Robocounsel

Добил французскую иммиграционную бюрократию Это было непросто. Кто-то из вас помнит, как всё начиналось: в 2021 году я приехал на секондмент в Совет Европы как эксперт от Российской Федерации, работать в секретариате, помогать Совету по цифровой повестке, и в особенности в связи с запланированной разработкой Ковенции по ИИ. После того, как в 2022 году всех россиян в связи с известными событиями попросили из Совета Европы, я принял решение тем не менее остаться в Страсбурге, так как к этому времени уже многие годы специализировался именно на цифровом праве ЕС. Поэтому с карьерной точки зрения наиболее логично было бы оставаться либо в Страсбурге, либо в Брюсселе. Но въезжал я на территорию Франции как сотрудник международной организации, это специфический статус, и курирует таких мигрантов МИД Франции. Мигрантов же классических курирует МВД, а внутри него — префектуры регионов. Нужно было переходить из одной системы в другую, и это оказалось сложно. Сначала моё заявление в префектуре вообще толком не рассмотрели и потребовали самовыдвориться. Я не согласился, и через административный трибунал доказал, что префектура допустила явную ошибку, не изучив моё досье. Трибунал постановил отменить незаконное решение префектуры и оставить меня во Франции, но не указал, в каком статусе. Префектура решила, что это будет самый экономически бесправный статус – визитёр. Я собрал новое досье с доказательствами своей бизнес-компетентности и бизнес-планом, одобренным профильным региональным госорганом. Обычно рассмотрение подобных досье по опыту других знакомых мне россиян, оставшихся тут и сформулировавших бизнес-план, занимает полгода, в моём случае оно длилось полтора года, и вот после очередных стимулирующих писем моего адвоката в адрес префектуры они разродились наконец положительным решением о перемене иммиграционного статуса с ущербного на полноценный для самозанятых. Очень рад, что это всё наконец закончилось.

Завершается регистрация на 9-й поток курса по ИИ Акту ЕС Последний в этом академическом году. Если вы присоединились к каналу недавно и не знаете, насколько у нас всё круто, напомню. От двух-трёх слушателей потоков этого года скоро, возможно, увидите статьи про различные аспекты проблематики, которую мы разбираем на курсе. Как мощны мои лапищи Серьёзно, мощный продукт получился. Конкурентов в моей нише по качеству материала и уровню слушателей, пожалуй, просто нет. Регистрация: aia.tiulkanov.info

Поправки в ИИ Акт ЕС: на чём остановились? Подведём итоги на вебинаре в эту пятницу 29 мая, в 17:00 по Парижу / 18:00 по Москве. Регистрация обязательна.

Почему технобро не любят GDPR На прошлой неделе мы отметили десятилетие GDPR. Наиболее бесцеремонные из технобратии постоянно жалуются на этот Регламент и законодательство о персональных данных в целом: это всё только мешает. Поправка: мешает лично им, набивать карманы без каких-то либо ограничений. Нам, обществу — только помогает. Помогает не скатиться в тот анархо-капиталистический ад, о котором так мечтают Ларри Эллисоны, Илоны Маски и прочая безбашенная часть технобратии. Предприниматели – очень важная часть общества. Без них в современном обществе невозможно. Я сам предприниматель. Но одно дело быть предпринимателем и делать свой посильный вклад в построение капитализма с человеческим лицом. И другое – нести тот бред, который нёс Ларри (видео 2024 года, когда он обсуждал ИИ-стратегию Oracle). Общий регламент ЕС по защите данных не идеален, но это лучшее, что есть в этой области. Спасибо Ларри, что напомнил нам, зачем нам нужно законодательство с крупными оборотными штрафами, сильные органы по защите данных и справедливый независимый суд.

Избегайте публикации фото, по которым можно считать отпечатки Исследователи из Танзании проанализировали практики пользователей социальных сетей и выявили три наиболее типичных жеста, в том числе на селфи, которые позволят злоумышленникам извлечь ваши биометрические данные и потенциально получить доступ к ресурсам и устройствам, которые верифицируют вас по отпечаткам пальцев. Чем больше пальцев на фото — тем выше риск. Предупредите близких. P.S. Девушка ненастоящая, в отличие от рисков

ФАС ЗСО: ИИ – ваш инструмент, конечный результат – ваша ответственность Настя тут правильно обращает внимание на штраф за очередные галлюцинации в поданном в суд документе. Сразу вспоминаются некоторые коллеги в уже далёких поздних 2010-х спорившие со мной по поводу "кто же будет отвечать за ошибки искусственного интеллекта, это же очень сложный и неоднозначный правовой вопрос". Говорил уже тогда: вопрос несложный, вопрос тривиальный. Несерьёзный, если хотите. Каждый, каждый юрист должен это знать. А если вы судья, делайте как коллеги из ФАС ЗСО. Ссылаются представители, что их подвёл ИИ, забыли о своей деонтологической обязанности и личной ответственности за конечный результат — документ, представляемый суду? Штраф за неуважение. Все здоровее будем.

