Европейская комиссия готовит масштабные поправки к Общему регламенту по защите данных (GDPR). Предлагаемые корректировки могут кардинально изменить правила обработки персональных данных в ЕС – от отслеживания файлов cookie до обучения моделей искусственного интеллекта. А это в свою очередь влечет за собой риски ослабления системы защиты конфиденциальности в ЕС.

Документ, получивший рабочее название «Цифровой омнибус», официально представят 19 ноября. Уже сейчас утечка его черновика, опубликованная немецкой организацией Netzpolitik.org, вызвала бурную реакцию со стороны юристов и правозащитников.

Самое громкое изменение – упразднение обязательного явного согласия на установку файлов cookie. Проект предусматривает включение в GDPR статьи 88a, передающей функции регулирования обработки персональных данных на оконечном устройстве от Директивы ePrivacy непосредственно GDPR. Сейчас по правилам ePrivacy сайты обязаны получать перед установкой файлов cookie явное согласие пользователя. В соответствии с новой формулировкой cookie будут включаться по умолчанию, а пользователь сможет лишь возражать против уже действующей опции.

Статья 88b предполагает, что браузеры и ОС начнут автоматически передавать предпочтения пользователей по выдаче разрешений, как только будут разработаны соответствующие технические стандарты. Потенциально это может привести к постепенному отказу от нынешнего засилия контекстной рекламы. Однако для медиакомпаний сохраняются определенные льготы. Новостным сайтам разрешат требовать явного согласия в целях «защиты экономической основы журналистики».

Это предложение напрямую связано с одним из самых спорных вопросов в законодательстве ЕС о конфиденциальности: могут ли компании обучать системы искусственного интеллекта, используя персональные данные? В проекте указывается, что обучение, тестирование и валидация ИИ могут проводиться на основе возникновения «законного интереса» в соответствии с GDPR, при условии принятия компаниями соответствующих мер предосторожности: минимизации объемов данных, обеспечения прозрачности и сохранении безусловного права на возражение. Обучение должно быть полезным для субъекта данных и общества в целом.

По мнению юристов, использование при определении целей «законного интереса» может привести к проведению крупномасштабного интеллектуального анализа данных без согласия отдельных лиц, хотя изначально регламент GDPR разрабатывался как раз, чтобы избежать этого.

Проект предусматривает также ограниченные исключения для конфиденциальных данных, которые случайно появляются в наборах для искусственного интеллекта. Если удаление таких данных потребует «непропорциональных усилий», компании могут сохранить их в рамках защитных мер, предотвращающих их использование или раскрытие.

Еще одним спорным изменением является предложение сузить определение конфиденциальных данных. Более строгие меры защиты будут применяться лишь в тех случаях, когда информация напрямую раскрывает сведения о расовой и религиозной принадлежности, а также о состояния здоровья. Критики предупреждают, что это может позволить делать выводы о защищенных характеристиках, таких как сексуальная ориентация или политические взгляды, по косвенным признакам на основе, казалось бы, нейтральных данных.

По мнению правозащитников, новый законопроект разрабатывается в чрезвычайной спешке, а предлагаемый контроль опирается почти исключительно на мнения представителей интернет-отрасли.