Австралия: Технический стандарт для использования искусственного интеллекта в государственных органах Австралии, часть 2-1

Как я уже рассказывала (см. https://rusrim.blogspot.com/2025/08/blog-post_31.html ), в июле 2025 года на сайте Агентства цифровой трансформации Австралии (Digital Transformation Agency, DTA см. https://www.dta.gov.au/ ) в виде веб-документа был опубликован «Технический стандарт по использованию искусственного интеллекта в государственных органах» (Technical standard for government’s use of artificial intelligence, см. https://www.digital.gov.au/policy/ai/AI-technical-standard ). 

В конце августа в документ были внесены некоторые изменения, и он был опубликован в виде 102-страничного PDF-файла под названием «Технический стандарт для ИИ правительства Австралии, версия 1» (Australian Government AI technical standard - Version 1), см. https://www.digital.gov.au/sites/default/files/documents/2025-08/Australian%20Government%20AI%20technical%20standard.pdf

В аннотации на документ отмечается:

«С целью поддержки безопасного и ответственного использования искусственного интеллекта, Агентство цифровой трансформации (Digital Transformation Agency, DTA, https://www.dta.gov.au/ ) разработало «Технический стандарт для ИИ правительства Австралии». Данный стандарт служит практическим руководством для технических специалистов и владельцев видов деловой деятельности, внедряющих ИИ в государственные системы, позволяя федеральным органам исполнительной власти Австралии уверенно экспериментировать и разрабатывать сценарии использования ИИ.

Стандарт описывает передовые методы сквозного процесса проектирования, разработки, развертывания и использования систем ИИ. Он подтверждает приверженность правительства Австралии принципам этичного использования ИИ.

Закладывая базовую техническую основу, стандарт укрепляет более широкую экосистему политик, концепций, руководств и рекомендаций. Он является ключевым инструментом, способствующим наращиванию соответствующих возможностей органов федерального правительства, - обеспечивая органам исполнительной власти возможность внедрять инновации на основе ИИ, поддерживая при этом доверие общественности и предоставление австралийцам более качественных государственных услуг.»

Использование стандарта

Стандарт использует эталонную модель жизненного цикла ИИ для обеспечения всестороннего охвата системы ИИ от момента её создания до вывода из эксплуатации.

В последующих [за описанием эталонной модели – Н.Х.] разделах представлен обзор требований к федеральным органам исполнительной власти, развёртывающим и эксплуатирующим решения на основе ИИ, представленный в виде набора формулировок требований и упорядоченный по этапам модели жизненного цикла.

Для каждого требования в полный текст технического стандарта по использованию искусственного интеллекта в государственном секторе включены критерии, а также рекомендации о том, каким образом государственные органы обеспечить соответствие этим требованиям.

Всего стандарт содержит 42 требования и 148 критериев.

Таким образом, описанные в данном стандарте методы и практики представлены в виде стандартных формулировок требований (statements), критериев и поясняющих примечаний:

• Требования: Стандартные формулировки требований описывают, «что» именно необходимо сделать.
  
  
• Критерии: Каждое требование сопровождается как минимум одним критерием, позволяющим судить о том, удовлетворено ли требование. Каждый критерий является «обязательным» или же «рекомендуемым».
  
  
• Обязательные критерии: Чтобы соответствовать стандарту в целом, государственные органы обязаны соответствовать критериям, которые отмечены как «обязательные». Обязательные критерии установлены на основе законодательства Австралии, нормативных актов, политик, а также этических принципов.
  
  
• Рекомендуемые критерии: Весьма желательно, чтобы государственные органы соответствовали критериям, отмеченным как «рекомендуемые».
  
  
• Поясняющие примечания: Для каждого критерия даны поясняющие примечания (пояснения). Эти пояснения приводятся больше в качестве рекомендаций, а не в качестве исчерпывающего контрольного списка. Если не указано иное, пояснения не являются обязательными, а предназначены для облегчения понимания, описания возможных способов удовлетворения критерия, а также примеров, сценариев и концепций в качестве рекомендаций по внедрению.

Жизненный цикл системы ИИ в целом

Данные требования охватывают проблемы и соображения, относящиеся к всем или нескольким этапам жизненного цикла ИИ.

