CC BY
1УДК 347
DOI: 10.18522/2313-6138-2024-11-2-17
Рыбинцева Елена Владимировна,
кандидат юридических наук, доцент кафедры финансового права, юридический факультет, Южный федеральный университет 344002, г. Ростов-на-Дону, ул. М. Горького, д. 88, email: rybintseva@sfedu.ru
Rybintseva, Elena V.,
PhD in Law, Associate Professor, Department of Financial Law, Law Faculty,
Southern Federal University, 88 M. Gorky Str., Rostov-on-Don, 344002, Russian Federation, email: rybintseva@sfedu.ru
НОРМАТИВНО-ПРАВОВЫЕ ПРОБЛЕМЫ АНАЛИЗА
БОЛЬШИХ ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ ПРИ ПОМОЩИ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА
В БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ
♦
REGULATORY AND LEGAL PROBLEMS OF ANALYZING LARGE USER DATA USING ARTIFICIAL INTELLIGENCE IN BANKING
АННОТАЦИЯ. Статья раскрывает проблемы сравнения терминов «большие пользовательские данные» и «персональные данные» и их нормативного применения в сфере оценки финансовых рисков с использованием искусственного интеллекта. Рассматриваются виды больших данных, анализируемых в кредитных организациях, и основные способы их использования. Проанализирована правовая природа возможности использования больших данных и их анализа с помощью программного обеспечения, в основе которого заложены механизмы так называемого машинного обучения (искусственного интеллекта). Статья раскрывает нормативно-правовые проблемы в данной сфере и рассматривает их с практической стороны.
КЛЮЧЕВЫЕ СЛОВА: финансовые риски; персональные данные; большие пользовательские данные; искусственный интеллект; банковское право.
ABSTRACT. The article reveals the problems of comparing the terms «big user data» and «personal data» and their regulatory application in the field of financial risk assessment using artificial intelligence. The article discusses the types of big data analyzed in credit institutions and the main ways of using them. The legal nature of the possibility of using big data and analyzing it using software based on the mechanisms of so-called machine learning (artificial intelligence) is analyzed. The article reveals the regulatory and legal problems in this area and examines them from the practical side.
KEYWORDS: financial risks; personal data; big user data; artificial intelligence; banking law.
ОБРАЗЕЦ ЦИТИРОВАНИЯ:
Рыбинцева, Е. В. Нормативно-правовые проблемы анализа больших пользовательских данных при помощи искусственного интеллекта в банковской деятельности / Е. В. Рыбинцева. - Текст : непосредственный // Вестник юридического факультета Южного федерального университета. - 2024. - Т. 11, № 2. - С. 133-138. -БОТ: 10.18522/2313-6138-2024-11-2-17
FOR CITATION:
Rybintseva, Е. V. (2024) Regulatory and Legal Problems of Analyzing Large User Data Using Artificial Intelligence in Banking. Bulletin of the Law Faculty, SFEDU. 11(2): 133138 [in Russ.]. DOI: 10.18522/2313-6138-2024-11-2-17
© Е. В. Рыбинцева, 2024
Введение. С каждым днем искусственный интеллект все глубже проникает в нашу повседневную жизнь. К сожалению, нормативно-правовое регулирование различных аспектов деятельности искусственного интеллекта не всегда успевает за его развитием. Так, например, в настоящее время актуальным вопросом является использование больших пользовательских данных в финансовой сфере. Такие данные особенно актуальны в банковской сфере, где организациям важно собрать максимальную информацию о потенциальных клиентах, чтобы адекватно оценить различные риски, в том числе кредитные. Именно поэтому правовое регулирование больших пользовательских данных, в том числе их обработка с помощью механизмов искусственного интеллекта, должно обладать соответствующей спецификой, в то время как в настоящее время эти правоотношения регулируются общими положениями о защите персональных данных.
Основная часть. Впервые исследование понятия «большие данные» начались в 90-х годах XX столетия. Джош Маш определял их как большой объем информации, которую необходимо обработать [11]. Все исследователи того времени сходились во мнении, что мощности вычислительной техники по обработке такого количества информации вскоре будет не хватать, однако прогресс не стоит на месте и с каждым годом объем информации, который способен обработать искусственный интеллект, растет.
