CC BY
25ЗАЩИТА ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ АВТОМАТИЗИРОВАННОМ ПРИНЯТИИ РЕШЕНИЙ ЧУБУКОВА Светлана Георгиевна,
кандидат юридических наук, доцент кафедры информационного права и цифровых технологий Московского государственного юридического университета имени О.Е. Кутафина (МГЮА). E-mail: sgchubukova@msal.ru
Исследование выполнено при финансовой поддержке РФФИ в рамках научного проекта № 18-29-16014 «Место и роль правового регулирования в развитии цифровых технологий, правовое регулирование и саморегулирование, в том числе с учетом особенностей отраслей права».
Краткая аннотация: В статье рассмотрено понятие и виды автоматизированных решений. Приведены критерии определения исключительно автоматизированной обработки. Определены риски автоматизированных решений для лиц, в отношении которых они принимаются, и механизмы их преодоления. Проанализировано законодательство Европейского Союза, регулирующее автоматизированное принятие решений и профилирование. Анализ позволил сделать вывод, что при автоматизированном принятии решений необходимо: обеспечить информирование субъекта данных о профилировании и автоматизированном принятии решений; включить конкретные сведения об этом типе обработки в политику конфиденциальности; выполнить оценку рисков и обеспечить соответствующую защиту данных; ввести процедуры, позволяющие физическим лицам осуществлять обращения в отношении автоматизированного принятия решения; реализовать механизм независимого мониторинга.
Abstract: The article considers the concept and types of automated solutions. The criteria for determining exclusively automated processing are given. The risks of automated decisions for the persons in respect of whom they are made and the mechanisms for overcoming them are identified. The article analyzes the legislation of the European Union regulating automated decision-making and profiling. The analysis made it possible to conclude that in automated decision-making it is necessary to: ensure that the data subject is informed about profiling and automated decision-making; include specific information about this type of processing in the privacy policy; perform risk assessment and ensure appropriate data protection; introduce procedures that allow individuals to make requests for automated decision - making; implement an independent monitoring mechanism.
Ключевые слова: персональные данные, субъект персональных данных, автоматизированное принятие решений, профилирование, искусственный интеллект, системы искусственного интеллекта, Общий регламент защиты данных.
Keywords: personal data, subject of personal data, automated decision-making, profiling, artificial intelligence, artificial intelligence systems, General data protection regulation.
Системы автоматизированного принятия решений (Automated Decision-Making system) находят все более широкое применение не только в технической сфере, но и в экономике и секторе государственных услуг [1]. Основанные на технологиях анализа больших данных и системах искусственного интеллекта они позволяют существенно повысить эффективность принимаемых решений [2, с. 163].
Законодательства многих зарубежных государств устанавливают очень строгие требования в отношении систем, которые принимают автоматизированные решения без участия человека, с правовыми или аналогичными значимыми последствиями для физических лиц. Так, Европейский Совет по защите данных (European Data Protection Board, EDPB) и независимый орган Великобритании, созданный для защиты прав на информацию в общественных интересах и содействия открытости государственных органов и конфиденциальности данных для физических лиц, (Information Commisser's Office, ICO) уже опубликовали руководящие документы, касающееся автоматизированного принятия решений (Automated Decision-Making, ADM) [3; 4].
Важность разработки таких документов определяется еще и тем, что сегодня в государственных информационных ресурсах аккумулируется большой объем информации о гражданах, обработка которой с использованием современных инновационных технологических решений может создавать риски вмешательства в частную жизнь и угрозу безопасности персональных данных граждан.
В апреле 2020 года Государственная Дума РФ во втором чтении одобрила проект Федерального закона «О едином федеральном информационном ресурсе, содержащем сведения о населении Российской Федерации» [5], оператором которого
станет Федеральная налоговая служба. Введение этой системы значительно упростит получение многих государственных услуг. Вместе с тем информация о гражданах становится максимально прозрачной, поэтому необходимы четкие регламенты наполнения реестра, хранения и, главное, использования информации, в частности возможность использовать данные из этого регистра при принятии автоматизированных решений.
Степень и качество вмешательства человека в процесс принятия решения является ключевым фактором в определении того, является ли система принятия решений полностью или частично автоматизированной. При решении этого вопроса учитывают: осуществляет ли человек проверку рекомендаций системы; имеет ли он возможность принять решение, идущее вразрез с автоматизированным; принимает ли он в расчет не только выводы системы, но и другие дополнительные факторы.
Согласно зарубежной практике организации должны иметь четкое представление о степени предполагаемого использования любого приложения, реализующего автоматизированное принятие решений. Они должны обязательно информировать и прописывать в соответствующих документах, закрепляющих политику организации управления рисками, будут ли такие технологии как искусственный интеллект использоваться только для повышения эффективности принятия решений человеком или для принятия исключительно автоматизированных решений.
