Главный антагонист первого фильма о Терминаторе искусственный интеллект (ИИ) Скайнет не мог знать, как выглядит «правильная» Сара Коннор, только лишь потому, что его разработчики сразу прописали «безопасную» и правильную обработку персональных данных. Впрочем, эта шутка вряд ли произведет некое впечатление на фанатов фантастической саги, но заставит усмехнуться людей из сферы IT, ведь для них сегодня ИИ — это определенный уровень развития технологий, при котором только лишь уменьшается уровень привлечения людей к выполнению отдельных процессов.
И уж совсем не поймут иронии специалисты по GDPR (General Data Protection Regulation), для которых «право на забвение» носителя персональных данных (ПД) – одно из главных условий развития любых технологий, по крайней мере на территории Европейского Союза.
Оглавление:
Как бы там ни было, но на данном этапе развития лигатек-сферы не говорить о защите персональных данных (а для стран ЕС, в отличие от Украины, это не только изображение физического лица - пользователя веб-сайта или мобильных приложений, но и его адрес, почта, телефон) не получится, потому что в противном случае стартап не взлетит, а работающий бизнес – оштрафован. Скептики могут заметить, что пока что в Украине не было ни одного прецедента наложения штрафа за нарушение GDPR. Но это скорее «их» недоработка, чем наше преимущество. В конце-концов, регулятор GDPR просто оштрафует вашего партнера за рубежом, и вряд ли потом можно будет вести речь о надежном сотрудничестве. Так что, если еще несколько лет назад разработчики legaltech-проектов стремились поскорее продать продукт, и просто не думали ни о какой «приватности», то сегодня ситуация в корне иная. Инвестор не будет вкладываться в проект, у которого есть проблемы с защитой персональных данных, потому что через год-два это обязательно приведет к огромным штрафам или полному прекращению деятельности этого стартапа. Или придется инвестировать еще больше денег, чтобы выстроить необходимую инфраструктуру и систему безопасности.
В случае же с юридическими «тех»-новинках, то здесь конфиденциальность, приватность и «безопасность» информации (а не только ПД) вообще выносится во главу угла.
Читайтте статью: Чатботы в LegalTech: монетизация проблематична, а перспективы туманны
Почему европейский GDPR изучают во всем мире?
Где-то с 2010-х годов общество осознало, что количество информации, которое производится, настолько велико (и столь стремительно увеличивается), что для того, чтобы эффективно обрабатывать и анализировать хоть какую-то весомую долю из этого массива данных, человеческих усилий уже недостаточно. Поэтому компании начали привлекать к этому различные технологические платформы. Использование искусственного интеллекта для обработки данных позволило ведущим компаниям оптимизировать значительное количество процессов и сделало их аналитику чрезвычайно эффективной. Но, конечно же, активное привлечение ИИ в различные процессы породило и новые проблемы. Ведь среди информации, которую начали активно передавать на обработку и анализ, появилась не только общая или техническая. Чаще всего это именно данные, которые мы называем персональными, то есть такие, которые касаются каких-то конкретных лиц и часто являются составляющей их частной жизни. А безопасность и «правильная» обработка этих данных очень важна, так как необходимы как технические, так и юридические меры для того, чтобы эти аспекты можно было гарантировать.
И именно на выполнение этих задач направлен Регламент GDPR (вступил в силу 25 мая 2018 года), который по мнению его создателей:
-
позволит людям контролировать использование их персональных данных третьими лицами и облегчит доступ к ним;
-
усилит защиту персональных данных от несанкционированного доступа и использования, независимо от того, происходит это на территории ЕС, либо за его пределами;
-
повысит доверие граждан ЕС к держателям их персональных данных, поскольку в результате проведения исследований выяснилось, что 9 из 10 граждан ЕС заявили, что обеспокоены тем, что мобильные приложения, которыми они пользуются, собирают персональные данные без их согласия, а 7 из 10 граждан ЕС считают, что компании используют их персональные данные без их согласия, в том числе в маркетинговых целях.
Кстати, сразу отметим, что деятельность компаний, зарегистрированных в США и которые стремятся осуществлять свою деятельность в пределах Европейского Союза, кроме требований GDPR также регулируется и таким документом как EU-US Privacy Shield, который был подписан между США и Европейским Союзом. Данный документ устанавливает определенные рамки для американских компаний, желающих работать на Европейский рынок, в частности, в контексте обработки персональных данных. Но в случае с США все несколько сложнее, поскольку 16 июля 2020 Европейский суд Европейского союза признал механизм Privacy Shield для передачи персональных данных с ЕС в США недействительным, а стандартные контрактные положения (SCC) поставил под вопрос. Во-первых, Суд установил, что программы слежки и наблюдения в США являются чрезмерными и не соответствуют требованиям ст. 52 Хартии Европейского союза по правам человека. Во-вторых, Суд установил, что субъекты данных ЕС не имеют эффективного средства правовой защиты в США, как того требует ст. 47 Хартии. Эксперты утверждают https://ain.ua/2020/07/30/xranenie-i-obrabotka-dannyx-v-ssha-evropejskij-soyuz-stavit-novye-ogranicheniya/ , что теперь для специалистов в области приватности добавилось работы. Пока Европейская Комиссия не разработает новых договорных положений для передачи данных, компаниям придется оценивать каждый случай хранения и передачи данных в США по отдельности, что создает целый ряд проблем для компаний, а компании, которые использовали Privacy Shield, должны принять альтернативное решение: 1) использовать Standard Contractual Clauses (контрактные положения, разработанные Европейским Союзом для легализации передачи данных в страны без достаточной защиты данных); 2) получить утверждение обязательных корпоративных правил, что не так-то и просто; 3) использовать отступления от правил, предусмотренные ст. 49 GDPR; 4) либо радикальное решение — сменить юрисдикцию для смены пункта назначения передачи данных.
Ситуация в США хоть и оказалась весьма внезапной, однако она четко описывает ситуацию с точки зрения Украины, поскольку наша страна также подпадает под определение «страны без достаточной защиты данных». В любом случае, надо понимать, что нормы GDPR сегодня влияют на legaltech-процессы не только в Европе. Ведь большинство ведущих компаний мира, занимающихся развитием технологий, сделали этот документ своей настольной книгой и используют закрепленные там принципы как best practice, независимо от того, обязаны они это делать или нет. Именно поэтому GDPR играет такую важную роль в определении направлений развития тек-направлений во всем мире.
Итак, GDPR должен обеспечить гражданам ЕС:
Блог