ЕС готовит специальный закон, регулирующий использование искусственного интеллекта и распознавания лиц, — как закон GDPR для персональных данных. Еврокомиссия представила проект, в котором предлагается поделить ИИ-сервисы по степени риска и регулировать каждый из них отдельно. Самые высокорисковые случаи, когда алгоритмы используются для слежки за людьми и манипуляцией поведением, будут ограничивать или запрещать. Но как всё это будет работать — пока непонятно, а на доработку и принятие законопроекта уйдут годы, говорят эксперты. В России регулирование этой сферы даже не обсуждается.
Что случилось
В ЕС был внесен на рассмотрение новый законопроект о регулировании систем искусственного интеллекта. С его помощью власти хотят ограничить использование распознавания лиц и некоторых ИИ-систем. И это пока что самая масштабная законодательная инициатива в мире в этой сфере. Эксперты уже назвали проект вторым GDPR, имея в виду, что он так же изменит рынок ИИ, как закон 2018 года изменил рынок использования персональных данных.
В новом законопроекте европейские власти предложили поделить все случаи использования искусственного интеллекта на степени риска. Самые высокорисковые случаи будут строго регулироваться или вообще запрещаться, а за их несанкционированное использование компаниям грозят огромные штрафы — до 6% от годовой выручки во всех юрисдикциях.
Проект предлагает выделить из общего числа ИИ-системы:
- С неприемлемо высоким риском. К ним хотят, во-первых, отнести алгоритмы, манипулирующие человеческим поведением и влияющие на свободу выбора. Это, например, системы социального скоринга, которые прогнозируют поведение человека по соцсетям и другим его данным вроде пола, возраста и расы. А во-вторых — системы, предназначенные для массовой слежки с помощью распознавания лиц в общественных местах, кроме некоторых очень ограниченных исключений, связанных с поиском пропавших людей или предотвращением террористических угроз, которые будет утверждать суд или иной независимый орган. Обе этих практики на территории ЕС хотят запретить полностью.
- С высоким риском, которые предлагается строго контролировать. Среди них — системы с удаленной биометрической идентификацией, банковский скоринг и ИИ-алгоритмы, которые используют правоохранительные органы.
- С ограниченным риском: например, чат-боты. Пользователь, по задумке законодателей, всегда должен понимать, что общается с машиной, — для этого, видимо, будут введены формы предупреждения, как в GDPR.
- С минимальным риском — например, игровые сервисы и спам-фильтры. Их пока вообще не собираются регулировать.
Центральной темой законопроекта остаются технологии удаленной биометрической идентификации и распознавания лиц. Помимо прочих ограничений, все поставщики технологий в ЕС, которые делают ИИ-сервисы для коммерческого сектора, должны будут проходить предварительную оценку. Всемирный экономический форум подготовил разбор того, как это может работать и как бизнесу к этому подготовиться.
Почему это важно
Хотя европейский закон не будет затрагивать российский бизнес напрямую, большинству наших компаний, которые делают сервисы на основе ИИ, придется ему соответствовать, считают эксперты. Точно такая же ситуация сложилась и с персональными данными после принятия GDPR. У России тесные связи с Европой, очень много русскоязычных людей живет в юрисдикции ЕС. Они подпадают под местное регулирование, в том числе европейский закон о персональных данных, объясняет глава АНО «Информационная культура» Иван Бегтин. «И если эти люди используют российские сервисы: например, “Яндекс” или Mail.Ru, — то компании вынуждены соответствовать европейскому законодательству», — говорит он.
То же самое будет и с новым законом: российские компании для европейских пользователей будут вынуждены отключать какие-то функции или делать отдельные приложения для ЕС. «Такие проблемы встают уже сейчас: например, у Mail.Ru есть сервис myTracker, который делает аналитику для приложений. У него есть инфраструктура и в России, и в ЕС. Встает вопрос: в каком случае данные должны передаваться на российский сервер, а в каком — на европейский. Компания должна определять это по гражданству пользователя? По местонахождению? По языку? Непонятно», — говорит эксперт.
Новый закон касается прежде всего распознавания лиц и механизмов слежки, и множество понятных случаев под него не попадает, признает он. «Но, например, механизмы слежки внутри приложений уже могут под него попасть. И если европейские регуляторы решат, что через приложения “Яндекса” или Mail.Ru или через их системы трекеров за европейскими гражданами следят российские государственные органы, то это вполне может усложнить компаниям жизнь», — говорит Бегтин.