Н. С. Федоренко и В. И. Хрусталев полагают, что оптимальный подход в определении «больших данных» должен строиться на объеме данных, их скорости обработки и разнообразии. Большими данными можно назвать те, размер которых занимает гигабайты и более, режим их обработки происходит в реальном времени или близком к нему, а разнообразие определяется разнородностью структуры [10]. М. С. Корнев обращает внимание, что такой термин, как «большие данные», должен использоваться для исследовательских задач и не должен иметь одного четкого понятия. Этот термин использует разные характеристики в зависимости от поставленных целей и не должен ограничивать пользователей определенной дефиницией [3, с. 84].
Более того, термин «большие пользовательские данные» не закреплен в российской пра-
вовой науке, однако начал активно использоваться несколько лет назад. Так, еще в октябре 2018 года в Государственную думу Российской Федерации был внесен Проект Федерального закона № 571124-7 «О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации"». Данный законопроект был направлен на урегулирование вопросов использования «больших пользовательских данных» и устранение правового вакуума в данной сфере, лишающего физических лиц должной правовой поддержки и защиты.
Важной целью данного законопроекта была задача по повышению уровня как правовой, так и технической защиты данных, собираемых из различных источников [4]. Одной из важных задач законопроекта было создание понятийного аппарата в этой сфере. Было важно разделить понятия «большие пользовательские данные» и «персональные данные». В законопроекте предлагалось следующее определение: «большие пользовательские данные - совокупность не содержащей персональных данных информации о физических лицах и (или) их поведении, не позволяющая без использования дополнительной информации и (или) дополнительной обработки определить конкретное физическое лицо, собираемой из различных источников, в том числе сети «Интернет» [7]. Однако это явилось камнем преткновения для дальнейшего движения закона. Орган, отвечающий за защиту прав субъектов персональных данных (Роскомнадзор), предоставил отрицательный отзыв [5] на данный законопроект в связи с тем, что по факту он дублировал многие нормы с законом «О персональных данных» [8], и в том числе само понятие «большие пользовательские данные» тождественно понятию «персональные данные».
Важно отметить, что нормативное понятие «персональные данные» весьма размыто и не имеет конкретного толкования ни в судебной практике, ни в юридической литературе, и в полной мере может включать в себя понятие «большие пользовательские данные». Наиболее емко о проблеме толкования термина «персональные данные» сказано в Научно-практическом комментарии к закону «О персональных данных» под редакцией А. А. Приезжевой: «При буквальном толковании (применяемом
в правоприменительной практике "по умолчанию") рассматриваемой нормы к понятию "персональные данные" можно отнести широкий круг информации, в том числе выходящий за рамки разумно ожидаемого в данном контексте. В частности, в нем нет указания на связь между информацией и прямой или косвенной определенностью или "определяемостью" физического лица. Соответственно, отсутствует однозначное понимание того, в каких случаях собираемые и обрабатываемые данные будут относиться к персональным, а в каких - нет.
Вместе с тем рабочей группой были высказаны сомнения относительно возможности сформулировать адекватное определение, имеющее менее общий характер» [9].
Современные цифровые технологии позволяют собирать и использовать большое количество данных, которые, на первый взгляд, к персональным данным и не относятся, но в целом при их объединении с другой информацией могут сказать многое о любом человеке. В судебных решениях можно встретить такие случаи отнесения различных видов информации к персональным данным: историю посещения сайтов, cookie, случайный идентификатор в HTTP-запросе пользователя, позволяющий отличить трафик пользователя от трафика других пользователей для получения списка его предпочтений, IP-адрес из IP-пакета HTTP-запроса пользователя, позволяющий получить географическое положение пользователя, поисковые запросы, адреса посещаемых сайтов и время их посещения, данные о пользователях социальных сетей и пр. [6]. Одним из самых громких судебных разбирательств по данной тематике последних лет стало дело «ВКонтак-те» против «Дабл Дата» [1] (В частности, в деле оспаривалась сама возможность использования открытых данных пользователей социальной сети любыми организациями.)
В последние годы для объединения и анализа разрозненной информации используется программное обеспечение, в основе которого заложены механизмы так называемого машинного обучения (искусственного интеллекта). Информация о человеке из различных источников, объединенная специальным программным обеспечением, является, по сути, «большими пользовательскими данными» (по факту - персональными данными), которые
активно используются финансовыми организациями для оценки финансовых рисков. Это подтверждает в своем докладе [2] и Банк России. В докладе говорится о том, что финансовый сектор все чаще использует технологии больших данных и искусственного интеллекта для их обработки. Это связано с увеличением объема информации в целом: домохозяйства и компании производят беспрецедентное количество данных, которые постоянно накапливаются. Социальные сети позволяют отслеживать скорость распространения информации, компании подробно фиксируют процесс производства и продажи товаров и услуг, а платежные транзакции и интернет-торговля также имеют свой «цифровой след».