Предвзятость решения, принятого ЛЛМ, можно доказать только статистически, не индивидуально Об этом в интервью WIRED поведал Ши Браун, один из ведущих в мире экспертов по техническому аудиту ИИ-систем, рассказывая о наиболее популярной на сегодня архитектуре (большие языковые модели, LLM). Объективно ответить на вопрос, занижает ли, например, такая система оценку определённым кандидатам, можно дать лишь в целом по группе, в разрезе определённого признака (например, инвалидность). Дать же ответ, было ли предвзятым конкретное решение ЛЛМ-системы, и установить его причины, принципиально невозможно. На сегодня это техническое, архитектурное ограничение.

Датская компания оштрафована на 100 млн. евро за передачу данных в Россию Датский орган по защите персональных данных вынес такое решение в отношении MLU BV, датского правопреемника Ridetech, оказывавшего услуги такси в Финляндии и Норвегии под брендом и в приложении Yango (ранее относившегося к Яндексу). По данным собственного отчёта Ridetech об оценке последствий трансграничной передачи персональных данных (transfer impact assessment), передача этих данных в Россию была сопряжена с риском произвольного доступа к данным со стороны российских властей. Датские коллеги не считают Роскомнадзор независимым органом по защите прав субъектов персональных данных по смыслу европейского законодательства, поскольку в полномочия Роскомнадзора одновременно входят и задачи, концептуально конфликтующие с защитой прав граждан, такие как борьба с терроризмом ("закон Яровой"). Орган, уполномоченный на надзор одновременно за двумя этими одинаково важными, но противоположно направленными государственными задачами, обречён на конфликт интересов, и поэтому не может считаться беспристрастно защищающим права граждан. Кроме того, Роскомнадзор подчинен Минцифры, что также лишает его претензий на независимость. А в ситуации отсутствия независимого органа под надзору в юрисдикции получателя персональных данных трансграничная передача в эту юрисдикцию данных из ЕС на основании стандартных договорных оговорок (SCCs) незаконна, так как не предоставляет субъектам из ЕС необходимых гарантий защиты их прав.

Шесть лёгких способов подпасть под действие Регламента ЕС по ИИ Компактная версия на картинке, чуть более развёрнутая — здесь.

Как ИИ-агенты регулируются правом ЕС Новый пре-принт только что опубликован, я в соавторах. Рассказываю, чем статья полезна и интересна, и что в ней можно считать спайси.

Кто за что отвечает в контексте рисков для приватности и защиты персональных данных? Часто возникает путаница: за что отвечает DPO, за что юрист, а за что бизнес. По-хорошему процесс управления этими рисками, роли и задачи должны выглядеть так.

ИИ-редактор текста Телеграма приватен не более, чем сам Телеграм Казалось бы очевидно, но маркетинг Телеграма такой маркетинг, что в погоне за ростом аудитории допускают явное враньё в анонсах. Разбор в иллюстрации. Дуров, обрати внимание, s'il te plaît.

Приватность не мертва, просто в цифре по умолчанию её меньше Меньше, чем в естественной среде нашего обитания, ввиду того, как цифровые технологии работают по умолчанию. Именно поэтому возникло законодательство о защите персональных данных: законы наподобие GDPR принуждают разработчиков и операторов цифровых технологий, вопреки их желаниям и стремлениям, восстанавливать то состояние приватности (privacy by design and by default), которым люди пользовались естественным образом до появления цифровых технологий. По мотивам идей Алана Вестина — Alan Westin, Privacy and Freedom (1967).

