Ольга Петрів

Юристка у сфері штучного інтелекту напряму “Незалежні медіа”

Ми постійно під’єднані до мережі — смартфон у кишені, розумний годинник на руці, застосунок для доставки їжі у кілька кліків. Усе це створює нескінченний потік інформації про наші вподобання, місцезнаходження, поведінку. Багато платформ збирають колосальні обсяги даних, не завжди пояснюючи, навіщо це робиться. Як результат, користувачі часто «дарують» свої дані, навіть не здогадуючись, хто може скористатися цією інформацією.

Уявіть, що ваша заявка на кредит не схвалена, але ви не отримуєте жодних пояснень, чому це сталося. Чи робот відхиляє ваше резюме, хоча формально ви відповідаєте всім вимогам вакансії. Система ШІ приймає рішення за лічені секунди, однак людина не завжди в таких випадках може зрозуміти, чому так відбулось. Така «непрозорість» породжує недовіру до технологій і відчуття несправедливості.

Окремої уваги потребують кіберзагрози. Масивні бази даних, що зберігають конфіденційну інформацію, регулярно приваблюють зловмисників. У разі успішної атаки постраждати можуть як репутація організації, так і безпека користувачів, чиї персональні відомості можуть опинитися у відкритому доступі. 

Усе це свідчить про необхідність чітких і прозорих правил щодо збору та використання персональних даних. У зв’язку з цим законодавці в усьому світі розробляють норми та стандарти, покликані врівноважувати інтереси комерційних компаній і права громадян на приватність та безпеку. Тому в цій консультації ми розберемо, як регулюється питання персональних даних в США, Канаді та Європейському Союзі.

В першу чергу варто розуміти, що персональні дані – це будь-яка інформація, що дає змогу ідентифікувати конкретну людину. До неї можуть належати:

• загальні дані: ім’я, дата народження, адреса;
• контактна інформація: номер телефону, електронна пошта;
• технічні дані: IP-адреса, файли “cookie”;
• чутливі (спеціальні) дані: інформація про стан здоров’я, расову чи етнічну належність, біометричні показники тощо.

З появою великих дата-сетів (Big Data) і швидким розвитком ШІ зростають ризики витоку, неправомірного доступу та маніпулювання особистою інформацією. Алгоритми здатні виводити надзвичайно точні профілі користувачів на підставі даних. Це створює як можливості, так і небезпеки. Тому цікаво розглянути, як зараз регулюється відповідне питання.

Сполучені Штати Америки

У Сполучених Штатах Америки немає єдиного федерального закону, що комплексно охоплює всі аспекти захисту персональних даних. Натомість діє низка галузевих актів, а також закони на рівні окремих штатів, які суттєво впливають на вимоги до обробки й зберігання даних:

Ключові федеральні закони

Так, Health Insurance Portability and Accountability Act (HIPAA) регламентує захист медичних даних пацієнтів, зокрема визначає стандарти шифрування, доступу та передачі інформації між лікарнями, страховими компаніями та іншими учасниками медичного сектору. Цей закон також включає так звані «Privacy Rule» та «Security Rule»: перша вимагає від організацій обмежувати використання та розголошення конфіденційних даних, а друга зобов’язує їх впроваджувати технічні й адміністративні заходи безпеки, щоб уникнути несанкціонованого доступу. Крім того, HIPAA має положення про санкції (штрафи та кримінальну відповідальність) у випадках навмисного або грубого нехтування вимогами.

Для захисту інформації про дітей діє Children’s Online Privacy Protection Act (COPPA), який охоплює цифрові платформи (сайти, додатки, онлайн-сервіси), що можуть збирати або обробляти дані дітей до 13 років. Згідно з цим актом, такі організації зобов’язані отримувати перевірену згоду батьків чи опікунів перед тим, як почати збирання чи використання інформації про дитину. Закон також визначає обов’язкову наявність прозорої політики конфіденційності, де чітко пояснено, які дані збираються, як довго вони зберігаються і з ким можуть бути поділені. Порушення вимог COPPA караються штрафами від Федеральної торговельної комісії (FTC), причому суми можуть сягати мільйонів доларів, залежно від масштабу й характеру порушення.

У фінансовій сфері найважливішим документом є Gramm-Leach-Bliley Act (GLBA). Він містить низку вимог, серед яких «Financial Privacy Rule» та «Safeguards Rule», що зобов’язують банки, кредитні установи та страхові компанії захищати конфіденційність і цілісність фінансових даних своїх клієнтів. Зокрема, організації повинні інформувати клієнтів про те, які категорії даних збираються, з якою метою й кому можуть бути передані. Також закон вимагає вживати технічних та організаційних заходів безпеки, щоб унеможливити доступ зловмисників до чутливої інформації. Окремо передбачено механізми контролю (через різні регуляторні органи на федеральному та штатному рівнях) і відповідальність за недотримання встановлених правил.

