Як ШІ впливає на Privacy Policy і Terms of Use

08 червня 2023 202 Data privacy комiтет, IT комiтет
Катерина Дубас

Голова практики захисту персональних даних Legal IT Group, DPO у Privacity, CIPP/E, CIPT

Вітаємо з новою фічею у вашому застосунку! Тепер, коли ви її задумали і почали реалізовувати (і скоро вже реліз! або він навіть вже був?), постало нагальне питання: 

Невже мою політику приватності (Privacy Policy) і мою публічну оферту (Terms of Use / Terms of Service) треба міняти? 

А потім відразу два наступних: 

  • Хто мене змусить? 
  • Як міняти? 

Ця стаття допоможе вам зорієнтуватися, що робити відразу після завершення програмно-інженерних робіт, щоб використання ШІ було здоровим (та не шкодило довірі до сервісу з боку стурбованих користувачів). 

Почнемо з політики приватності (Privacy Policy)

Фактично, розкривати інформацію про використання ШІ вас змушує сам GDPR, прямо у тексті кількох своїх статей. Наприклад, стаття 13 і 14 прозоро говорить, що контролер повинен розкривати дані про: 

  • персональні дані в обробці (наприклад, персональні дані, які присутні у тренувальному датасеті);
  • цілі обробки (тобто для яких цілей буде використовуватися ШІ, що має доступ до персональних даних);
  • одержувачів персональних даних (якщо ви використовуєте готову модель, а не власну); 
  • строки обробки і зберігання персональних даних;
  • логіку роботи ШІ, якщо він використовується для прийняття автоматизованих рішень з юридичними чи іншими серйозними наслідками (наприклад, відмова у кредиті,
  • продажі послуг чи товарів, записі до лікаря абощо); 
  • джерела походження даних (якщо дані отримуються моделлю не напряму від юзера, а з іншого датасету чи матеріалу). 

Схожі вимоги щодо розкриття інформації про процес обробки є і у деяких інших країнах. 

Нагадуємо, що GDPR – технологічно нейтральне регулювання: воно охоплює як ручну обробку, так і напів- чи повністю автоматизовану. Штучний інтелект не буде виключенням. До нього застосовується GDPR, як і інші закони про захист персональних даних (якщо у роботі ШІ обробляються і персональні дані, звісно). 

Більш того: якщо ваш провайдер моделі знаходиться не у ЄС, а у третій країні на кшталт США або України – є імовірність, що спочатку треба провести Data Protection Impact Assessment (DPIA), перш ніж навіть допускати модель до будь-яких ПД своїх користувачів. Цей DPIA може сильно допомогти у описі, наприклад, мір захисту, які ви вживаєте, щоб у третій країні з даними європейців нічого не сталось – тому що саме в DPIA ви зможете детально викласти можливі ризики, доступні інструменти і стратегії мінімізації. 

Окрім того, саме в політиці приватності краще описати права субʼєкта даних і як він може ними скористатися. Чи може він видалити свої дані з датасетів? Чи може він виправити неточні дані? Чи може він отримати доступ до своїх даних і опису операцій (читайте, цілей і правових підстав) з ними? Як він може попросити втрутитися живу людину для перегляду рішень? Все це теж краще помістити, щонайменше, у політиці приватності (а ще краще – ще й у дизайні особистих кабінетів або як окремі інструменти зі швидким доступом з футера, наприклад). 

Також памʼятайте: якщо використовуєте дані юзера для навчання моделі на основі його згоди – дайте йому інструкцію та інструмент такого ж легкого відкликання згоди у будь-який момент. 

А тепер перейдемо до публічної оферти (Terms of Use) 

Terms of Use, Terms of Service, ToS, ToU, EULA, Terms and Conditions… Ви знайдете дуже багато назв, що приховують схожу суть: договір між вами та користувачем щодо надання послуг (і стягування оплати, якщо передбачено). 

І тут нас знову чекає сюрприз: доведеться і сюди вносити нову інформацію! 

Наприклад, в залежності від суті вашого продукту, ви можете додавати пункти про: 

  • заборонені випадки використання вашого AI-powered продукту; 
  • авторське право і суміжні права (якщо ШІ генерує текст, картинки, аудіо або інші твори, захищені копірайтом); 
  • моделі монетизації (якщо ви стягуєте оплату за фічу з ШІ, але модель монетизації не передбачає однакової оплати за кожний виклик через АРІ); 
  • відповідність вимогам законодавства про захист добросовісної конкуренції (наприклад, не видавати роботи ШІ за роботу конкретної майстрині-людини); 
  • гарантії якості роботи продукту (у тому числі ШІ як його компоненти), а також дисклеймери і відмови від гарантій; 
  • обовʼязки для користувачів вашого продукту (або моделі) щодо розкриття у власних політиках приватності інформації про використання ШІ (і сам ШІ); 
  • обмеження і ліміти ШІ, накладені вами, провайдером моделі чи, наприклад, торговим майданчиком, де відбувається використання продукту (фотостоки чи біржі ілюстрацій чи текстів, наприклад); 
  • якщо буде актуально в момент, коли ви читаєте цю статтю – то ще й експортні чи інші обмеження (наприклад, китайські закони про цензуру), прийняті державою на використання та/чи продаж продукту з ШІ у інші країни тощо. 

Відсутність цих пунктів може спричинити не лише недовіру до продукту більш обізнаних з ШІ користувачів, але й призвести до переповнення служби підтримки (і юридичного відділу) запитаннями і скаргами користувачів, які не розумітимуть юридичний статус продукту (або збиратимуть власний комплаєнс-пазл, щоб перепродавати елементи вашого продукту у своєму продукті). 

Замість висновків

Лишилось дочекатися законів про ШІ (AI Act) у США і ЄС, щоб переконатися, що Ви точно передбачили всі юридичні ризики. Але і без них є багато джерел, з яких обізнаний юрист зможе взяти інформацію та моделі регулювання, щоб вкласти їх у логіку ваших документів. 

Не слід покладатися на щастя – краще відразу повідомити своїх користувачів про використання ШІ, і дати їм всі юридичні важелі для контролю своїх прав та даних (і розуміння обмежень і лімітів технологій та вашої відповідальності за них), ніж шкодувати при отриманні позову або штрафу від наглядового органу.