Robocounsel

Шесть лёгких способов подпасть под действие Регламента ЕС по ИИ Компактная версия на картинке, чуть более развёрнутая — здесь.

Как ИИ-агенты регулируются правом ЕС Новый пре-принт только что опубликован, я в соавторах: "AI Agents Under EU Law: A Compliance Architecture for AI Providers." Рассказываю, чем статья полезна и интересна, и что в ней можно считать спайси.

Кто за что отвечает в контексте рисков для приватности и защиты персональных данных? Часто возникает путаница: за что отвечает DPO, за что юрист, а за что бизнес. По-хорошему процесс управления этими рисками, роли и задачи должны выглядеть так.

ИИ-редактор текста Телеграма приватен не более, чем сам Телеграм Казалось бы очевидно, но маркетинг Телеграма такой маркетинг, что в погоне за ростом аудитории допускают явное враньё в анонсах. Разбор в иллюстрации. Дуров, обрати внимание, s'il te plaît.

Приватность не мертва, просто в цифре по умолчанию её меньше Меньше, чем в естественной среде нашего обитания, ввиду того, как цифровые технологии работают по умолчанию. Именно поэтому возникло законодательство о защите персональных данных: законы наподобие GDPR принуждают разработчиков и операторов цифровых технологий, вопреки их желаниям и стремлениям, восстанавливать то состояние приватности (privacy by design and by default), которым люди пользовались естественным образом до появления цифровых технологий. По мотивам идей Алана Вестина — Alan Westin, Privacy and Freedom (1967).

Российский законопроект об ИИ: экспресс-обзор ключевых положений Опубликован для обсуждения проект ФЗ «Об основах регулирования сфер применения технологий ИИ в РФ». Вносится Правительством, планируемое вступление в силу — 1 сентября 2027. 1. В госсектор и на критическую инфраструктуру: только через реестр доверенного ИИ В ГИС и на значимых объектах КИИ госорганов допускаются только ИИ-модели из реестра доверенных. Условия: подтверждение безопасности (AI safety) от ФСТЭК/ФСБ, обработка данных только в РФ (data sovereignty), подтверждение качества (AI quality) от отраслевых регуляторов. Правительство вправе распространить это на отдельные объекты КИИ за пределами госсектора. Продвигаются суверенные и национальные модели ИИ — разработка, обучение и данные исключительно в РФ. 2. Защита прав граждан Прозрачность при продаже и оказании услуг (in-use transparency): при использовании ИИ без участия человека потребитель должен быть уведомлён. Прозрачность автономных решений (ADM transparency): если решение, затрагивающее права гражданина, принимается ИИ автономно — обязательно уведомление. Право на отказ от ИИ (right to be not subject to ADM): в установленных Правительством случаях — должна быть обеспечена возможность получения услуги без применения автоматизации. Оспоримость автоматизированных решений госорганов (contestability): по-видимому, должна обеспечиваться конструктивно, через объяснимость (explainability), что ограничит спектр допустимых ИИ-технологий в этой сфере (похожие положения есть в Регламенте ЕС). 3. Законопроект также устанавливает, помимо прочего: — обязанности участников правоотношений (разработчик, оператор, владелец сервиса, пользователь): безопасность, документирование, тестирование, мониторинг, инциденты; — ответственность участников правоотношений и основания освобождения от неё; — маркировку синтетического контента с opt-out и ответственностью за удаление; — правила и исключения из общего режима защиты объектов интеллектуальной собственности на стадии их использования для обучения ИИ и при их создании при эксплуатации ИИ; — возможность запрета и ограничения трансграничного функционирования ИИ; — пострыночный надзор (postmarket surveillance). 4. Краткое сравнение с Регламентом ЕС по ИИ Принципиальное отличие: российский законопроект не опирается на технические стандарты (ГОСТ или иные) как механизм имплементации требований закона. В ЕС Регламент по ИИ является частью законодательства о безопасности продукции и построен по NLF — стандарты СЕН/СЕНЭЛЕК дают презумпцию соответствия требованиям закона. Для систем повышенной опасности в ЕС, в том числе на критической инфраструктуре - в основном декларирование и иногда сертификация, плюс CE-маркировка, для остальных систем - свободный выпуск на рынок. В российском проекте — разрешительный порядок для критической инфраструктуры и госсектора через реестр, и свободный выпуск на рынок в остальных случаях. Также Регламент ЕС не содержит требований о суверенитете данных, суверенных моделей и механизмов запрета или ограничения трансграничного применения ИИ.

Николай Дмитрик: тренды в прайваси Заметка и слайды Николая по следам нашей сессии на WB Privacy & Day сегодня.

В среду 18 марта буду на WB Privacy & Day 16 MSK / 14 CET, на английском Регистрируйтесь на https://privacyday.rwb.ru/, увидимся онлайн!

Рекламная инфраструктура двойного назначения 404 Media пишут, что Таможенно-пограничная служба США (CBP) отслеживает передвижения интересующих её лиц через данные с их телефонов, полученные через рекламные аукционы — RTB (real-time bidding). Это возможно, например, когда вы устанавливаете приложения, монетизируемые по рекламной модели. Когда такое приложение на вашем телефоне подгружает рекламный баннер, за доли секунды проходит аукцион: сотни рекламных сетей одновременно получают пакет данных об устройстве, включая геолокацию. Победитель показывает рекламу, но и проигравшие также получают ваши данные. Соответственно органы, заинтересованные в слежке, или их "партнёры" или подставные лица регистрируются как участники аукционов — но не для показа рекламы, а чтобы системно собирать данные о пользователях. Сами разработчики приложений при этом могут быть не в курсе деталей — достаточно лишь того, что они используют рекламный SDK — чужой код, встроенный ради монетизации. Так рекламные сети получают доступ к тем же данным геолокации, что и само приложение. Иными словами, источник данных для слежки — не какие-то отдельные подозрительные приложения, а любые приложения со встроенной рекламой. Что можно попробовать сделать для противодействия: отключить или периодически сбрасывать рекламный идентификатор (может называться AdId/GAID/IDFA или аналогично) в настройках приватности на телефоне, отключить предоставление данных о геолокации в настройках приложений.

Мой проект в рамках StandICT Чуть больше года я участвую и набираюсь опыта в разработке технических стандартов по управлению рисками ИИ (AI Risk Management, ИИ РМ, prEN 18228) и системе менеджмента качества для поставщиков ИИ-систем (Quality Management System…

Механизмы подтверждения возраста: исследование ANPD Бразильский орган по защите данных опубликовал отчёт об исследовании существующих подходов к оценке и подтверждению возраста пользователей (включая проверку по документам, оценку на основе онлайн-поведения и биометрической категоризации, а также другие методы). Актуально всем, кто занимается комплаенсом в этой области. Английский перевод | Анонс | Португальский

Директору Меты по безопасности искусственного сверхинтеллекта (Director, Superintelligence Alignment) не хватило интеллекта естественного, чтобы не подключать Openclaw к своей рабочей почте (теперь удалённой).