В документах, регламентирующих использование технологии автоматизированного принятия решений должны быть определены факторы, которые экспертам следует учитывать, прежде чем принимать окончательное решение. Например, система искусственного интеллекта может рассматривать измеримые свойства, такие как возраст, количество лет опыта соискателя работы, в то
Информационное право
время как человек оценивает навыки соискателей, которые не могут быть отражены в формах анкеты - владение специальной терминологией при собеседовании, эмоциональную возбудимость и др. Если люди-рецензенты могут получить доступ или использовать только те же данные, которые использует система, и не принимают во внимание другие дополнительные факторы, это означает, что их участие недостаточно, и в конечном итоге решение должно рассматриваться как исключительно автоматизированное.
Особое внимание законодателя должна вызывать возможность автоматизированного принятия решений в отношении конкретного человека.
Европейский Общий регламент защиты данных (General Data Protection Regulation, GDPR) определяет профилирование как любую форму автоматизированной обработки персональных данных, состоящую в использовании персональных данных для оценки определенных личностных аспектов, касающихся физического лица, в частности для анализа или прогнозирования аспектов, касающихся деятельности этого физического лица на работе, экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения, местонахождения или передвижения.
Следует помнить, что организации получают персональные данные о физических лицах из различных источников -результаты интернет-поиска, покупательские привычки, образ жизни и поведенческие данные, собранные с мобильных телефонов, социальных сетей, систем видеонаблюдения и Интернета вещей. Они анализируют эту информацию, чтобы классифицировать людей по различным группам. Этот анализ выявляет корреляции между различными моделями поведения и характеристиками для создания профилей отдельных людей. В итоги такого анализа эти профили будет содержать новые персональные данные об этом человеке.
Профилирование использует алгоритмы для поиска корреляций между разрозненными наборами данных. Эти алгоритмы затем могут использоваться для принятия широкого спектра решений, например, для прогнозирования кредитоспособности или управления доступом к сервису. И, конечно, указанные алгоритмы ложатся в основу систем искусственного интеллекта и машинного обучения.
GDPR определяет проведение профилирования, если реализованы: сбор и анализ персональных данных в больших масштабах с использованием алгоритмов, искусственного интеллекта или машинного обучения; определение ассоциаций для построения связей между различными моделями поведения и атрибутами; создание профилей, которые применяются к физическим лицам; прогнозируется поведение отдельных людей на основе их назначенных профилей.
Хотя многие люди считают маркетинг наиболее распространенной причиной для профилирования, это не единст-
венная сфера его приложения. Профилирование используется в некоторых медицинских процедурах, применяя машинное обучение для прогнозирования состояния здоровья пациентов или вероятности успешного лечения для конкретного пациента на основе определенных групповых характеристик. Одна из крупнейших страховых компаний Великобритании использует социальные сети для анализа личности автовладельцев и определения размера их страховки [6].
Автоматизированное принятие решений часто включает профилирование, но это не обязательно. Например, если экзаменационная комиссия использует маркировку листов ответов на экзамене, которые затем проверяет и оценивает система - это автоматизированный процесс принятия решений, который не включает профилирование.
Процесс будет считаться исключительно автоматизированным, если человек только вводит данные для обработки, а затем принятие решений осуществляется автоматизированной системой.
Если кто-то взвешивает и интерпретирует результат автоматизированного решения, прежде чем применить его к конкретному лицу - это частичная автоматизация. Многие решения, которые обычно считаются автоматизированными, на самом деле связаны с вмешательством человека. Однако человеческое участие должно быть активным, а не просто символическим жестом. Вопрос заключается в том, рассматривает ли человек решение до его применения и имеет ли он право по своему усмотрению изменить его, или они просто применяют решение, принятое автоматизированной системой.
Например, работнику выдается предупреждение о несвоевременной явке на работу. Предупреждение было выдано потому, что автоматизированная система контроля входа работодателя отмечала тот факт, что работник опаздывал в определенном количестве случаев. Однако, хотя предупреждение было вынесено на основании данных, собранных автоматизированной системой, решение о его выдаче было принято менеджером по персоналу работодателя после рассмотрения этих данных.
Важно также учитывать, что решение должно порождать правовые последствия, влиять на правовой статус лица или его права. Например, когда лицо, учитывая его профиль, имеет право на конкретное социальное пособие или другую предоставляемую законом льготу. Причем размер полученного пособия может повлиять на наличие у человека средств к существованию или его способность купить или арендовать жилое помещение. Такие решения будут иметь «значительные последствия».
Примерами значительных последствия считают автоматический отказ от онлайн-заявки на кредит или практика электронного рекрутинга без вмешательства человека, когда в рамках процесса подбора персонала организация принимает решение о проведении собеседований с определенными участниками ис-
ключительно на основе результатов, полученных в ходе онлайн-тестирования способностей.
В числе незначительного влияния на человека можно назвать рекомендации для новых телевизионных программ, основанных на предыдущих привычках просмотра человека, или контекстную рекламу.
Руководящие принципы, подготовленные Рабочей группой WP29 (Article 29 Working Party) (Консультативный орган, состоящим из представителя органа по защите данных каждого государства-члена ЕС, Европейского инспектора по защите данных и Европейской комиссии. 25 мая 2018 года заменен Европейским Советом по защите данных (EDPB)), содержат большое количество рекомендаций по выявлению правовых или аналогичных существенных последствий, касающихся финансового положения, здоровья, репутации, трудоустройства [7].