Для сфери освіти існує Family Educational Rights and Privacy Act (FERPA), який захищає інформацію про учнів і студентів, що зберігається в навчальних закладах. Цей акт поширюється на державні та більшість приватних шкіл, коледжів і університетів, які отримують фінансування від держави. Він гарантує батькам та самим учням (по досягненні повноліття або при вступі до закладу після школи) право доступу до освітніх записів, виправлення помилок або неточностей, а також обмеження розповсюдження цієї інформації за певних умов. Якщо заклад освіти розголошує такі записи без належної згоди, це може призвести до позбавлення його державного фінансування або інших дисциплінарних заходів.

Загалом ці чотири акти демонструють галузевий підхід США до регулювання захисту персональних даних. Кожен документ зосереджується на певному аспекті приватності — медичні записи, відомості про дітей, фінансова інформація чи освітні документи — тим самим заповнюючи конкретні ніші, де захист персональних даних є найбільш критичним. Такий формат регулювання водночас гарантує глибоку деталізацію кожної галузі, однак призводить до неоднорідності законодавства: залежно від штату та галузі можуть діяти різні правила та підходи до захисту прав споживачів.

Законодавство у штатах

На рівні штатів найбільш відомим та суворим законом про захист персональної інформації є California Consumer Privacy Act (CCPA), який набув чинності 1 січня 2020 року. Він надає мешканцям Каліфорнії право дізнаватися, які дані про них збирають компанії, вимагати видалення особистої інформації та забороняти її продаж. Крім того, CCPA вимагає від організацій розкривати перелік сторонніх осіб, яким вони передають дані користувачів, та пояснювати мету такої передачі. Згодом до CCPA було додано поправку — California Privacy Rights Act (CPRA), що розширила визначення «чутливих персональних даних» та посилила вимоги до повідомлення і отримання згоди від користувача. Такий підхід Каліфорнії став орієнтиром для інших штатів, які прагнуть запровадити подібні норми для захисту персональної інформації.

Наразі кілька інших штатів — зокрема Вірджинія, Колорадо, Юта та Коннектикут — також ухвалили власні акти, що регулюють збір та використання персональних даних. Хоча вони можуть містити певні відмінності, пов’язані зі специфікою місцевої економіки або правової системи, загалом ці закони орієнтуються на досвід Каліфорнії.

На федеральному рівні США не мають єдиного закону, який би охоплював усі аспекти розробки та застосування штучного інтелекту (ШІ). Однак існують урядові ініціативи, спрямовані на регулювання цієї сфери. У жовтні 2023 року президент Джо Байден підписав виконавчий указ, який встановлював нові стандарти безпеки для ШІ та передбачав розробку рекомендацій щодо етичних норм і принципів підзвітності для систем ШІ. Проте 21 січня 2025 року президент Дональд Трамп скасував цей указ, аргументуючи це необхідністю сприяння інноваціям у сфері ШІ. 

Європейський Союз: GDPR та Artificial Intelligence Act

У ЄС питання захисту даних регулюється Загальним регламентом про захист даних (GDPR), ухваленим у 2016 році й застосовним з 25 травня 2018-го. GDPR суттєво впливає на розробку та використання систем ШІ, встановлюючи вимоги щодо обробки персональних даних. Відповідно до GDPR, організації повинні забезпечити законність, прозорість та справедливість обробки даних, що є критично важливим при навчанні моделей ШІ на великих наборах даних, які можуть містити особисту інформацію.

Основні аспекти впливу GDPR в конетксті ШІ:

1. Законність обробки даних: Організації повинні мати правову підставу для збору та обробки персональних даних. Це може бути згода суб’єкта даних або інші підстави, передбачені GDPR.
2. Принципи “privacy by design” та “privacy by default”: Розробники ШІ повинні впроваджувати заходи захисту даних на етапі проєктування системи та забезпечувати, щоб за замовчуванням оброблялися лише ті дані, які необхідні для конкретної мети.
3. Права суб’єктів даних: GDPR надає індивідам права на доступ, виправлення, видалення та обмеження обробки їхніх даних. Системи ШІ повинні бути спроектовані таким чином, щоб забезпечити реалізацію цих прав.
4. Оцінка впливу на захист даних: Якщо обробка даних за допомогою ШІ може призвести до високого ризику для прав і свобод осіб, організації зобов’язані провести оцінку впливу на захист даних для виявлення та мінімізації цих ризиків.
5. Прозорість та пояснюваність: GDPR вимагає, щоб обробка даних була прозорою для суб’єктів даних. У контексті ШІ це означає, що організації повинні надавати зрозумілу інформацію про те, як працюють їхні алгоритми та як використовуються персональні дані. 

