Персональные данные и этика AI: GDPR и ответственный AI

GDPR: что должен знать бизнес

General Data Protection Regulation (ЕС, 2018) — самый влиятельный закон о персональных данных. Применяется к любой компании, обрабатывающей данные жителей ЕС, независимо от юрисдикции компании.

Ключевые принципы GDPR:

Законность, справедливость, прозрачность
Ограничение цели (данные только для заявленных целей)
Минимизация данных (собирай только необходимое)
Точность
Ограничение хранения (не храни бессрочно)
Целостность и конфиденциальность
Подотчётность

Права субъектов данных: право на доступ; право на исправление; право на удаление («право быть забытым»); право на переносимость; право не подвергаться автоматизированным решениям.

Штрафы: до €20 млн или 4% глобального оборота (что больше). Meta — штраф €1,2 млрд (2023) за незаконную передачу данных в США.

Этика AI: от принципов к практике

Пять принципов этичного AI (ОЭСР): человеческие ценности и права; прозрачность и объяснимость; надёжность; подотчётность; инклюзивность.

Bias в AI: алгоритм Amazon для найма (2018) дискриминировал женщин — обучен на исторических данных, где большинство нанятых были мужчинами. Amazon отказался от системы.

Explainable AI (XAI): методы объяснения решений «чёрного ящика». SHAP — показывает, какие признаки повлияли на предсказание. LIME — локальные линейные объяснения.

AI Act (ЕС, 2024): первый в мире закон об AI. Четыре уровня риска: неприемлемый (запрет социального скоринга, mass surveillance), высокий (медицина, кредит, найм — строгие требования), ограниченный, минимальный.

Практическое задание

Банк внедряет AI-систему скоринга для кредитных решений. (1) Какие данные можно использовать в соответствии с GDPR? (2) Как обеспечить объяснимость — клиент вправе получить объяснение отказа. (3) Какие предвзятости могут быть в модели? (4) Как провести аудит на предмет дискриминации?