Французский регулятор опубликовал нормативный документ о вторичном использовании ПД разработчиками ИИ-систем
Французская Национальная комиссия по информации и гражданским свободам (La Commission Nationale de Plnformatique et des Libertes, CNIL) в январе 2022 года опубликовала нормативный документ, регламентирующий повторное использование персональных данных (ПД) компаниями, которые выполняют обработку ПД на заказ для обучения систем искусственного интеллекта (ИИ).
Документ «О повторном использовании ПД субподрядчиками, нанятыми для их обработки» (Sous-traitants: la reutilisation de donnees confiees par un responsable de traitement) вводит два понятия: «подрядчик» (в оригинале – «обработчик», «процессор»), т.е. лицо, обрабатывающее массив ПД по заданию, и «заказчик» («контролёр», «менеджер», т.е. распорядитель ПД).
Вопрос о вторичном использовании ПД подрядчиком в собственных интересах последнее время привлекает повышенное внимание, поскольку подрядчики всё чаще извлекают выгоду из данных, которые принадлежат не им, а заказчику.
Например, производителю ПО необходимо анализировать данные о своих пользователях, о том, как они применяют программные продукты, – чтобы улучшать, развивать, персонализировать свои разработки. По мере того, как ПО с элементами ИИ становится обычным явлением, поставщикам программных продуктов могут понадобиться ПД пользователей для разработки моделей машинного обучения. И хотя в этом случае усовершенствования ПО могут принести пользу пользователям в целом, они не всегда приносят пользу конкретному пользователю-субъекту ПД, чьи данные ИИ-система получила для анализа.
В своём руководстве CNIL допускает вторичное использование подрядчиком, обрабатывающим ПД по поручению заказчика, для собственных целей подрядчика только при условии соблюдения довольно жестких условий:
- заказчик, который передаёт ПД подрядчику, даёт последнему явное письменное разрешение;
- цель повторной обработки ПД, преследуемая подрядчиком, не противоречит первоначальной цели обработки, которую предусмотрел заказчик.
Это требует от подрядчика ясно сформулировать цели повторной обработки, указав, как и почему ПД будут повторно использованы, а также убедиться, что договор с заказчиком предусматривает соответствующие полномочия. Заказчики, в свою очередь, должны оценить, совместимы ли новые цели повторной обработки ПД с первоначальными целями.
Таким образом, прежде чем заказчик предоставит разрешение, он должен оценить связь между первоначальной целью обработки и новой целью, которую преследует подрядчик, а также характер ПД, возможные последствия для субъектов ПД, наличие соответствующих гарантий и другие факторы, указанные в статье 6(4) GDPR (обработка ПД в целях, отличных от тех, на которые субъект ПД дал согласие).
CNIL подчёркивает, что если проверка на совместимость целей обработки и повторной обработки ПД не прошла, заказчик должен отказать подрядчику в разрешении на повторное использование данных; если же совместимость соблюдена, — это право заказчика, разрешать повторную обработку или нет. Такая трактовка вытекает из положения GDPR о том, что именно заказчик, он же контролёр, определяет цели и методы обработки ПД (ст. 4(7)) и именно он несёт конечную ответственность, в том числе за выбор подрядчика и за его действия, если они осуществляются в рамках договора (ст. 28).
CNIL подчёркивает также, что разрешение заказчика (контролёра) на любое повторное использование данных подрядчиком должно предоставляться в каждом конкретном случае с учётом конкретных целей и характеристик соответствующих данных, и что общего разрешения в соглашении об обработке будет недостаточно.
В своем руководстве CNIL приводит пример: «В случае, когда подрядчик хочет повторно использовать данные с целью улучшения своих сервисов облачных вычислений, такое повторное использование можно считать совместимым с первоначальной обработкой при условии соответствующих гарантий, таких, как анонимизация данных, если идентифицирующие данные не являются необходимыми». CNIL особо уточняет, что повторное использование данных подрядчиком в маркетинговых целях должно пройти «тест на совместимость» с первоначальными целями.
Согласно статье 6(4) GDPR, на которую ссылается CNIL, заказчик (контролёр) может проводить анализ совместимости только в том случае, если первоначальная обработка была основана на правовой базе, отличной от согласия субъекта ПД на их обработку. Если же у заказчика есть только согласие субъекта ПД, заказчик должен, очевидно, заручиться отдельным согласием субъекта ПД на новые цели повторной обработки.
Если заказчик определит, что повторное использование данных совместимо с первоначальной целью, и предоставит письменное разрешение подрядчику, тот может приступить к использованию данных в своих собственных целях.
CNIL разъясняет, что, в этот момент заказчик становится контролёром целей подрядчика и должен выполнить обязательства контролёра в соответствии с GDPR в отношении обработки ПД, поскольку определение целей и методов обработки – это ключевое отличие, подрядчика (контролёра данных) от того, кто эти данные обрабатывает (подрядчика) (ст. 4(7) GDPR). В частности, необходимо будет определить правовое основание для обработки и проработать вопрос о том, как уведомлять субъектов данных и обеспечить их права.
В руководстве CNIL говорится, что заказчик (контролёр) несёт ответственность за информирование субъектов ПД о новых целях обработки. Кроме того, заказчик должен проинформировать субъектов ПД об их праве возражать против обработки. Однако если подрядчик имеет возможность напрямую общаться с субъектами ПД, руководство CNIL позволяет заказчику делегировать эту обязанность.
Хотя руководство CNIL ясно даёт понять, что подрядчики могут повторно использовать персональные данные, условия такой обработки отличаются от практик, распространённых на рынке. Многим компаниям будет необходимо скорректировать свои соглашения об обработке данных, чтобы соответствовать требованиям, сформулированным CNIL; а заказчики (контролёры), вероятно, обнаружат, что им необходимо принимать более активное участие в принятии решений о том, как подрядчики повторно используют их данные.