Технологии больших данных позволяют обрабатывать и анализировать огромные объемы информации, что позволяет финансовым организациям получать ценные данные о клиентах, рынке и конкурентах. Например, банки могут использовать данные о платежах и транзакциях клиентов для анализа их финансового поведения и предоставления персонализированных услуг.
Искусственный интеллект позволяет автоматизировать процессы обработки данных и принятия решений на основе этих данных. Например, алгоритмы машинного обучения могут анализировать данные о клиентах и предсказывать их потребности или поведение. Это позволяет финансовым организациям предлагать клиентам более точные и персонализированные услуги.
Таким образом, использование технологий больших данных и искусственного интеллекта в банковском секторе позволяет улучшить качество услуг, повысить эффективность процессов и принимать более обоснованные решения на основе анализа больших объемов информации.
В докладе предлагается классифицировать большие данные на следующие виды:
- информация из социальных сетей, блогов и интернет-сообщений;
- данные о деятельности в Интернете (например, такие данные, как поисковые запросы или посещения сайтов);
- информация традиционных бизнес-процессов (покупки, заказы, транзакции, платежи, банковские операции, новые клиенты банков и т. д.);
- данные государственных организаций (медицинские карты, анализы, таможенные данные, налоговые платежи, задолженности и т. д.);
- данные мобильных и прочих устройств (трафик, геолокация, камеры наблюдения, сенсоры, трекеры, системы «умный дом» и др.) [2].
Оценка финансовых рисков является одной из ключевых областей, где большие данные могут быть эффективно использованы. Банки и другие финансовые институты могут использовать сложные аналитические модели и значительные объемы данных для улучшения качества кредитного скоринга новых клиентов. Это позволяет им более точно оценить кредитоспособность заемщика и принять обоснованные решения о выдаче кредита.
Внешние данные также могут быть полезны в этом процессе. Например, банки могут использовать данные из социальных сетей, кредитных бюро или других источников для получения дополнительной информации о заемщике. Это позволяет им получить более полное представление о финансовом положении и кредитной истории заемщика, что в свою очередь помогает им принимать более обоснованные решения.
Однако важно отметить, что использование больших данных для оценки финансовых рисков требует соблюдения строгих правил и норм конфиденциальности данных. Банки и финансовые институты должны соблюдать законы о защите персональных данных и обеспечивать безопасность и конфиденциальность информации, которую они собирают и обрабатывают.
Все это возможно сделать с помощью искусственного интеллекта, создав определенный алгоритм, что позволит оценивать клиента буквально за считанные минуты без дополнительных запросов в какие-либо учреждения.
В итоге результатом использования искусственного интеллекта для анализа «больших пользовательских данных» в целях оценки финансовых рисков становится создание полноценного профиля потребителя финансовых услуг, содержащего персональные данные, что порождает соответствующие нормативно-правовые проблемы:
- несоответствие принципам обработки персональных данных, установленных законодательством;
- отсутствие согласия или иного законного основания для использования этих данных, в том числе на передачу персональных данных потребителя финансовых услуг третьим лицам (партнерам и исполнителям услуг, разработчикам ПО);
Для создания цифрового профиля потребителя банковских услуг данные собираются при помощи множества различных сервисов и из различных источников. Финансовые организации активно используют сервисы сбора данных из социальных сетей. При этом собираются все данные, в том числе: фотографии и списки друзей, например. Вызывает сомнения, что финансовая организация сможет доказать законность использования этих данных в целях оценки финансовых рисков. Таким образом, налицо будет избыточность объема собираемых данных заявленным целям обработки.
Кроме того, данные о человеке могут храниться гораздо дольше, чем того требует оценка финансовых рисков. Использование «больших пользовательских данных» в целях оценки финансовых рисков может осуществляться не дольше, чем того требует анализ этого риска. Как только потенциальный потребитель финансовых услуг «проходит проверку» и становится реальным потребителем, цель «оценка финансовых рисков» является достигнутой. Последующее использование этих данных будет возможным только в том случае, если соответствующие требования о подтверждении этих данных в течение определенного срока закреплены в законодательстве или нормативных документах Банка России.
