воскресенье, 28 июня 2026 г.

CEN: Завершается публичное обсуждение проекта нового европейского стандарта prEN 18282 «Спецификации кибербезопасности для систем ИИ»

Согласно информации на сайтах Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) и Британского института стандартов (BSI), в конце июня завершается начатое в мае этого года публичное обсуждение проекта нового европейского стандарта prEN 18282 «Искусственный интеллект - Спецификации кибербезопасности для систем ИИ» (Artificial intelligence — Cybersecurity specifications for AI Systems) объёмом 55 страниц, см. https://standards.cencenelec.eu/... 

Над стандартом работает объединённый технический комитет CEN-CENELEC JTC21 «Искусственный интеллект» (Artificial Intelligence).

До 30 июня 2026 года есть возможность индивидуально принять участие в публичном обсуждении данного стандарта на сайте Британского института стандартов (BSI) по адресу https://standardsdevelopment.bsigroup.com/projects/2025-00486 (при условии регистрации на сайте). 


Веб-страница публичного обсуждения на сайте BSI


Во вводной части стандарта отмечается:

«В настоящем документе специфицированы требования и меры кибербезопасности, направленные на устранение уязвимостей, угроз и рисков кибербезопасности, являющихся специфическими для систем искусственного интеллекта.

Цель данного документа заключается в способствовании внедрению требований кибербезопасности для систем ИИ в соответствии со статьей 15(5) европейского Закона об ИИ (Регламент Евросоюза 2024/1689).

В данном документе основное внимание уделяется аспектам кибербезопасности, вытекающим из особенностей систем ИИ, включая модели ИИ, обучающие и выведенные данные, а также их взаимодействие со средой оперативной деятельности.

… Традиционные требования кибербезопасности для ИКТ-инфраструктуры, поддерживающей системы ИИ, остаются в силе, но в данном документе не рассматриваются.

Данный документ необходимо интерпретировать и применять в соответствии со следующими принципами:

  • Принцип 1: Данный документ применим к системам ИИ, которые квалифицируются как системы ИИ высокого риска в соответствии с Законом Евросоюза об ИИ. Он также может применяться к системам ИИ, которые не классифицируются как системы высокого риска в соответствии с Регламентом Евросоюза 2024/1689 (Законом об ИИ).

  • Принцип 2: В данном документе рассматриваются специфические для ИИ риски кибербезопасности. Он дополняет иные технические, организационные и правовые меры, требуемые для систем ИИ, включая традиционные требования кибербезопасности. Данный документ не заменяет не связанные с кибербезопасностью требования, такие как требования к стратегическому управлению данными, контролю и надзору со стороны человека или защите основных прав человека.

  • Принцип 3: Методы, инструменты и практики кибербезопасности для ИИ эволюционируют и не могут быть одинаково зрелыми или доступными для всех типов систем ИИ и всех контекстов их применения. В тех случаях, когда конкретные методы не являются разумно реализуемыми, поставщик может применять альтернативные меры, при условии, что эти меры могут быть обоснованы поставщиком в технической документации.

  • Принцип 4: Невозможно устранить все риски кибербезопасности. Данный документ описывает меры, направленные на достижение надлежащей устойчивости к киберугрозам, и не предоставляет гарантий от всех возможных атак. Его цель - содействовать соразмерному, основанному на доказательствах смягчению связанных с ИИ специфических рисков кибербезопасности, в соответствии с текущим положением дел.

…В настоящем документе рассматриваются соответствующие конкретным обстоятельствам и рискам организационные и технические решения, направленные на обеспечение кибербезопасности систем искусственного интеллекта высокого риска на протяжении всего их жизненного цикла.

Технические решения для устранения специфических уязвимостей ИИ включают, где это уместно, меры по предотвращению, обнаружению, реагированию, устранению и контролю атак, направленных на манипулирование обучающим набором данных (отравление данных) или предварительно обученными компонентами, используемыми в обучении (отравление модели), входными данными, предназначенными для того, чтобы заставить модель совершить ошибку (враждебные примеры или обход модели), атаками на конфиденциальность и/или недостатками модели.

Данный документ содержит объективные критерии, способствующие принятию решений о том, адекватно ли достигает данное техническое или организационное решение конкретной цели, связанной с уязвимостью.»

Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения 
4. Сокращения
5. Концепция кибербезопасности для систем ИИ
6. Установление обстоятельств, имеющих значение для кибербезопасности ИИ
7. Выявление специфических для ИИ уязвимостей кибербезопасности 
8. Выявление соответствующих угроз кибербезопасности
9. Определение соответствующих рисков для кибербезопасности ИИ
10. Выбор и реализация мер
11. Требования к верификации и тестированию
12. Требования к документации, относящейся к кибербезопасности ИИ
Приложение A (справочное): Пояснения к разделам 5–12
Приложение B (справочное): Рекомендуемые организационные меры контроля и управления
Приложение C (справочное): Другие соответствующие стандарты
Приложение D (нормативное): Специфические для ИИ активы
Приложение ZA (справочное): Взаимосвязь между настоящим европейским стандартом и ключевыми требованиями Регламента Евросоюза 2024/1689 (Закона об ИИ – Н.Х.), которые предполагается охватить
Библиография

Источник: сайт CEN / сайт BSI
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:79708,2916257&cs=1D99676DE6B76D73E830D72B47EABA0B3
https://standardsdevelopment.bsigroup.com/projects/2025-00486 


Posted by at Комментариев нет:
Labels: , , , , , , ,

суббота, 27 июня 2026 г.

