2022-06-13 11:29:08
Смогут ли разработчики ИИ в ЕС обрабатывать спецкатегории персональных данных без согласия граждан?
Тут возник вопрос, кто как читает статью 10(5) проекта Регламента ЕС по ИИ?
Я читаю её так, что проектируемая норма будет давать основание обрабатывать спецкатегории (биометрию, генетические данные и т. п.) персональных данных
без согласия граждан, если это необходимо для целей создания качественных машинно-обученных моделей.
В соответствии со статьёй 9(2)(g) GDPR такая обработка
без согласия допускается в том числе в следующем случае:
"обработка необходима по причинам
значимого общественного интереса, на основании правовой нормы
Союза или государства-члена, которая пропорциональна поставленной цели, уважает существо права на защиту персональных данных и
предусматривает подходящие и конкретные меры для защиты фундаментальных прав и интересов субъекта персональных данных".
("processing is necessary for
reasons of substantial public interest, on the basis of
Union or Member State
law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and
provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject").
Теперь открываем ст. 10(5) проекта Регламента по ИИ. Там написано:
To the extent that it is strictly necessary for the
purposes of ensuring bias monitoring, detection and correction in relation to the high-risk AI systems,
the providers of such systems may process special categories of personal data referred to in Article 9(1) of Regulation (EU) 2016/679, Article 10 of Directive (EU) 2016/680 and Article 10(1) of Regulation (EU) 2018/1725,
subject to appropriate safeguards for the fundamental rights and freedoms of natural persons, including technical limitations on the re-use and use of state-of-the-art security and privacy-preserving measures, such as pseudonymisation, or encryption where anonymisation may significantly affect the purpose pursued.
Как мы с вами понимаем, контроль обучающей выборки на нерепрезентативность, искажения — дело святое и богоугодное представляет значимый общественный интерес (
substantial public interest).
Именно об этом мы все, как общество, беспокоимся, когда оказывается, что систему, например, советующую, кого пораньше выпустить из колонии, или кому выдать кредит, натренировали на нерепрезентативных данных, и это приводит к несправедливой и незаконной дискриминации.
Необходимые
меры по охране фундаментальных прав (
measures to safeguard the fundamental rights) как условие для обработки — также заложены (а в поправках, предлагаемых правовым комитетом Европарламента — и расшифрованы).
Стало быть, статья 10(5) проекта Регламента по ИИ и есть частный случай той нормы союзного права, ссылка на которую согласно статье 9(2)(g) GDPR позволит разработчику системы с ИИ в Евросоюзе обработать спецкатегории персональных данных, не спрашивая об этом субъектов персональных данных. При условии, конечно, обезличивания, шифрования и других мер, исключающих использование данных не по назначению.
Вопрос коллегам-юристам: согласны с такой интерпретацией?
547 views08:29