• Требование 1: Нужно разработать модель оперативного использования
  
  
• Требование 2: Нужно разработать эталонную архитектуру
  
  
• Требование 3: Нужно выявить потребности и развить возможности персонала
  
  
• Требование 4: Нужно обеспечить возможность аудита ИИ
  
  
• Требование 5: Нужно обеспечить объяснимость с учётом конкретных вариантов использования
  
  
• Требование 6: Нужно наладить менеджмент предвзятости системы ИИ
  
  
• Требование 7: Следует использовать практики контроля версий
  
  
• Требование 8: Следует применять методы использования «водяных знаков»

Далее следуют требования к отдельным этапам жизненного цикла системы ИИ

(Окончание следует)

Источник: сайт Агентства цифровой трансформации Австралии
https://architecture.digital.gov.au/standard/government-use-ai 
https://www.digital.gov.au/policy/ai/AI-technical-standard 

Арбитражная практика: Штраф за непредоставление оператором субъекту персональных данных информации об обработке его персональных данных

Арбитражный суд Псковской области в сентябре 2025 года рассмотрел дело №А52-3592/2025, в котором в центре внимания был  вопрос о привлечении «Псковского клинического перинатального центра» к административной ответственности по ч. 4 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ, это статья о непредоставлении оператором субъекту персональных данных информации об обработке его персональных данных).

Перинатальный центр не предоставил бывшей работнице запрошенную ею информацию об обработке ее персональных данных (ПДн) в установленный законом срок.

Для справки: Кодекс Российской Федерации об административных правонарушениях

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -

- влечет наложение административного штрафа 

• на граждан в размере от 2 до 4 тысяч рублей; 
• на должностных лиц - от 9 до 12 тысяч рублей; 
• на индивидуальных предпринимателей - от 20 до 30 тысяч рублей; 
• на юридических лиц - от 40 до 80 тысяч рублей.

Суть спора

В адрес центра от гражданки в мае 2025 года поступило письменное требование об уничтожении всех её персональных данных. Через несколько дней от неё же поступил запрос, который содержал ряд вопросов, а именно: 

• Обработка какой именно категории ПДн требуется; 
  
  
• В каких документах содержится подтверждение факта обработки ПДн оператором;
  
  
• Правовые основания и цели обработки ПДн, подтвержденные документально; 
  
  
• Цели и применяемые оператором способы обработки ПДн; 
  
  
• Сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона; 
  
  
• Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 
  
  
• Сроки обработки ПДн, в том числе сроки их хранения; 
  
  
• Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.

Поскольку, по мнению центра, обращения гражданки касались одного и того же предмета, ответ по ним был совмещен, и срок ответа на обращение не был нарушен (ответ был направлен 6 июня 2025 года).

В Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по Северо-Западному федеральному округу в июне 2026 года поступило обращение гражданки по вопросу о привлечении «Псковского клинического перинатального центра» к административной ответственности, установленной частью 4 статьи 13.11 КоАП РФ. Гражданка в обращении указала, что на её запрос от ответчика ответа не поступило, кроме того, оснований для отказа в предоставлении запрошенных сведений не имелось. 

В июне 2025 года Управление Роскомнадзора направило в адрес перинатального центра запрос о предоставлении письменных пояснений по факту возможных нарушений федерального закона №152-ФЗ. Из ответа центра следует, что по результатам обращения гражданки был дан письменный ответ, который, согласно реестру почтовых отправлений, был выслан в адрес гражданки обычным письмом - однако доказательств, подтверждающих направление данного письма в адрес гражданки, представлено не было.

Управлением был составлен протокол в отношении центра, и оно обратилось в суд с иском к «Псковскому клиническому перинатальному центру» о привлечении того к административной ответственности по части 4 статьи 13.11 КоАП РФ на том основании, что информация, касающаяся обработки персональных данных гражданки, ей в установленный законом срок и в полном объеме не была представлена ответчиком. Ответ, полученный гражданкой по электронной почте в июле 2025 года, был неполным; а совмещение ответа на два запроса также являлось неправомерным.

