Принцип справедливости при обработке персональных данных
Хотя данный принцип закреплен в законодательстве (п. 1 ст. 5 ФЗ «О персональных данных»), стоит отметить, что его практическая реализация на практике весьма ограничена. В отличие от GDPR, где данный принцип является одним из основополагающих. Если упрощенно, то суть данного принципа в том, что при обработке персональных данных субъект не должен вводиться в заблуждение относительно процесса обработки, не должно быть дискриминационных или неожиданных для субъекта персональных данных условий.В этой связи европейским координационным органом по выработке политики в области персональных данных (European Data Protection Board, EDPB) была выработана позиция о том, что компании не должны перекладывать на субъектов персональных данных ответственность за промпты и информацию, которые они передают языковой модели. Более того, компании должны презюмировать, что субъекты персональных данных могут вводить персональные данные в составе своих промптов и что теоретически другие пользователи могут получить такую информацию, задав вопрос системе. Это означает, что компании уже на стадии проектирования своих систем должны предусмотреть необходимые меры защиты от таких случаев.
Принцип точности и актуальности персональных данных
Из-за технических особенностей функционирования больших языковых моделей они иногда могут выдавать неточную информацию (так называемые «галлюцинации»). В результате такие модели могут предоставлять неточную информацию о людях и приписывать им ложные факты. При обработке персональных данных должна обеспечиваться точность персональных данных (ч. 6 ст. 5 ФЗ «О персональных данных»). Однако результаты работы языковых моделей зачастую непредсказуемы, и обеспечение точности персональных данных, которые выдаются в результате работы с моделью, может быть сложно реализуемо с технической точки зрения. EDPS также подчеркивает в своих рекомендациях, что на протяжении всего «жизненного цикла» работы с языковыми моделями необходимо соблюдать принцип точности (accuracy principle) при обработке персональных данных (стр. 16 First EDPS Orientations for ensuring data protection compliance when using Generative AI systems).Права субъектов персональных данных
Еще одним аспектом данной проблемы является обработка запросов субъектов персональных данных, удаление и исправление персональных данных. В определенной степени языковые модели действуют как «черный ящик», и неясно, как именно они обрабатывают персональные данные и как исправить или удалить персональные данные после того, как соответствующая модель была обучена на таких данных. Как подчеркивает EDPS, в больших языковых моделях слова не хранятся как таковые, напротив, языковые модели оперируют числовыми векторами, что еще более усложняет выполнение требований законодательства, в соответствии с которым оператор обязан принять необходимые меры или обеспечить их выполнение для удаления или уточнения неполных или неточных данных (ч. 6 ст. 5 ФЗ «О персональных данных»).Трансграничная передача персональных данных
Многие провайдеры больших языковых моделей зарегистрированы за границей (например, OpenAI — в США, Mistral — во Франции). Обычно они предоставляют возможность использовать свои модели на основе API. Если компания передает соответствующей модели, развернутой на серверах за границей, персональные данные для обработки, то в этом случае происходит передача данных с территории России иностранному юридическому лицу, что является трансграничной передачей персональных данных.Правила трансграничной передачи персональных данных в России существенно изменились в 2022 году. С 1 марта 2023 года необходимо уведомлять Роскомнадзор о трансграничной передаче персональных данных. Страны классифицируются как обеспечивающие адекватную защиту персональных данных и не обеспечивающие такую защиту. Стороны Конвенции ETS № 108 и страны, специально внесенные в «белый список» Роскомнадзора, считаются обеспечивающими адекватную защиту. К таким странам относятся страны ЕС, Великобритания и ряд других стран. Однако, например, США не считаются страной, обеспечивающей адекватную защиту персональных данных.
В соответствии с новыми правилами передача в страны, обеспечивающие адекватную защиту персональных данных, могут начинаться сразу после уведомления, в другие страны — после истечения срока (по умолчанию 10 дней), установленного для Роскомнадзора для возможного принятия решения о запрете передачи персональных данных. Уже было несколько решений о запрете трансграничной передачи. Следовательно, при использовании зарубежных компаний, предоставляющих услуги по доступу к своим моделям, размещенных на иностранных серверах, необходимо проанализировать какие данные могут передаваться такой компании и необходимо ли уведомить Роскомнадзор.
