персональных данных строго регулируется Общим регламентом по защите данных (GDPR) . В соответствии с этим нормативным актом субъектам данных предоставляются такие права, как : доступ к данным, их исправление, удаление (право «быть забытым»), ограничение обработки, возражение против обработки, а также переносимость данных. Компании, работающие в сфере искусственного интеллекта, на стадии сбора данных применяют технологии анонимизации и псевдонимизации, приводящие персональные данные в форму, исключающую идентификацию личности. Согласно GDPR, данные, полностью анонимизированные, больше не считаются персональными и, таким образом, освобождаются от множества нормативных ограничений. Однако, ввиду сложности достижения полной анонимности, на практике часто используется псевдонимизация как промежуточное решение; тем не менее, такие данные продолжают подпадать под действие GDPR и требуют дополнительных технических и организационных мер безопасности.

Разметка данных — это процесс добавления значимых меток к необработанным данным в проектах машинного обучения, который, как правило, осуществляется с привлечением внешних ресурсов (фрилансеров, платформ для разметки или подрядных организаций). В соответствии с законодательством ЕС, если размечаемые данные являются персональными данными, компания, предоставляющая услугу разметки, выступает в роли «обработчика данных», а компания, занимающаяся искусственным интеллектом, является «контролёром данных» . Между ними должен быть заключён договор, содержащий положения, требуемые Общим регламентом по защите данных (GDPR). Такой договор должен включать положения о том, что данные будут обрабатываться только по инструкции, сохраняться в конфиденциальности, использование субподрядчиков возможно только с разрешения, а по завершении работы данные должны быть удалены. Если компания расположена в Европейском союзе или ведёт проект по разметке данных, содержащих информацию граждан ЕС, необходимо заключение Соглашения об обработке данных (Data Processing Agreement, DPA) между компанией и лицами, осуществляющими разметку.

Объединённое Королевство после выхода из ЕС продолжает обеспечивать защиту персональных данных на основе Закона о защите данных 2018 года и адаптированной к национальному праву версии GDPR — UK GDPR . Хотя после Brexit ”а регламент ЕС не применяется напрямую, его нормы в значительной степени сохранены в британском законодательстве. UK GDPR по сути дублирует положения GDPR: принципы обработки данных, права субъектов, обязанности контролёров и обработчиков практически идентичны. Британские компании, если они обрабатывают данные исключительно внутри страны, подчиняются только UK GDPR. Если же деятельность затрагивает граждан или резидентов ЕС, такие компании обязаны также соблюдать и положения GDPR. Несмотря на то, что Великобритания стремится ввести более гибкое регулирование в сфере данных, основные обязательства — например, правомерность обработки, получение согласия, прозрачные уведомления, обязанность уведомления ICO о нарушениях в течение 72 часов — по-прежнему остаются в силе. Таким образом, для стартапа в области ИИ, базирующегося в Лондоне, основополагающие обязательства в области защиты данных практически идентичны нормам GDPR.