Часть 1 статьи 6 ФЗ «О персональных данных» закрепляет 10 случаев, в которых вообще допускается обработка персональных данных. В их числе требование о необходимости наличия согласия субъекта на обработку данных, направленность на достижение той цели, для которой данные собирались у субъекта, и невыхода за пределы этой цели, а также действие в целях исполнения договора, стороной или выгодоприобретателем которого является субъект обработки персональных данных.
То есть для того, чтобы анализировать большие пользовательские данные при помощи «искусственного интеллекта», финансовым организациям необходимо иметь соответствующие основания в виде закона, позволяющего это де-
лать, либо заключенного с физическим лицом договора, либо согласия, предоставленного физическим лицом. На практике финансовые организации предпочитают использовать согласие на обработку персональных данных, что также порождает ряд проблем.
Во-первых, в согласии часто указаны не все цели обработки персональных данных.
Во-вторых, в согласии могут не указать всех третьих лиц, которым данные будут передаваться. Например, для того, чтобы получить информацию из социальных сетей, либо из государственных информационных систем (таких как о наличии ДТП, например), финансовые организации используют программные продукты третьих лиц. Для подачи соответствующего запроса необходимо передать этим третьим лицам идентифицирующие данные (ИНН, данные паспорта). В соответствии со статьей 7 ФЗ «О персональных данных» передача данных третьим лицам возможна только при наличии согласия субъекта персональных данных. Соответственно, судебная практика богата требованиями об указании конкретных наименований третьих лиц, которым будут передаваться данные.
В-третьих, в соответствии со статьей 9 Федерального закона «О персональных данных», субъект имеет право отозвать свое согласие на обработку персональных данных. После отзыва согласия финансовой организации необходимо удалить из всех информационных систем данные, за исключением тех, которые обрабатываются в соответствии с законодательством. Кроме того, важно отметить, что согласие может быть отозвано в любое время, если субъект решит прекратить обработку его личных данных.
В-четвертых, срок действия согласия часто не соответствует целям обработки. Нередко в согласиях можно встретить срок - «50 лет» или «пожизненно». Однако, как было указано ранее, цель обработки данных «анализ финансовых рисков» является конечной и не предполагает обработку данных дольше, чем того требует законодательство. Соответственно, подобные формулировки являются неверными с точки зрения правовой природы данных отношений.
Заключение. Таким образом, большие пользовательские данные - это огромный объем
информации, который генерируется пользователями в процессе использования различных цифровых устройств и сервисов. Это могут быть данные о поведении пользователей в интернете, их предпочтениях, покупках, социальных взаимодействиях и т. д. Данные собираются из различных источников, таких как социальные сети, интернет-магазины, поисковые системы, мобильные приложения и другие цифровые платформы. Они могут включать в себя информацию о местоположении, предпочтениях, интересах, покупках, взаимодействии с другими пользователями и многое другое.
Такие данные полезны для анализа поведения пользователей, определения их потребностей и предпочтений, а также для предоставления персонализированных услуг и рекламы. Они также могут быть использованы для улучшения продуктов и услуг, оптимизации маркетинговых стратегий и принятия бизнес-решений. Однако использование больших пользовательских данных также вызывает вопросы о конфиденциальности и защите личной информации. Поэтому важно соблюдать правила и законы, регулирующие сбор и использование таких данных.
В целом, работа с любыми персональными данными, в том числе с «большими пользовательскими данными», имеет множество правовых последствий для банковских организаций. И действующее законодательство, активно защищающее права субъекта персональных данных и ограничивающее возможности использования его данных, фактически существенно затрудняет использование больших данных на законной основе. Однако повсеместное использование финансовыми организациями программного обеспечения на основе «искусственного интеллекта» для сбора и анализа данных о человеке показывает, что данные организации готовы идти на соответствующие риски нарушения законодательства в виду «скромности» административного наказания и фактического отсутствия судебной практики по взысканию морального вреда в пользу субъектов персональных данных. Так как основной задачей законодательства о персональных данных является защита прав субъектов персональных данных, соответственно, необходимо усиление контроля государства за использованием больших данных (в частности, больших массивов
138
персональных данных), а также существенное ужесточение административных санкций за нарушения в этой сфере.
Список использованных источников
1. «Дело «ВКонтакте» vs «Дабл Дата»». URL: https:// legalinsight.ru/articles/delo-vkontakte-vs-dabl-data (дата обращения: 16.02.2024).
2. Использование больших данных в финансовом секторе и риски финансовой стабильности. URL: https:// cbr.ru/Content/Document/File/131359/Consultation_ Paper_10122021.pdf (дата обращения: 16.02.2024).