Любые новые законы, устанавливающие новые правила игры, для бизнеса означают дополнительные расходы на соответствие таким правилам, говорит глава IT-практики юридического сервиса «Ракета» Наталья Караиван. Это, в свою очередь, обычно приводит к росту стоимости продукта, и в итоге цену нового регулирования оплачивает не только бизнес, но и конечный потребитель. Так было после вступления GDPR- и AML-регулирования, и высока вероятность, что дополнительное регулирование в сфере искусственного интеллекта приведёт к тем же последствиям, продолжает она.
Пока что документ только внесен на рассмотрение, его ещё будут дорабатывать и согласовывать с Европейским советом, куда входят правительства 27 стран, и с Европарламентом. А это может занять годы. После принятия он, на первый взгляд, скорее, затронет компании по распознаванию лиц, которые работают с государственными органами, а на большинство коммерческих сервисов существенного влияния не окажет, отмечает принципал Fort Ross Ventures Денис Ефремов. Но для начала бизнесу всё равно необходимо получить разъяснения, которых пока что нет.
Как сейчас регулируют распознавание лиц
«Мы полагаем, что первыми на планете предложили правовую основу [для регулирования ИИ]», — радовалась на этой неделе вице-президент Еврокомиссии Маргрет Вестагер. Действительно, ни системы распознавания лиц, ни искусственный интеллект практически нигде в мире пока что не имеют четкого регулирования. О том, как оно должно быть устроено, идёт множество дискуссий.
К разработке регулирования ИИ в мире сейчас есть два основных подхода: управление соответствием (комплаенс) и управление рисками, говорит Бегтин. С точки зрения комплаенса компания должна соответствовать набору требований: проходить аудит, раскрывать схему работы своих алгоритмов и их применение. Управление рисками — это классификация сценариев использования алгоритмов по степени риска: как раз то, что делают европейские законодатели. В этом случае общественная массовая слежка с распознаванием лиц рассматривается как случай применения с высоким риском. А такое же распознавание лиц на охраняемом объекте — например, атомной станции — считается оправданным и запрещаться не будет.
В большинстве штатов США использование распознавания лиц пока не запрещено. Частичные временные запреты пока ввели лишь несколько штатов, в том числе, ещё в 2019 году, Калифорния — местные законодатели на три года запретили использовать на территории штата системы распознавания лиц полиции и госорганам. Мораторий на использование таких технологий действует и в нескольких отдельных городах: Сан-Франциско, Окленде и Сомервилле. А Портленд (соседний штат Орегон) запретил использовать распознавание и частным компаниям.
Правда, сейчас в США рассматривается уточнение к четвертой поправке к конституции (в ней говорится о запрете на обыски и задержание без судебного ордера). Оно должно усложнить органам использование распознавания лиц и местоположения смартфонов. Сейчас из-за лазейки в законе американские сервисы могут продавать госорганам базы фотографий, спарсенные из соцсетей, а брокеры данных — информацию о местоположении смартфонов. Те и другие охотно и массово этим пользуются. Если в поправку будут внесены изменения, продавать такие данные без ордера станет незаконно.
Как у нас
Если в ЕС есть четкий подход к регулированию технологий, который призван их во всем ограничивать, то Россия идёт скорее по пути Китая, где разрешено практически все, говорит один из участников рынка, с которым поговорил The Bell. Ни в общественных местах, ни на коммерческих объектах распознавание лиц на практике почти никак не ограничивается, говорит он. «Если в магазине стоят камеры с распознаванием лиц, то все, что требуется от администрации, — повесить знак, что внутри идёт видеосъемка, а дальше с записанными кадрами компании могут делать любую аналитику», — объясняет он.
Ситуация, кажется, устраивает всех участников процесса: никаких обсуждений о том, нужно ли ограничивать применение технологии, сейчас нигде не идёт, признают все опрошенные The Bell эксперты и участники рынка.
Сегодня изображение человека у нас охраняется в двух законах, говорят юристы. Первый — Гражданский кодекс, он ограничивает возможность использования вашего фото и видеоизображения без вашего согласия, говорит Караиван из «Ракеты». «Если вас кто-то сфотографировал на вечеринке, то в соцсеть он может выложить фото только по вашему согласию», — говорит юрист. Но есть исключения:
- Например, если вы попали в объектив камеры при ведении съёмки в общественном месте, то просить у вас разрешения никто не должен (если вы при этом только часть картинки, а не единственная фигура или центральный объект съёмки). И владелец такого изображения может использовать его как хочет, в том числе — использовать искусственный интеллект в анализе вашего изображения.
- Или даже если ваше изображение было получено не «в потоке», но его использование необходимо для целей общественного интереса, например, вас объявили в розыск, то также можно обойтись без вашего согласия.
Такой подход намекает на то, что динамика российского законодательства уже сейчас предполагает движение в сторону защиты публичного интереса, а не частного, говорит собеседник The Bell на юридическом рынке. И это полностью противоположно европейскому подходу.
