Консультирование по правовым вопросам использования ИИ

Суть услуги

ИИ — это новое поле, правовая база ещё активно развивается. Разные страны вводят разные правила. Вчера можно было, сегодня нельзя. Непоследование может привести к штрафам, судам, запретам. Важно знать какие ограничения и требования при использовании ИИ в вашей стране и в вашей отрасли.

Ключевые правовые вопросы:

• Авторские права: кто владеет моделью которую разработали? Кто владеет результатами которые выдаёт система?
• Ответственность: кто отвечает если система дала неправильный результат и произошёл ущерб?
• Защита данных: как нужно защищать персональные данные которые используются при обучении и работе?
• Требования регуляторов: что требуют регуляторы (Банк России, ФСТЭК, ЦБ и другие)?
• Этические вопросы: система не должна дискриминировать, должна быть справедлива
• Лицензирование: нужна ли лицензия для использования ИИ?
• Соглашения с поставщиками: какие права и обязанности есть в контракте?

Почему это важно:

• Штраф может быть очень дорогим — до 10% годовой выручки или даже больше
• Судебный процесс может затянуться на годы
• Запрет на использование ИИ может остановить весь процесс
• Репутационный урон если обнаружится что система дискриминирует
• Потеря инвестиций если ИИ будет запрещен

Процесс консультирования - 5 этапов (3-4 недели)

Этап 1: Анализ вашей ситуации (2-3 дня)

• Понимаем как именно вы используете ИИ
• В каких странах и регионах работаете
• Какие типы данных используете
• Какие решения принимает ИИ-система
• Кто ваши клиенты и партнёры

Этап 2: Изучение применяемого законодательства (3-4 дня)

• Анализируем федеральное законодательство России
• Анализируем региональное законодательство вашего региона
• Изучаем отраслевое регулирование (если финансы, здравоохранение, государство)
• Смотрим европейское регулирование и тренды
• Определяем какие требования распространяются на вас

Этап 3: Анализ рисков и несоответствий (3-4 дня)

• Выявляем правовые риски в текущем использовании ИИ
• Определяем какие требования вы нарушаете или можете нарушить
• Оцениваем серьёзность каждого риска
• Определяем вероятность того что риск реализуется
• Оцениваем потенциальный ущерб

Этап 4: Разработка стратегии соответствия (2-3 дня)

• Определяем что нужно изменить чтобы соответствовать требованиям
• Приоритизируем изменения (критичные, средние, низкие)
• Оцениваем стоимость и время каждого изменения
• Разрабатываем план внедрения

Этап 5: Документирование и подготовка документов (2-3 дня)

• Подготавливаем политику использования ИИ
• Подготавливаем условия обслуживания для клиентов
• Подготавливаем документы для взаимодействия с регуляторами
• Готовим ответы на типичные вопросы

Основное законодательство и требования

Федеральное законодательство России:

• ФЗ о персональных данных №152: если система работает с персональными данными нужно соответствовать требованиям защиты. Получить согласие на обработку. Обеспечить безопасность.
• Закон об информации и защите информации: если это государственная система нужна сертификация безопасности.
• Закон о защите прав потребителей: система не должна дискриминировать потребителей. Нужна прозрачность.

Требования Банка России (для финансовых учреждений):

• Система должна быть прозрачна и объяснима
• Нельзя дискриминировать по признакам пола, возраста, инвалидности
• Нужна возможность апелляции решения
• Нужно документировать все процессы
• Нужна история всех решений для аудита

Требования для государственных учреждений:

• ИИ может только рекомендовать решение, не принимать его
• Система должна быть полностью объяснима
• Все решения должны быть в журнале
• Нужна возможность обжалования решения
• Данные не должны выходить за границы РФ

Требования для здравоохранения:

• ИИ не должна самостоятельно назначать лечение
• ИИ может только помогать врачу в диагностике
• Врач принимает окончательное решение
• Нужна защита медицинской тайны
• Нужно соблюдать требования о конфиденциальности

Типичные правовые риски

Риск 1: Использование персональных данных без согласия

Описание: Компания обучила модель на данных клиентов которые не дали согласие на использование их данных.

Последствия: Штраф до 1000000 рублей. Суд. Запрет на использование данных.