Российский законопроект об ИИ: обзор ключевых положений Опубликован для обсуждения проект ФЗ «Об основах регулирования сфер применения технологий ИИ в РФ». Вносится Правительством, планируемое вступление в силу — 1 сентября 2027. 1. В госсектор и на критическую инфраструктуру: только через реестр доверенного ИИ В ГИС и на значимых объектах КИИ госорганов допускаются только ИИ-модели из реестра доверенных. Условия: подтверждение безопасности (AI safety) от ФСТЭК/ФСБ, обработка данных только в РФ (data sovereignty), подтверждение качества (AI quality) от отраслевых регуляторов. Правительство вправе распространить это на отдельные объекты КИИ за пределами госсектора. Продвигаются суверенные и национальные модели ИИ — разработка, обучение и данные исключительно в РФ. 2. Защита прав граждан Прозрачность при продаже и оказании услуг (in-use transparency): при использовании ИИ без участия человека потребитель должен быть уведомлён. Прозрачность автономных решений (ADM transparency): если решение, затрагивающее права гражданина, принимается ИИ автономно — обязательно уведомление. Право на отказ от ИИ (right to be not subject to ADM): в установленных Правительством случаях — должна быть обеспечена возможность получения услуги без применения автоматизации. Оспоримость автоматизированных решений госорганов (contestability): по-видимому, должна обеспечиваться конструктивно, через объяснимость (explainability), что ограничит спектр допустимых ИИ-технологий в этой сфере (похожие положения есть в Регламенте ЕС). 3. Законопроект также устанавливает, помимо прочего: — обязанности участников правоотношений (разработчик, оператор, владелец сервиса, пользователь): безопасность, документирование, тестирование, мониторинг, инциденты; — ответственность участников правоотношений и основания освобождения от неё; — маркировку синтетического контента с opt-out и ответственностью за удаление; — правила и исключения из общего режима защиты объектов интеллектуальной собственности на стадии их использования для обучения ИИ и при их создании при эксплуатации ИИ; — возможность запрета и ограничения трансграничного функционирования ИИ; — пострыночный надзор (postmarket surveillance). 4. Краткое сравнение с Регламентом ЕС по ИИ Принципиальное отличие: российский законопроект не опирается на технические стандарты (ГОСТ или иные) как механизм имплементации требований закона. В ЕС Регламент по ИИ построен по NLF — стандарты СЕН/СЕНЭЛЕК дают презумпцию соответствия требованиям закона. Для систем повышенной опасности в ЕС, в том числе на критической инфраструктуре - в основном декларирование и иногда сертификация, плюс CE-маркировка, для остальных систем - свободный выпуск на рынок. В российском проекте — разрешительный порядок для критической инфраструктуры и госсектора через реестр, и свободный выпуск на рынок в остальных случаях. Также Регламент ЕС не содержит требований о суверенитете данных, суверенных моделей и механизмов запрета или ограничения трансграничного применения ИИ.

Николай Дмитрик: тренды в прайваси Заметка и слайды Николая по следам нашей сессии на WB Privacy & Day сегодня.

В среду 18 марта буду на WB Privacy & Day 16 MSK / 14 CET, на английском Регистрируйтесь на https://privacyday.rwb.ru/, увидимся онлайн!

Рекламная инфраструктура двойного назначения 404 Media пишут, что Таможенно-пограничная служба США (CBP) отслеживает передвижения интересующих её лиц через данные с их телефонов, полученные через рекламные аукционы — RTB (real-time bidding). Это возможно, например, когда вы устанавливаете приложения, монетизируемые по рекламной модели. Когда такое приложение на вашем телефоне подгружает рекламный баннер, за доли секунды проходит аукцион: сотни рекламных сетей одновременно получают пакет данных об устройстве, включая геолокацию. Победитель показывает рекламу, но и проигравшие также получают ваши данные. Соответственно органы, заинтересованные в слежке, или их "партнёры" или подставные лица регистрируются как участники аукционов — но не для показа рекламы, а чтобы системно собирать данные о пользователях. Сами разработчики приложений при этом могут быть не в курсе деталей — достаточно лишь того, что они используют рекламный SDK — чужой код, встроенный ради монетизации. Так рекламные сети получают доступ к тем же данным геолокации, что и само приложение. Иными словами, источник данных для слежки — не какие-то отдельные подозрительные приложения, а любые приложения со встроенной рекламой. Что можно попробовать сделать для противодействия: отключить или периодически сбрасывать рекламный идентификатор (может называться AdId/GAID/IDFA или аналогично) в настройках приватности на телефоне, отключить предоставление данных о геолокации в настройках приложений.

Второй грант от StandICT Принимаю поздравления: я второй раз выиграл грант на финансирование моей работы в области технических стандартов для систем искусственного интеллекта! Мой проект: "Supporting the development of prEN 18286, prEN 18228, ISO/IEC 42001 guidance and SME handbook". Фокус будет на двух направлениях: 1) на европейском уровне: поддержка финализации в СЕН/СЕНЭЛЕК проектов европейских стандартов по риск-менеджменту (prEN 18228) и менеджменту качества ИИ-систем (prEN 18286) повышенной опасности (Регламент ЕС по ИИ) 2) на международном уровне: поддержка разработки в ИСО/МЭК (1) нового руководства 42003 по внедрению требований стандарта 42001 (система менеджмента ИИ-систем, AIMS) и (2) пособия для малого и среднего бизнеса по тому же стандарту 42001. Напомню, что инициатива StandICT.eu поддерживает экспертов, разрабатывающих технические стандарты с учётом интересов европейского малого и среднего бизнеса и общественно значимых эффектов (в том числе по ИИ), за счёт бюджетных средств Европейского союза.

Механизмы подтверждения возраста: исследование ANPD Бразильский орган по защите данных опубликовал отчёт об исследовании существующих подходов к оценке и подтверждению возраста пользователей (включая проверку по документам, оценку на основе онлайн-поведения и биометрической категоризации, а также другие методы). Актуально всем, кто занимается комплаенсом в этой области. Английский перевод | Анонс | Португальский

Вынесу из комментариев ответ на вопрос — а как попасть в этот самый секретный Робокаунсел Плюс, откуда я переслал последний пост? Очень просто: вам сюда