Позиция Арбитражного суда Псковской области

Суд отметил, что обращение гражданки поступило в перинатальный центр 12 мая 2025 года. Данный запрос был также направлен ответчику по электронной почте, и в ответ на запрос было получено уведомление о регистрации обращения. Таким образом, ответ на запрос следовало предоставить в срок по 26 мая 2025 года включительно.

Перинатальный центр сообщил, что по результатам обращения был дан письменный ответ, который, согласно реестру почтовых отправлений, был выслан обычным письмом. Однако, поскольку отвечающее за рассылку корреспонденции должностное лицо уволилось, установить причины, в силу которых заказное отправление с уведомлением не было направлено, не представляется возможным. Суд сделал вывод о том, что доказательств, подтверждающих направление данного письма в адрес гражданки перинатальным центром не представлено.

В адрес центра также поступило письменное требование об уничтожении всех персональных данных гражданки. Поскольку обращения, по мнению ответчика, касались одного и того же предмета, ответ по ним был совмещен, и срок ответа на обращение не был нарушен (ответ направлен 6 июня 2025). Указанный довод ответчика был отклонен судом в связи с необоснованностью.

Требование об уничтожении ПДн рассматривается в порядке, установленном частью 4 статьи 21 федерального закона №152-ФЗ - в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта ПДн на основаниях, предусмотренных настоящим федеральным законом или другими федеральными законами.

Как следует из содержания требования об уничтожении всех персональных данных и другого запроса, данные обращения имеют разное содержание, затрагивают разные обязанности оператора, и имеют различный порядок и срок рассмотрения. Следовательно, совмещение ответа является неправомерным.

В ответе отсутствуют сведения, запрашиваемые гражданкой в обращении. Трудовой договор с гражданкой был расторгнут 25 февраля 2025. 26 февраля 2025 комиссией центра был составлен акт о прекращении обработки ее персональных данных, в связи с чем, по мнению ответчика, дальнейшие обращения гражданки рассматривались в порядке, определенном федеральным законом от 02.06.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Данный довод ответчика о том, что после расторжения трудового договора обращения гражданина не рассматриваются в порядке, предусмотренном законодательством о ПДн, был отклонен судом как необоснованный.

Суд отметил, что обработка персональных данных не ограничивается пределами действия трудового договора. По смыслу федерального закона №152-ФЗ, хранение ПДн также является их обработкой. Следовательно, центр был обязан предоставить ответ на запрос в срок, установленный федеральным законом №152-ФЗ.

Доказательств, свидетельствующих о принятии центром необходимых и достаточных мер по соблюдению законодательства, по недопущению правонарушения и невозможности его предотвращения, в материалы дела не представлено, что свидетельствует о наличии вины во вмененном ему правонарушении. Указанные выше обстоятельства свидетельствуют о наличии в действиях центра объективной стороны состава правонарушения, ответственность за которое установлена частью 4 статьи 13.11 КоАП РФ.

Арбитражный суд привлек перинатальный центр» к административной ответственности, предусмотренной частью 4 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях и назначить наказание в виде административного штрафа в размере 40 тысяч рублей.

Апелляционная жалоба в Четырнадцатый арбитражный апелляционный суд не подавалась.

Мой комментарий: Ответчик пытался оспорить обвинение, выдвинув несколько доводов, ни один из них не был принят судом: 

Довод 1: Ответ был отправлен обычным письмом, при этом доказательств его отправки и вручения работодатель не представил.

Позиция суда: Бремя доказывания факта направления ответа лежит на операторе. Отсутствие доказательств (почтовой квитанции, уведомления о вручении) приравнивается к непредоставлению ответа. Факт отправки ответа должен быть подтвержден неоспоримыми доказательствами (например, заказное письмо с уведомлением о вручении, электронная почта с подтверждением доставки). Устные заявления или внутренние реестры без внешнего подтверждения судом могут быть не приняты.

Довод 2: Ответ на запрос от 08.05.2025 был совмещен с ответом на более раннее требование об уничтожении персональных данных.

Позиция суда: Запрос информации и требование об уничтожении данных - это разные виды обращений, регулируемые разными нормами закона (ст. 14 и ст. 21 закона ФЗ-152) и имеющие разные сроки рассмотрения. Совмещение ответов привело к нарушению срока по первому запросу. 