Artificial Intelligence Act 

Акт про штучний інтелект (Artificial Intelligence Act, AI Act) — це регламент Європейського Союзу, який встановлює спільну правову та регуляторну базу для штучного інтелекту в межах ЄС. Він спрямований на забезпечення безпечного та етичного використання ШІ, враховуючи потенційні ризики для суспільства та прав людини.  AI Act був опублікований в Офіційному журналі Європейського Союзу 12 липня 2024 року та набув чинності 1 серпня 2024 року. Його положення будуть впроваджуватися поступово протягом 6–36 місяців залежно від конкретних вимог. 

AI Act доповнює Загальний регламент про захист даних (GDPR), не змінюючи його. Він встановлює вимоги до розробників та користувачів ШІ-систем щодо безпеки, прозорості та відповідальності, забезпечуючи захист персональних даних та фундаментальних прав людини. Це включає обов’язкові оцінки ризиків, заходи щодо зниження можливих негативних наслідків та забезпечення підзвітності при використанні ШІ. 

AI Act класифікує ШІ-системи за рівнем ризику на чотири категорії:

1. Неприйнятний ризик: Системи, які заборонені через загрозу для безпеки або прав людей.
2. Високий ризик: Системи, що вимагають суворого контролю та відповідності встановленим стандартам.
3. Обмежений ризик: Системи з обмеженими вимогами щодо прозорості.
4. Мінімальний ризик: Системи, які не підлягають спеціальному регулюванню.

Цей підхід дозволяє адаптувати регуляторні вимоги залежно від потенційного впливу ШІ-систем на суспільство. 

Таким чином Акт про штучний інтелект встановлює чіткі правила для розробки та використання ШІ в Європейському Союзі, забезпечуючи баланс між інноваціями та захистом прав людини. 

Канада

У Канаді регулювання обробки персональних даних у системах штучного інтелекту (ШІ) здійснюється через Закон про захист персональної інформації та електронні документи (PIPEDA), ухвалений у 2000 році. Цей закон встановлює правила для збору, використання та розкриття особистої інформації в комерційному секторі, забезпечуючи баланс між потребами бізнесу та правами індивідів на конфіденційність.

З розвитком технологій та зростанням використання ШІ виникла потреба в оновленні законодавства. У червні 2022 року уряд Канади представив законопроект C-27, який включає Закон про штучний інтелект і дані (Artificial Intelligence and Data Act, AIDA). Цей законопроект спрямований на встановлення єдиних стандартів для розробки та використання систем ШІ по всій країні. Він передбачає вимоги щодо прозорості, недискримінації та безпеки, а також забороняє дії, пов’язані з використанням ШІ, які можуть завдати серйозної шкоди людям або їхнім інтересам. 

AIDA також накладає обов’язок на організації шифрувати та деідентифікувати персональні дані, які використовуються для навчання ШІ, щоб захистити конфіденційність індивідів. Крім того, законопроект передбачає призначення уповноваженого з питань штучного інтелекту та даних для нагляду за дотриманням вимог та забезпечення відповідності. 

Таким чином, Канада активно працює над оновленням свого законодавства, щоб забезпечити відповідальне та етичне використання ШІ, одночасно захищаючи персональні дані своїх громадян.

В умовах, коли штучний інтелект стає невід’ємною частиною економіки та повсякденного життя, питання захисту персональних даних стоїть надзвичайно гостро. США поки що регулюють цю сферу переважно галузевими та штатними законами. Європейський Союз уже має суворі правила в межах GDPR і готується посилювати контроль завдяки AI Act. У Канаді діє PIPEDA, однак уряд працює над модернізованим законопроєктом C-27, аби врахувати специфіку ШІ й зміцнити права громадян.

Усі ці ініціативи, з одного боку, обмежують безконтрольне поширення даних, а з іншого — демонструють світові прагнення до балансу між технологічними інноваціями й захистом фундаментальних свобод. Прозорі правила та відповідальність розробників ШІ, разом із ретельним захистом персональних даних, стануть запорукою сталого розвитку цифрового суспільства, в якому кожна людина матиме право на гідне та безпечне цифрове майбутнє.