Как избежать: Получить явное согласие на использование данных. Документировать согласие. Обеспечить право клиента отозвать согласие.

Риск 2: Дискриминация при принятии решений

Описание: ИИ-система дает разные результаты для разных групп людей (например мужчины получают кредит чаще чем женщины).

Последствия: Штраф. Судебные иски. Репутационный урон. Запрет на систему.

Как избежать: Тестировать систему на справедливость. Убрать дискриминирующие признаки. Документировать как обеспечена справедливость.

Риск 3: Ответственность за ошибку системы

Описание: ИИ-система дала неправильный результат (например неправильный диагноз) и произошёл ущерб.

Последствия: Компания может быть подана в суд. Нужно выплатить компенсацию.

Как избежать: Четко определить в контракте что система это только рекомендация. Указать что финальное решение принимает человек. Обеспечить прозрачность системы.

Риск 4: Использование чужих данных для обучения

Описание: Компания обучила модель на данных которые не имеет права использовать (например скопировала с интернета).

Последствия: Иск за нарушение авторских прав. Штраф. Запрет на использование модели.

Как избежать: Использовать только данные которые имеете право использовать. Получить лицензию на данные. Или использовать синтетические данные.

Риск 5: Утечка конфиденциальных данных из системы

Описание: Конфиденциальные данные которые использовались при обучении вытащили из модели.

Последствия: Штраф по закону о защите данных. Судебные иски от клиентов. Репутационный урон.

Как избежать: Использовать differential privacy при обучении. Зашифровать данные. Ограничить доступ к модели.

Примеры из реальной практики

Пример 1: Банк штрафован на 1 млн рублей

Что произошло: Банк использовал ИИ-систему для принятия решений по кредитам. Система дискриминировала женщин — они получали отказ в 25% случаев вместо 10% у мужчин. Регулятор узнал и штрафовал банк.

Чему мы научились: Нужно тестировать систему на справедливость. Нужно документировать что система справедлива.

Пример 2: IT-компания запретили использовать модель

Что произошло: IT-компания разработала модель которая анализирует фотографии людей. Использовала данные которые скачала с интернета без разрешения. Правообладатели подали в суд. Модель был запрещена.

Чему мы научились: Нужно получить разрешение на использование данных. Или использовать данные которые имеешь право использовать.

Пример 3: Государственное учреждение использует ИИ неправильно

Что произошло: Госучреждение использовало ИИ для принятия финальных решений (например распределение жилья). По закону система может только помогать, решение принимает человек.

Чему мы научились: Для государственных систем есть особые требования. Нужно строго их соблюдать.

Пример 4: Компания собрала данные без согласия

Что произошло: Компания обучила модель на данных клиентов которые не дали согласие на использование. Регулятор штрафовал компанию на 500000 рублей.

Чему мы научились: Нужно получить согласие на использование персональных данных. Документировать согласие.

Пример 5: Утечка данных из модели

Что произошло: Исследователи показали что из модели можно вытащить личные данные клиентов. Компания получила репутационный урон и штраф.

Чему мы научились: Нужно защищать конфиденциальность данных. Использовать differential privacy.

Что получает клиент

• 1. Правовой анализ и отчёт (40-60 страниц): анализ применяемого законодательства, выявленные риски, оценка последствий, рекомендации
• 2. Матрица требований: таблица с требованиями какие применяются к вам и какие вы уже выполняете
• 3. План приведения в соответствие: пошаговый план что и когда нужно сделать
• 4. Шаблоны документов: политика использования ИИ, условия обслуживания, документы для регулятора
• 5. Обучение команды: встреча с командой где объясняем основные требования
• 6. Готовые ответы на регулятора: как ответить если регулятор спросит

Кому это нужно

• Финансовым учреждениям которые используют ИИ
• Компаниям которые работают с персональными данными
• Государственным учреждениям
• Компаниям здравоохранения
• Крупным корпорациям которые хотят обезопасить себя
• Стартапам которые развиваются и будут расти

Результаты консультирования

• ✓ Ясное понимание требований вашего законодательства
• ✓ Выявление всех правовых рисков
• ✓ Готовый план соответствия требованиям
• ✓ Документы которые нужны для защиты
• ✓ Уверенность что вы действуете в рамках закона
• ✓ Минимизация рисков штрафов и запретов