США, в отличие от ЕС, не располагают единым федеральным законом о защите персональных данных. Вместо этого применяются отраслевые законы (например, HIPAA — для медицинских данных, COPPA — для данных детей, GLBA — для финансовой информации), а также регулирующие акты на уровне отдельных штатов. По состоянию на 2025 год, примерно 40% населения США обладают правами на защиту персональных данных в связи с вступлением в силу законодательных актов в соответствующих штатах. Особенно важную роль здесь играет Калифорния , с принятием Закона о защите прав потребителей ( CCPA ) в 2018 году, который был дополнительно усилен в 2020 году посредством CPRA . Хотя положения CCPA/CPRA распространяются преимущественно на компании с годовым доходом выше $25 миллионов или на обрабатывающие данные более 100 тысяч потребителей в год, даже малые стартапы, ориентированные на быстрый рост, вскоре попадают под действие этих норм. Кроме того, аналогичные законы были приняты и в других штатах (Вирджиния, Колорадо, Юта, Коннектикут — в 2023 г.; Айова, Индиана, Техас и др. — в 2024/2025 гг.). Эти законы предоставляют потребителям права на доступ, удаление, исправление, переносимость данных, а также право возражать против определённых видов использования данных (например, целевая реклама или профилирование). К примеру, если приложение на базе ИИ анализирует поведение пользователя и предоставляет персонализированный контент, житель Вирджинии или Коннектикута имеет право отказаться от такой обработки. Малый ИИ-бизнес, предлагающий услуги по всей стране, обязан учитывать требования всех действующих региональных актов. На практике это ведёт к стратегии «соответствия самому строгому стандарту», в рамках которой соблюдение CPRA Калифорнии автоматически обеспечивает соответствие требованиям большинства других штатов — с небольшими оговорками. В США разметка данных также осуществляется в основном путём аутсорсинга — либо с привлечением независимых специалистов внутри страны, либо с передачей задач зарубежным подрядчикам. С юридической точки зрения, если разметка затрагивает данные, подпадающие под законы конкретного штата, компания несёт обязательства перед субъектами данных. Например, согласно CPRA, если компания передаёт потребительские данные внешнему подрядчику, она обязана договорным образом обеспечить, что это осуществляется исключительно в рамках деловой цели и что подрядчик не имеет права использовать данные в иных целях. Именно поэтому американские компании, работающие в сфере ИИ, заключают с такими подрядчиками специальные соглашения — Service Provider Agreement, содержащие обязательные положения, например: «Компания X обрабатывает данные от имени компании Y исключительно в соответствии с её инструкциями и только для достижения целей Y. X не сохраняет и не использует данные в собственных целях…»

Китайская Народная Республика в последние годы приняла целый ряд всеобъемлющих законов в области защиты данных. В частности, Закон о защите персональной информации (PIPL) , вступивший в силу в ноябре 2021 года, приблизил китайское регулирование к модели GDPR. PIPL устанавливает допустимые основания для обработки персональных данных (согласие субъекта, исполнение договора, юридическая обязанность, общественный интерес и т.д.) и наделяет граждан такими правами, как доступ, исправление, удаление и ограничение обработки данных . Закон применяется как к компаниям, зарегистрированным в Китае, так и к иностранным организациям, обрабатывающим данные граждан КНР. Таким образом, даже малое предприятие в сфере ИИ, собирающее данные в Китае или обучающее модели на китайских данных, обязано соблюдать требования PIPL. Закон предусматривает особые условия для обработки чувствительных персональных данных (например, биометрические, медицинские, финансовые данные, данные о местоположении), включая необходимость получения прямого согласия, а в случае с детьми — согласие родителей. Кроме того, такие законы, как З акон о кибербезопасности и Закон о безопасности данных (DSL) , вводят дополнительные обязанности — например, классификацию данных, локализацию хранения критически важной информации и пр. К примеру, если компания подпадает под понятие критической информационной инфраструктуры (например, в сферах энергетики или телекоммуникаций), она обязана хранить пользовательские данные на территории Китая.

Разметка данных в Китае превратилась в отрасль промышленного масштаба, получившую неофициальное название «фабрик по разметке данных». Многие компании, особенно в области автономного вождения и компьютерного зрения, передают задачи по разметке подрядчикам, расположенным, в частности, в провинциях Сычуань, Хэбэй и др. Это влечёт за собой риски широкого распространения данных. Согласно PIPL, если контролёр передаёт персональные данные третьей стороне для их обработки , он обязан обеспечить, чтобы обработчик принял надлежащие меры безопасности. Следовательно, контролёр несёт ответственность за аудит и надзор над обработчиком. С точки зрения договорных обязательств, в Китае применяются положения, аналогичные тем, что предусмотрены в GDPR: обработка только по указанию, соблюдение конфиденциальности, запрет на привлечение субподрядчиков без разрешения и т.п. Такие контракты обычно заключаются в форме соглашений о конфиденциальности и обработке данных.

В результате можно отметить, что Европейский союз в большей степени сосредоточен на защите персональных данных, тогда как Соединённые Штаты и Великобритания отдают приоритет развитию в сфере искусственного интеллекта. Что касается Китая, то здесь наблюдается ожидаемая тенденция к жёсткому государственному контролю над данными и централизованному регулированию в соответствии с интересами государственной политики.

Адвокат Ege Oğuzhan Kapıcı