Довод 3: После увольнения сотрудницы и составления акта о прекращении обработки ее персональных данных, её обращения должны рассматриваться по общему закону №59-ФЗ «О порядке рассмотрения обращений граждан», а не по закону о персональных данных.

Позиция суда: Хранение персональных данных является их обработкой. Таким образом, даже после увольнения сотрудника и прекращения активной работы с его данными, оператор продолжает их обрабатывать (хранить). Следовательно, на него продолжают распространяться все обязанности оператора, включая обязанность предоставлять информацию по запросу субъекта данных в порядке и сроки, установленные ФЗ-152.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

Управление рисками для архивов, часть 4-2

(Продолжение, начало см. https://rusrim.blogspot.com/2026/02/4-1_01610966830.html )

3.5. Уничтожение

Определение: Момент уничтожения документов либо отбора на архивное хранение или уничтожение.

Риски:

• Необратимое решение,
  
  
• Отсутствие чётких политик в отношении сроков хранения и уничтожения (когда возможны преждевременное уничтожение или необоснованное длительное хранение),
  
  
• Отсутствие прослеживаемости.

3.6. Обеспечение долговременной сохранности

Определение: Обеспечение долговременной доступности и сохранности документа

Риски:

• Зависимость от технологий (моральное устаревание),
  
  
• Потеря качества при миграции/конверсии,
  
  
• Отсутствие стратегий миграции/эмуляции.

3.7. Контроль версий и прослеживаемость

• Каждое действие с документом должно протоколироваться,
  
  
• Ведение журналов аудита является обязательным. В статье показано, что должна быть обеспечена возможность аудита всех решений, регламентируемых четкими правилами (независимо от того, реализуются ли они автоматически или с участием человека), с тем, чтобы предотвратить неоправданную утрату документов, имеющих доказательную или архивную ценность.
  
  
• Системы должны предоставлять пользователям только копии, обеспечивать проведение проверки их аутентичности и предотвращать повторный ввод измененных копий в систему взамен оригиналов.
  
  
• Должны использоваться надёжные системы управления документами, которые обеспечивают соблюдение строгих правил в отношении модификации, управления версиями, доступа и аудита, - так что любое изменение приводит к созданию нового документа, а не к изменению существующего.

4. Предлагаемые решения

• Автоматический захват документов в момент их создания
  
  
• Системы должны захватывать документы в режиме реального времени, а не ретроспективно.
  
  
• Захват должен быть интегрирован в деловые процессы.
  
  
• Установление функциональных требований к качеству документов
  
  Берман настаивает на установлении:
  
  
• требований к аутентичности,
  
  
• требований к целостности,
  
  
• требований к достоверности

Эти требования должны быть реализованы в информационных системах, то есть до начала этапа создания документов.

• Использование моделей деловых процессов
  
  
• Электронные документы могут быть защищены только в том случае, если процессы, которые их создают, стабильны и контролируемы.
  
  
• Берман продвигает эталонную модель «Допустимого для деловой деятельности информационного обмена» (Reference Model for Business Acceptable Communications - это правила и стандарты, устанавливающие: какие каналы связи могут использоваться, для каких целей, кем, с каким уровнем безопасности и контроля, с тем, чтобы деловая деятельность могла осуществляться без ненужных рисков).
  
  
• Реализация концептуальных рамок для политик
  
  
• Четкие политики в отношении захвата, метаданных, доступа, миграции, обеспечения долговременной сохранности;
  
  
• В статье подчеркивается важность проведения экспертизы ценности и принятия решений об уничтожении документов уже на ранних этапах, в идеале - на этапе проектирования систем, поскольку реализация таких решений на более поздних этапах часто оказывается рискованной и неэффективной.
  
  
• Создание доверенных электронных хранилищ для целей архивирования
  
  
• Хранилища должны быть сертифицированы и соответствовать стандартам,
  
  
• Хранилища должны обеспечивать долговременное хранение и верификацию целостности.

Я подготовил следующую диаграмму, основанную на исходной диаграмме Бермана, которая была уточнена, развита и дополнена данными из его статьи:

Мой комментарий: Вертикальные столбцы диаграммы соответствуют четырём средам (создания, активного управления документами, архивной и обеспечения долговременной сохранности) – они также отражают границы между системами. Светло- и темно-зелёные блоки отражают этапы и состояния. Более жирные красные стрелки – это переходы, связанные с высоким риском. Менее рискованные переходы – обычно в рамках одной системы – показаны тонкими чёрными стрелками.

