AI на службе GDPR
Наверное, все знают, что в Европейском Союзе с 25 мая 2018 года действует регламент ЕС 2016/679 General Data Protection Regulation (GDPR), принятый от 27 апреля 2016 года. C помощью GDPR усилена и приведена к единому образу защита персональных данных всех лиц во всех странах, входящих в Европейский Союз.
Исследователи из юридического факультета Института Европейского университета во Флоренции (EUI), в сотрудничестве с инженерами из Университета Болоньи, Университета Модены и Реджо-нель-Эмилия, при поддержке Европейской группы потребителей BEUC разработали систему искусственного интеллекта «Claudette meets GDPR», которая в идеале представляет собой поисковую систему систему для ежедневного мониторинга соответствия политик конфиденциальности IT-продуктов требованиям законодательства. Но пока Claudette находится на стадии бета-тестирования и обучения алгоритмов.Вот именно с соответствия документации IT-продуктов и GDPR — решили начать тестирование Claudette.
Для тестирования Claudette разработчики и юристы исследовали 14 цифровых гигантов: Google, Facebook, и Instagram, Amazon, Apple, Microsoft, WhatsApp, Twitter, Uber, AirBnB, Booking, Skyscanner, NetflixStea и Epic Games.Именно они создают масштабные и популярные продукты «поэтому должны служить хорошим примером для рынка» — говорится в заявлении EUI.
Подробнее просмотреть результаты аналитики этих 14 политик конфиденциальности и узнать что же они нарушают можно тут: http://www.claudette.eu/gdpr/
В результате аналитики 14 политик конфиденциальности было проверено 3 658 предложений (80 398 слов), их которых выявили следующие нарушения:
- невозможно предоставить пользователю полностью всю информацию, которую требует GDPR, к примеру, когда и как правообладатели продукта обмениваются данными с третьими лицами;
- используется “сложный” юридический язык, который трудно понять потребителям, что не позволяет им узнать, как их данные используются;
- не получают согласие на обработку персональных данных — например, говорится, что пользователь соглашается с политикой конфиденциальности компании просто используя свой веб-сайт.
«Это предварительные результаты, и до сих пор «Claudette» обучалась только с небольшим количеством политик конфиденциальности, поэтому результаты автоматического сканирования не на 100% точны» — указано в отчете BEUC о проделанной работе.
Какие же требования, чтобы не нарушать права потребителей и пользователей в соответствии с GDPR утвердили разработчики Claudette?Правообладатель IT-продукта должен получить согласие на обработку и предоставить простым доступным языком полную информацию о каждом этапе обработки персональных данных, среди прочего, определить контролера и процессора, правовую основу и цель обработки, категории получателей персональных данных, право отзыва персональных данных пользователями и право обжаловать незаконные действия правообладателя.
Вообще, этот эксперимент проводится для того, чтобы показать, что нарушений прав потребителей и пользователей происходит повсеместно и вручную с этим никак нельзя бороться, а значит требуется автоматизация процессов надзора, используя искусственный интеллект (машинное обучение).
Когда система Claudette будет обучена — BEUC будет доводить отчёты о результатах аналитики IT-продуктов до сведения органов защиты данных и уведомлять их о наличии нарушения.
Пока Claudette обучается, система работает очень просто:получает политику конфиденциальности (Privacy Policy), проводит аналитику с использованием алгоритмов машинного обучения и возвращает политику конфиденциальности, в которой рискованные условия выделены определенным цветом, в зависимости от нарушения.