Второй закон — часть ФЗ «О персональных данных», регулирующая биометрические данные. По нему фотография или видео могут являться объектом персональных данных. Но только в том случае, если они соответствуют ключевому критерию: являются именно персональными, то есть если изображение привязано к паспортным данным, объясняет юрист. Без этого персональными данными фото считаться не будет, и согласие для его использования никто получать не должен. И даже если с вас собрали именно биометрические персональные данные, в законе всё равно есть исключение: для охраны правопорядка они могут использоваться без вашего согласия, говорят юристы.
Для коммерческого использования технологий распознавания лиц компании обязаны получать согласие на обработку биометрических персональных данных. Но это нетрудно: когда человек приходит, например, в банк, который собирает биометрию для своих нужд, он обязательно подписывает бумаги с согласием на обработку персональных данных, даже если не замечает этого.
То, как у нас регулируется применение распознавания лиц, наглядно видно из судов с московской мэрией активистов, оспаривавших законность работы такой системы в столице. И это был очень странный подход, говорит ведущий юрист «Роскомсвободы» Саркис Дарбинян. Мэрия Москвы настаивала на том, что не хранит персональные данные, а личность гражданина на основе съёмки устанавливают правоохранительные органы.
«При этом дело Анны Кузнецовой [двое полицейских передали посторонним данные, полученные из системы распознавания лиц] четко показало, что с помощью этой системы нарушается тайна частной жизни и идёт обработка биометрических персональных данных, — говорит юрист. — То есть никакой правовой основы для работы системы слежки через камеры нет. Не установлены критерии идентичности: в каком случае мы можем считать, что лицо на камере и человек — это одно и то же лицо. Нет и регламента, кто и на каком основании может иметь доступ к системам. Нет никакого логирования, которое позволяет понять, кто имел доступ к системе и кого-то там искал».
Но надо понимать, что европейский подход к регулированию — в данном случае антипод российского — строится вокруг интересов гражданина и часто — в ущерб инновациям и бизнесу, и никто этого даже не скрывает, отмечает Иван Бегтин. Эта модель может стать причиной торможения инноваций в тех областях, где есть общественные риски, говорит он.
У нас складывается скорее обратная ситуация: в России создаются специальные правовые режимы, где можно тестировать новые технологии ИИ, госкомпании активно инвестируют в распознавание лиц и помогают алгоритмам обучаться на своих данных. Так что ждать в России законодательных инициатив, похожих на европейскую, точно не стоит, говорят эксперты. «Мы движемся скорее по китайскому пути развития этой индустрии и более вероятен сценарий создания объединённых хранилищ данных из видеопотока на государственном уровне по примеру пакета Яровой для телекоммуникационной индустрии», — говорит Караиван из «Ракеты».
История Instagram без прикрас
В издательстве «Бомбора» вышел деловой бестселлер «No Filter. История Instagram» журналистки Bloomberg Сары Файер. Мы опубликовали главу, в которой рассказывается о начале эры инфлюэнсеров. После того как в июне 2016 года Instagram изменил свою ленту, введя алгоритмическое упорядочивание постов, все, кто использовал приложение в рекламных целях, поняли, что им нужно пересмотреть стратегию. Новый порядок выдачи отдавал приоритет близости отношений, а не новизне постов, а это означало, что инфлюенсеры и компании больше не могли увеличивать число подписчиков за счет частоты публикаций. Выглядело это так, что каждый молодой бизнес, построенный на базе Instagram, продолжал выполнять ту же работу, но теперь — под руководством нового, таинственного начальника и абсолютно не понимая, почему вдруг стали падать его результаты.
Сенат США допросил Apple и Google о комиссиях
На этой неделе в Сенате США прошли слушания по, пожалуй, самой наболевшей теме в антимонопольных разбирательствах с бигтехами — комиссиях в магазинах приложений Apple и Google. Сенаторы, как водится, пытались разобраться в работе корпораций и в том, зачем магазинам такие большие комиссии. Компании объясняли, что комиссии идут на безопасность пользователей и приложений (но не все). Часть аргументов сенаторы просто не поняли: например, почему у Uber комиссия ниже, чем у всех остальных. Кроме того, на слушаниях выступили представители Spotify и Match (последняя на комиссии тратит полмиллиарда долларов в год). В целом никакого вывода из этих слушаний, как из всех предыдущих, пока что сделать нельзя. Но ощущение, что тучи над техногигантами сгущаются, усиливаются с каждым днем.
Китайские регуляторы тоже обсуждают принципы регулирования deepfake разработок.
По материалам The Bell. Автор Валерия Позычанюк