3. Корнев М. С. История понятия «большие данные» (Big Data): словари, научная и деловая периодика // Вестник РГГУ Серия: Литературоведение. Языкознание. Культурология. 2018.
4. Пояснительная записка к проекту федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». URL: https://sozd.duma.gov.ru/bill/571124-7 (дата обращения: 16.02.2024).
5. РБК: Роскомнадзор раскритиковал законопроект о регулировании «больших данных». URL: https://rkn.gov. ru/press/publications/news63024.htm (дата обращения: 16.02.2024).
6. Решение Арбитражного суда города Москвы по делу № А40-14902/2016-84-126 // Судебные и нормативные акты РФ. URL: https://sudact.ru/arbitral/doc/ wMWCGQRTQkH4 (дата обращения: 04.03.2024).
7. Текст проекта федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». URL: https://sozd.duma.gov.ru/bill/571124-7 (дата обращения: 16.02.2024).
8. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ // СПС «КонсультантПлюс». URL: https://www.consultant.ru/document/cons_doc_ LAW_61801 (дата обращения: 04.03.2024).
9. Федеральный закон «О персональных данных»: научно-практический комментарий / под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой. М.: Редакция «Российской газеты», 2015. Вып. 11. 176 с.
10. Федоренко Н. С., Хрусталев В. И. Большие данные. Подходы к толкованию термина // E-Scio. 2018.
11. Mashey John R. (25 April 1998). "Big Data ... and the Next Wave of InfraStress" (PDF). Slides from invited talk. Usenix. Retrieved 28 September 2016. http://static.usenix. org/event/usenix99/invited_talks/mashey.pdf (дата обращения: 04.03.2024).
References
1. "VKontakte case vs Double Date". Available at: https://le-galinsight.ru/articles/delo-vkontakte-vs-dabl-data (Accessed: 16.02.2024) [in Russ.].
2. The use of big data in the financial sector and the risks of financial stability. Available at: https://cbr.ru/Content/ Document/File/131359/Consultation_Paper_10122021.pdf (Accessed: 16.02.2024) [in Russ.].
3. Kornev M. S. The history of the concept of "Big Data": dictionaries, scientific and business periodicals. Bulletin of the Russian State University. Series: Literary Studies. Linguistics. Cultural studies. 2018 [in Russ.].
4. Explanatory note to the draft Federal law "On Amendments to the Federal Law "On Information, Information Technologies and Information Protection". Available at: https:// sozd.duma.gov.ru/bill/571124-7 (Accessed: 16.02.2024) [in Russ.].
5. RBC: Roskomnadzor criticized the bill on the regulation of "big data". Available at: https://rkn.gov.ru/press/pub-lications/news63024.htm (Accessed: 16.02.2024) [in Russ.].
6. The decision of the Arbitration Court of the city of Moscow in case No. A40-14902/2016-84-126. Judicial and regulatory acts of the Russian Federation. Available at: https://sudact. ru/arbitral/doc/wMWCGQRTQkH4 (Accessed: 04.03.2024) [in Russ.].
7. The text of the draft federal law "On Amendments to the Federal Law "On Information, Information Technologies and Information Protection". Available at: https://sozd.duma. gov.ru/biU/571124-7 (Accessed: 16.02.2024) [in Russ.].
8. Federal Law "On Personal Data" dated 07/27/2006 No. 152-FZ. Law assistance system "ConsultantPlus". Available at: https://www.consultant.ru/document/cons_doc_ LAW_61801 (Accessed: 04.03.2024) [in Russ.].
9. Federal Law "On Personal Data": scientific and practical commentary. Edited by Deputy Head of the Federal Service for Supervision of Communications, Information Technology and Mass Communications A. A. Priezzheva. Moscow: Editorial Office of "Rossiyskaya Gazeta", 2015. Issue 11. 176 p. [in Russ.].
10. Fedorenko N. S., Khrustalev V. I. Big data. Approaches to the interpretation of the term. E-Scio. 2018 [in Russ.].
11. Mashey John R. (25 April 1998). "Big Data ... and the Next Wave of InfraStress" (PDF). Slides from invited talk. Usenix. Retrieved 28 September 2016. Available at: http:// static.usenix.org/event/usenix99/invited_talks/mashey.pdf (Accessed: 04.03.2024) [in Eng.].
Поступила в редакцию 04.03.2024 Received March 04, 2024
