Понимание влияния GDPR на процессы с использованием искусственного интеллекта

Понимание влияния GDPR на процессы с использованием искусственного интеллекта

25.05.2018, день, отмеченный большим красным кружком на внутреннем календаре каждой компании. Многие люди могут почувствовать безумие, в которое эта новая европейская директива, Общий регламент по защите данных (GDPR), погрузила многие компании. Бесконечные встречи, чтобы убедиться, что каждый байт личной информации согласован, отслеживается и защищен должным образом. Теперь, когда прошло месяц, мы все снова можем вздохнуть и дождаться первых фактических случаев нарушения GDPR и посмотреть, как с ними будут бороться.

Мы в Overture создаем платформу искусственного интеллекта, которая позволяет любому бизнесу легко начать использовать алгоритмы искусственного интеллекта. Это позволяет им преобразовывать свои неструктурированные данные, такие как изображения, видео, аудио или текст, в аналитические и структурированные данные. Одна из проблем, которую время от времени подчеркивают наши пользователи, - это то, как GDPR и AI могут быть согласованы и реализованы вместе в процессе. Таким образом, в этом сообщении блога освещаются части GDPR, которые применимы к любым процессам с поддержкой искусственного интеллекта, и то, как компании могут оставаться в соответствии с GDPR. С той небольшой вероятностью, что вы все еще не знаете, что такое GDPR, мы обсудим это вкратце в следующем разделе. Не стесняйтесь пропустить, если вы уже хорошо понимаете, что означает GDPR для компании.

Общие правила защиты данных или GDPR

GDPR - это набор директив, которые определяют, как следует обрабатывать и должным образом защищать личную информацию каждого европейского гражданина. Любая организация или компания должны иметь возможность показать, какую личную информацию о человеке они собирают и используют. Кроме того, также должно быть ясно, какие меры принимает компания, чтобы обеспечить безопасность собранной информации в соответствии с передовыми отраслевыми практиками. Приведенный ниже список представляет собой попытку дать более подробный список обязанностей компании по соблюдению GDPR, это ни в коем случае не исчерпывающий список, поскольку он выходит далеко за рамки одного сообщения в блоге.

• Безопасное хранение личной информации;
• Ограниченный доступ к личной информации, хранящейся в ваших дата-центрах или облаке;
• Анонимизация персональных данных при их извлечении из любого источника данных, например из баз данных или архивов;
• Назначение сотрудника по защите данных (DPO);
• Отображение личных данных, которые используются в компании, почему они собираются, у кого есть доступ к этим данным и где они хранятся;
• Отправить уведомление о нарушении данных в местный надзорный орган;
• Ответ на запрос на удаление, удаление или изменение личных данных;
• Отнесение сбора персональных данных к соответствующему правовому основанию. Запрос согласия может быть одним из шести законных оснований.

Давайте посмотрим на вопрос о согласии. Возможно, вы испытали, что за несколько недель до 25 мая 2018 года, дня, когда GDPR вступил в силу, многие компании начали массовые рассылки по электронной почте, чтобы запросить согласие. Запрос согласия - это одно из шести юридических оснований для обработки личной информации компанией. Если вас интересуют остальные пять юридических оснований, я предлагаю вам прочитать их здесь. В статье 7 GDPR согласие определяется следующим образом: оно дается свободно, является конкретным для каждой цели, оно информировано, оно должно быть недвусмысленно указано, оно должно быть ясным и понятным, и оно должно быть дано четким актом или заявлением. Но нужно ли просить согласия или даже достаточно? Прежде чем мы ответим на этот вопрос, давайте сначала взглянем на права каждого гражданина Европы.

Права каждого субъекта данных

GDPR определяет субъект данных как лицо, от которого компания (называемая контроллером данных) собирает личную информацию, позволяющую установить личность. Субъектам данных предоставляется обширный список прав на понимание и контроль использования их личных данных. Когда мы обсуждаем использование ИИ, выделяется одно право, а именно:

Вы имеете право потребовать, чтобы решения, основанные на автоматической обработке, касающиеся вас или существенно влияющие на вас, и основанные на ваших личных данных, принимались физическими лицами, а не только компьютерами. Вы также имеете право в этом случае высказать свою точку зрения и оспорить решение.

Давайте подробнее рассмотрим, как это влияет на использование ИИ и уважает ли он права вовлеченных субъектов данных.

Автоматическая обработка персональных данных

Предположим, что у нас есть процесс, который принимает на вход личную информацию пользователя и использует методы машинного обучения для прогнозирования того, сможет ли пользователь выполнить ссуду. На основании результатов этого процесса компания решает предоставлять ссуду или нет. Другой вариант использования может заключаться в том, что кадровый отдел использует алгоритмы ИИ для анализа и обработки заявлений о приеме на работу. Личные данные и резюме используются, чтобы определить, в какой степени человек соответствует определенной должностной инструкции. Эти компании нарушают GDPR или нет?

Что ж, посмотрим. Они явно собирают личную информацию для принятия автоматизированного решения, что означает, что субъект данных имеет право реализовать свое право в отношении автоматизированной обработки. Однако GDPR также устанавливает три исключения из этого права при автоматической обработке:

а) необходимо для заключения или выполнения договора между субъектом данных и контролером данных;

б) санкционировано законодательством Союза или государства-члена, которому подчиняется контролер и которое также устанавливает соответствующие меры для защиты прав и свобод и законных интересов субъекта данных; или

c) основано на явном согласии субъекта данных.

Таким образом, мы можем сделать вывод, что если выполняется одно из трех вышеуказанных исключений, компания может использовать автоматизированную обработку. Однако субъект данных по-прежнему имеет свое право требовать прозрачности в отношении использования его личной информации. Поэтому важно, что, хотя автоматическая обработка разрешена, это не освобождает компанию от обязанности объяснять, как обрабатываются и обрабатываются личные данные. Вернемся к двум образцовым компаниям, о которых мы упоминали ранее. Поскольку запрос на ссуду всегда сопровождается контрактом между запрашивающей стороной и компанией, предоставляющей ссуду, можно утверждать, что согласие не требуется. Автоматическая обработка необходима и является частью договора между субъектом данных и контроллером данных. Когда мы смотрим на отдел найма, мы можем предположить, что у них часто нет контракта с субъектом данных на этапе обработки заявления о приеме на работу. Таким образом, рекомендуется запрашивать четкое и недвусмысленное согласие, когда субъект данных подает свое заявление о приеме на работу.

Вывод

Глядя на GDPR и на то, как он был разработан, мы очень позитивно смотрим на будущее технологий искусственного интеллекта, используемых в компаниях. Мы рады видеть, как ИИ может автоматизировать и революционизировать бизнес. Взгляды, выраженные в этой статье, ни в коем случае не являются юридически водонепроницаемыми, но пытаются дать четкое представление о том, как GDPR влияет на использование ИИ. Это показывает, что GDPR, безусловно, не убийца для применения ИИ в ваших бизнес-процессах. Каждая компания должна обеспечить ясность и прозрачность того, какие персональные данные она собирает и обрабатывает. Субъекты данных должны быть проинформированы о том, где используется автоматическая обработка и как она влияет на их личные данные и использует их.

Если вам интересно, чем мы занимаемся и как мы позволяем компаниям использовать инструменты искусственного интеллекта, загляните на www.overture.ai.