С Новым 2024 годом!

 С наступающим 2024 годом!

Новых успехов в новом году!

Новых интересных и значимых проектов, надежных партнеров!

Мира и согласия в ваших семьях, надежных и понимающих друзей!

Позитива во всем и положительных эмоций!

Персональные данные и искусственный интеллект

19 декабря на портале RSpectr опубликована статья Тимура Халудорова «Данные в никуда. Как защитить конфиденциальную информацию при работе с искусственным интеллектом», в которой есть и мои комментарии на тему использования искусственного интеллекта (ИИ) для обработки персональных данных и иной информации ограниченного доступа.

Для тех, кому интересно, публикую полную версию ответов, подготовленных мною при подготовке публикации на портале.

1.  Нужно ли менять подход к защите персональных данных при использовании сотрудниками ИИ в своей работе? Что и как нужно изменить? Возможно ограничить доступ к подобным моделям внутри своей компании или что-то еще? Считаете ли Вы, что ИИ, собирающий чувствительную информацию в принципе перевернет весь комплаенс в сфере персданных?

На сегодняшний день, когда архитектура построения ИИ и схема взаимодействия с внешним миром, сетью Интернет в том числе, пользователям практически неизвестны, как и возможности ИИ передавать ChatGPT и подобным сервисам, использующим ИИ, информацию ограниченного доступа, в том числе персональные данные, на мой взгляд, вообще недопустимо. Совершенно неясно, как ИИ будет использовать полученные данные, где хранить, кому передавать при решении других задач. Буквально на днях появилось сообщение из МТИ и Калифорнийского университета, что саморазвивающиеся модели ИИ могут создавать подсистемы ИИ без помощи и участия человека. Что и как будут обрабатывать эти подсистемы, где это будет происходить, кто получит результаты? Пока однозначных ответов нет, необходимо ограничить использование ИИ для обработки конфиденциальных данных. Революции в комплаенсе пока не предвидится. Но ограничения вводить надо. 

2.  Нужно ли менять подход к организации систем кибербезопасности к защите персональных данных при использовании сотрудниками ИИ в своей работе. Что и как нужно изменить? Возможно ограничить доступ к подобным моделям внутри своей компании или что-то еще? Проще говоря, как защищать и надежно хранить персональные данные в таких условиях?

Ответ простой – не передавать персональные данные ИИ и не хранить их в системах, использующих ИИ. Но соблазн упростить себе жизнь очень велик, значит, надо существенно усилить контроль за движением данных, их выходом за пределы информационных систем операторов. Утечек и так катастрофически много, и добавление к существующим принципиально новых групп риска требует гораздо более жесткого контроля.

3.  Какие регуляторные инициативы могли бы помочь в защите сферы персданных от ИИ?

Необходимо очень четко и конкретно определить, какие данные можно передавать для машинного обучения ИИ. Тенденция к полному отказу от свободного оборота обезличенных данных, которые в законе теперь именуются «персональные данные, полученные в результате обезличивания персональных данных», представляется ошибочной. На статистике построено огромное количество бизнес-процессов в самых разных областях – банковском деле, страховании, медицине, фармацевтике, маркетинге, а вся статистика строится на обезличенных данных. Предъявлять к ним более жесткие требования, чем к данным до обезличивания – путь абсурдный. Так, в законопроекте о поправках в закон о персональных данных, получивших среди специалистов название «закон об обезличивании», принятом в первом чтении, предполагается уничтожать обезличенные данные сертифицированными ФСТЭК или ФСБ средствами защиты информации. Такие требования не выдвигаются в отношении не обезличенных данных, за исключением биометрических.

В то же время до сих пор нет ясности, а как же надо обезличивать данные, чтобы не было возможности соотнести их с конкретным определяемым субъектом. Одна из причин этого – отсутствие в российском законодательстве понятия анонимизации данных и отличия этих действия от обезличивания.

Вот эти вопросы надо решать на регуляторном уровне уже сегодня, и срочно.    

18 мая: разбираемся с нормативными актами по реформе законодательства о персональных данных

18 мая в Учебном центре «Информзащита» проведу вебинар «Изменения в законодательстве о персональных данных в 2023 году, действия операторов» по нормативным правовым актам, реализующим новые требования закона «О персональных данных» (внесенные Федеральным законом от 14.07.2022 №266-ФЗ), вступившим в силу 1 сентября 2022 года и 1 марта этого года.

Мы вместе проанализируем 4 постановления Правительства РФ, 5 приказов Роскомнадзора, приказ ФСБ России*.

Разберемся, как будут работать новые правила трансграничной передачи и как долго придется ждать решения по намерению передавать персональные данные за границу в новую страну или с новыми целями, надо ли банкам подавать уведомления о передаче персональных данных в связи с денежным переводом в страну, которая в уведомлении ранее не указывалась, и об автоматическом обмене финансовой информацией с компетентными органами иностранных государств.

Обсудим, когда нужен акт об уничтожении персональных данных, как его подготовить и оформить, что делать, когда уничтожаются данные в «чужих» системах, находящихся в дата-центрах и облаках или используемых по схеме SaaS.

Пройдемся по алгоритму действий в случае утечки персональных данных и порядку подачи первичного и дополнительного уведомления об этом печальном событии, в том числе теми операторами, которые подключены и не подключены к ГосСОПКА.

Попытаемся понять, зачем нужен акт об оценке вреда субъекту в случае нарушения закона и как его правильно оформить.

Напомним, кто и зачем может прийти с проверкой к оператору персональных данных в условиях введенного моратория на надзорные мероприятия.

Выясним, какие изменения произошли в уведомлениях, которые надо подавать в Роскомнадзор и каковы последствия этих изменений для операторов.

Вебинар спланирован таким образом, что значительное его время заложено на ответы на вопросы его слушателей.

Ждем в гости. Скучно не будет точно.    

* - Будут проанализированы изменившиеся требования закона и положения постановлений Правительства РФ от 29.12.2022 № 2526, от 10.01.2023 № 6, от 16.01.2023 № 24, от 04.02.2023 № 161, приказов Роскомнадзора от 05.08.2022 № 128, от 27.10.2022 № 178, от 28.10.2022 № 179. от 28.10.2022 № 180, от 14.11.2022 № 187, приказ ФСБ России от 13.02.2023 № 77.