Очевидно, что профилирование и автоматизированное принятие решений может быть очень полезным для организаций, а также приносить пользу отдельным лицам во многих секторах, включая здравоохранение, образование, финансовые услуги и маркетинг. Они могут привести к более эффективным решениям, особенно в тех случаях, когда требуется проанализировать очень большой объем данных и принять решения очень быстро. Хотя эти методы могут быть полезны, поскольку существуют потенциальные риски, среди которых обычно выделяют следующие: профилирование часто незаметно для людей; люди могут не ожидать, что их личная информация будет использоваться таким образом; люди могут не понимать, как этот процесс работает или как он может повлиять на них; принятые решения могут привести к значительным негативным последствиям для определенных людей.
При автоматизированном принятии решения следует иметь в виду, что анализ данных и корреляция не всегда может иметь существенное значение. Система может только делать предположение о чьем-то поведении или характеристиках, и всегда будет существовать его неточность (погрешность), поэтому пользу профилирования при автоматизированном принятии решений всегда необходимо соотносить с возможными рисками использования полученных результатов.
Следует отметить, что в GDRP целый ряд положений посвящен устранению таких рисков.
Во-первых, GDPR ограничивает исключительно автоматизированное принятие решений с правовыми или аналогично значительными последствиями. Субъект данных имеет право не
автоматизированной обработке, включая профилирование, которое влечет за собой правовые последствия в отношении него или аналогичным образом затрагивает его.
Статья 22(1) GDRP устанавливает более широкие, чем существующие ранее, возможные основания автоматизированного принятия решений, включающего профилирование в тех случаях, когда: необходимо для заключения или исполнения договора; разрешено законодательством Европейского Союза или государства-члена; на основании явного согласия данного лица.
Формулировка «необходимо для заключения или исполнения договора» подразумевает, что процесс принятия решений потенциально может осуществляться иным контролером персональных данных, нежели тот, который является стороной договора с физическим лицом. Например, кредитная заявка может представлять собой договор между финансовой организацией и потенциальным заемщиком. Финансовая организация полагается на автоматически сформированный кредитный балл, выполняемый кредитным референтным агентством, чтобы решить, следует ли соглашаться с кредитом. Даже если договор между субъектом данных и кредитным референтным агентством не заключен, это решение подпадает под основание, если можно доказать, что оно необходимо для выполнения договора.
Однако, разрешенное законом принятие решения отнюдь не означает, что должен существовать закон, в котором прямо говорится, что исключительно автоматизированное принятие решений разрешается для конкретной цели. Это основание подразумевает наличие у контролера законных полномочий на определенные действия, а при автоматизированном принятии решений, возможно включающее профилирование, что является наиболее подходящим способом для достижения цели. Например, в секторе финансовых услуг организация может использовать автоматизированное принятие решений, включая профилирование, для выявления мошенничества в целях соблюдения нормативных требований по выявлению и предупреждению преступности.
Таким образом, лицо, использующее систему для автоматизированного принятия решений должно: активно информировать субъекта данных о профилировании и автоматизированном принятии решений, в том числе включить конкретные сведения об этом типе обработки в политику конфиденциальности; выполнить оценку рисков и обеспечить соответствующую защиту данных; ввести процедуры, позволяющие физическим лицам осуществлять обращения в отношении автоматизированного принятия решения; реализовать механизм независимого мониторинга.
подлежать принятию решения, основанного исключительно на
Библиография:
1. Mikhaylov S., Esteve M., Campion A. Artificial intelligence for the public sector: opportunities and challenges of cross-sector collaboration // Philosophical Transactions A, 06 August 2018 [Электронный ресурс] - Режим доступа. URL: https://doi.org/10.1098/rsta.2017.0357 (дата обращения: 02.04.2020).
2. Правовое регулирование обеспечения информационной безопасности в условиях больших вызовов в глобальном информационном обществе: монография / под общ. ред. Т. А. Поляковой. - Саратов: Амирит, 2019. - 236 с.
3. Guidelines on automated individual decision-making and profiling. URL: http://ec.europa.eu/newsroom/document.cfm?doc_id=47742 (дата обращения: 02.04.2020).
4. Art. 22 GDPR - Automated individual decision-making, including profiling. URL: https://gdpr.eu/article-22-automated-individual-decision-making/ (дата обращения - 02.04.2020).
5. Законопроект № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» [Электронный ресурс]. Режим доступа. URL: https://sozd.duma.gov.ru/bill/759897-7 (дата обращения: 17.04.2020).
6. Admiral to price car insurance based on Facebook posts [Электронный ресурс]. Режим доступа. URL: https://www.theguardian.com/technology/2016/nov/02admiral-to-price-car-insurance-based-on-facebook-posts (дата обращения: 02.04.2020).
7. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01). URL: https://ec.europa.eu/newsroom/article29/item-detail.cfm?temjd=612053 (дата обращения: 02.05.2020).
