Между Сциллой и Харибдой
Дискуссию открыла руководитель проектов в области политики данных Центра изучения проблем четвертой промышленной революции Всемирного экономического форума (ВЭФ) Энн Флэнаган. Она поделилась результатами анализа практики защиты персональных данных в разных странах и предложениями по ее совершенствованию. Предложен комплекс мер, который включает, в частности, стимулирование этичного поведения, создание посредников обмена данными между людьми, государством и компаниями, возможность полного отказа от всех видов наблюдения, создание систем визуализации для регуляторов и ряд других.
Заместитель министра цифрового развития, связи и массовых коммуникаций Российской Федерации Александр Шойтов согласился, что при выстраивании регулирования нужны не только запретительные, но и стимулирующие меры. При этом систему регулирования необходимо выстраивать на как можно более ранних стадиях развития технологий. Иначе есть риск, что меры регулирования приведут не к тому, чего ожидали.
Заместитель руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Милош Вагнер согласился, что документальное оформление на получение согласий переусложнено. При этом в российском законодательстве 13 способов получения согласия на обработку персональных данных, и все они юридически равнозначны, что неправильно. Их необходимо ранжировать. Также недопустима практика увязывать получение услуги с предоставлением данных. Что касается посредников обмена данными, то они появляются, что называются, явочным порядком. Примером тому являются новостные агрегаторы и рекомендательные сервисы.
Президент Ассоциации больших данных Анна Серебрянникова отметила, что функцию дата-посредников в настоящее время выполняют корпорации, причем эту функцию они выполняют плохо. Тут должно подключиться еще и государство в лице как Минцифры, так и других заинтересованных ведомств, а также бизнес-объединения, разработчики систем ИИ. Однако если регулирование будет излишним, то эффект будет скорее отрицательным.
Директор Центра интернета и общества Стэнфордского университета Дженнифер Кинг рассказала об опыте США в защите персональных данных. Пока ситуация такова, что документация на получение согласия на обработку персональных данных, которая по большей части написана юристами для юристов, просто не понятна большинству людей. Причем по мере внесения изменений профильного законодательства ситуация только ухудшается. Такое имеет место и в России. Так, вице-президент ПАО "МТС" Руслан Ибрагимов привел пример изменений в закон 152-ФЗ, где дважды менялось определение обезличенных данных. При этом в ходе последнего изменения 2020 г. обезличенные данные фактически приравняли к персональным, что затруднило обмен данными между компаниями и осложнило работу разработчиков систем искусственного интеллекта, которым данные нужны для обучения нейросетей.
Как отметила Дженнифер Кинг, в США на федеральном уровне законодательство по защите персональных данных отсутствует. Его появлению мешает непонимание со стороны конгрессменов и активная лоббистская деятельность компаний, не заинтересованных в появлении нормативных актов, которые ограничивали бы бизнес, связанный с продажей массивов личных данных. Работающие законы имеются только в трех штатах: Калифорнии, Вашингтоне и Вирджинии. При этом закон Калифорнии разработан вне законодательной системы, а за его основу взят европейский GDPR.
Взяли GDPR в качестве образца и в Индии, о чем рассказал ведущий советник Центра четвертой промышленной революции Индии Сатьянараяна Джидигунта. Соответствующий закон уже находится на рассмотрении в парламенте, и ожидается, что уже весной текущего года он будет принят. При этом еще в 2018 г. право на защиту персональных данных по инициативе Конституционного суда внесено в конституцию Индии. Но при этом нужен баланс между строгостью мер по защите данных с одной стороны, и тем, чтобы эти меры не стали тормозом для развития. Для этого необходимо использовать регуляторные песочницы. В Индии их применяют для разработки регулятивных мер в отношении финтеха и телемедицины.
Руководитель цифровой трансформации Хельсинки Микко Русама поделился опытом практической деятельности по работе в условиях GDPR. По его словам, он сводится к тому, чтобы собирать только данные, которые реально необходимы для оказания госуслуг.
Старший управляющий, директор-начальник управления Национального развития AI ПАО "Сбер" Владимир Авербах заявил, что развитие систем искусственного интеллекта невозможно без свободного оборота данных, как прошедших процедуру анонимизации, так и аккумулированных в государственных системах. Но при этом правовой режим их оборота отсутствует, что, однако, не мешает существованию их "серого" оборота. При этом в ноябре 2021 г. подписан Кодекс в сфере искусственного интеллекта, куда заложены общие принципы этики при обработке персональных данных. Его уже подписало 40 компаний.