(Продолжение следует)

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)

Мой комментарий: Теоретические построения Дэвида Бермана выглядят красиво и правдоподобно, однако, с моей точки зрения, они охватывают лишь часть возможных ситуаций и проблем – и, если воспринимать их как полноценную теорию, а не дополнение к ней, способны принести вред.

По сути дела, эти построения исходят из опыта работы с бумажной организационно-распорядительной документацией и опираются на традиционную идеологию жизненного цикла документа. Они молчаливо предполагают, что:

• Если документ просто лежит без внимания в одном месте длительное время (т.е. нет никаких «переходов»), то с ним ничего не случится. Это по большей части верно для бумажных документов, но совершенно не соответствует практике работы с электронными документами. Самый простой способ уничтожить электронные документы – это просто забыть о них на достаточно длительное время. Например, при уходе сотрудника достаточно «забыть» передать содержание его учётной записи электронной почты, его разделов в корпоративных информационных системах… К тому же технологии продолжают быстро устаревать – устаревают файловые форматы, программные решения, выводятся из эксплуатации информационные системы. Случаются инциденты безопасности, также приводящие к порче и утрате документов.
  
  
• Документ последовательно проходит три стадии – активного использования в деловой деятельности, полуактивного ведомственного хранения и постоянного архивного хранения, и, соответственно, по завершении первой стадии всё, что нужно - это–сохранить документ в неизменном виде. Такая идеология не подходит многим массовым видам документов, например, научно-технической документации, которая часто активно используется и продолжает модифицироваться до тех пор, пока продолжает существовать и эксплуатироваться объект или изделие.
  
  
• Документ в каждый момент времени находится под полным физическим и интеллектуальным контролем одного-единственного ответственного хранителя. В современных условиях коллективной работы, распределенных систем и аутсорсинга это часто не так.

(Продолжение следует)

Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/25/managementul-riscurilor-pentru-arhive-4/ 

Профильный технический комитет TC 307 по технологиям блокчейна и распределённых реестров Международной организации по стандартизации опубликовал ряд аналитических отчётов

Данная новость была опубликована 7 февраля 2026 года в учётной записи технического комитета TC 307 «Технологии блокчейна и распределённых реестров» Международной организации по стандартизации (ИСО) в социальной сети LinkedIn.

Объявление о публикации аналитических отчётов («белых книг»)

Мы рады представить новую подборку аналитических отчётов по технологиям блокчейна и распределённых реестров, подготовленных техническим комитетом ISO/TC 307. Эти аналитические отчёты содержат всестороннюю методологию описания и визуализации вариантов использования технологий блокчейна и распределённых реестров.

Данные свободно доступные ресурсы призваны помочь новаторам в сферах деловой деятельности и технологий создавать блокчейн-системы следующего поколения с большей ясностью и точностью.

Аналитические доступны на странице по адресу: https://www.iso.org/committee/6266604.html?view=documents 

Мой комментарий: 4 февраля в разделе технического комитета TC 307 на сайте ИСО были выложены следующие документы:

• Аналитический отчёт «Методологии описания вариантов использования блокчейна - Полная коллекция» (White paper - Blockchain use case description methodologies - complete collection), объёмом 16 страниц;
  
  
• Аналитический отчёт «Методологии описания вариантов использования блокчейна - Часть 1: Повествовательное описание» (Blockchain use case description methodologies. Part 1: Narrative description), объёмом 10 страниц;
  
  
• Аналитический отчёт «Методологии описания вариантов использования блокчейна - Часть 2: Инструментальный набор для визуализации» (Blockchain use case description methodologies. Part 2: Visualization toolkit), объёмом 11 страниц.

Источник: сайт LinkedIn
https://www.linkedin.com/posts/iso-tc-307-blockchain-distributed-ledger-technologies_linkedin-activity-7425535397708955648-tI4T/ 
https://www.linkedin.com/company/iso-tc-307-blockchain-distributed-ledger-technologies/posts/