ИСО и МЭК: Опубликованы новые редакции стандартов серии ISO/IEC 15408:2026 «Критерии оценки безопасности информационных технологий»

На сайте Международной организации по стандартизации (ИСО) сообщил, что в конце мая – начале июня 2026 года были публикованы новые редакции частей стандарта ISO/IEC 15408:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security).

Стандарт разработан и поддерживается подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».

Стандарт бесплатно доступен через магазин сайта ИСО, для использования которого нужно пройти регистрацию на этом сайте.

О работе над новой редакцией я уже рассказывала здесь: http://rusrim.blogspot.com/2024/10/isoiec-dis-15408.html . Новые документы 5-й редакции заменили документы 4-й редакции, опубликованные в 2022 году (о них см. мой пост http://rusrim.blogspot.com/2024/03/isoiec-15408-1.html ).

Стандарт ISO/IEC 15408:2026 состоит из следующих 5 частей:

ISO/IEC 15408-1:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 1: Introduction and general model) объёмом 150 страниц, см. https://www.iso.org/standard/15408-1 и https://www.iso.org/obp/ui/en/#!iso:std:88134:en .

В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», см. https://protect.gost.ru/gost/details/d8d02856-0bd5-43fd-a01e-aa99ea361702 

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает общие понятия и принципы оценки безопасности информационных технологий (ИТ). Он специфицирует общую модель оценки, представленную в данном документе, которая в целом предназначена для использования в качестве основы при оценке характеристик безопасности ИТ-продуктов.

Данный документ содержит обзор всех частей стандарта ISO/IEC 15408. Он описывает части стандарта ISO/IEC 15408, а именно:
  • определяет термины и сокращения, используемые во всех частях стандарта; вводит ключевое понятие объекта оценки (Target of Evaluation, TOE); 

  • описывает контекст оценки; и 

  • описывает аудиторию, которой адресованы критерии оценки. 
Кроме того, данный документ вводит основные понятия и концепции безопасности, необходимые для оценки ИТ-продуктов.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Общая модель
7. Специфицирование требований по безопасности.
8. Компоненты безопасности
9. Пакеты
10. Профили защиты
11. Модульная структура требований
12. Целевые показатели безопасности (Security Target, ST)
13. Оценка и её результаты
14. Формирование уверенности
Приложения
Библиография

ISO/IEC 15408-2:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 2:  Функциональные компоненты безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 2: Security functional components) объёмом 260 страниц, см. https://www.iso.org/standard/15408-2 и https://www.iso.org/obp/ui/en/#!iso:std:88135:en .

В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности», см. https://protect.gost.ru/gost/details/202e8605-326e-4417-a979-abf7a2878a52 

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает требования к требуемой структуре и к контенту функциональных компонентов безопасности для использования в ходе оценки безопасности. Он включает каталог функциональных компонентов, соответствующий общим для многих ИТ-продуктов функциональным требованиям по безопасности.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Парадигма функциональных требований
7. Функциональные компоненты безопасности
8. Класс FAU: Аудит безопасности
9. Класс FCO: Связь
10. Класс FCS: Криптографическая поддержка
11. Класс FDP: Защита данных пользователя
12. Класс FIA: Идентификация и аутентификация
13. Класс FMT: Управление безопасностью
14. Класс FPR: Защита персональных данных
15. Класс FPT: Защита функциональных возможностей обеспечения безопасности объекта оценки
16. Класс FRU: Использование ресурсов
17. Класс FTA: Доступ к объекту оценки
18. Класс FTP: Доверенные маршруты / каналы
Приложения
Библиография

ISO/IEC 15408-3:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 3: Компоненты обеспечения уверенности в безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 3: Security assurance components) объёмом 190 страниц, см. https://www.iso.org/standard/15408-3 и https://www.iso.org/obp/ui/en/#!iso:std:88136:en .

В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», см. https://protect.gost.ru/gost/details/5abff96a-179f-4819-8e30-9f8efdf4311e 

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает требования по обеспечению уверенности для частей стандарта ISO/IEC 15408. Он включает в себя отдельные компоненты обеспечения уверенности, из которых формируются уровни обеспечения уверенности и другие пакеты, описанные в ISO/IEC 15408-5, а также критерии оценки профилей защиты (PP), их конфигураций и модулей, и целевых показателей безопасности (ST).»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Парадигма обеспечения уверенности
6. Компоненты обеспечения уверенности в безопасности
7. Класс APE: Оценка профиля защиты
8. Класс ACE: Оценка конфигурации профиля защиты
9. Класс ASE: Оценка целевого показателя безопасности
10. Класс ADV: Разработка
11. Класс AGD: Руководства
12. Класс ALC: Поддержка жизненного цикла
13. Класс ATE: Тестирование
14. Класс AVA: Оценка уязвимостей
15. Класс ACO: Композиция
Приложения
Библиография

ISO/IEC 15408-4:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 4: Концепция спецификации методов и мероприятий оценки»  (Information security, cybersecurity and privacy protection — Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities) объёмом 24 страницы, см. https://www.iso.org/standard/15408-4 и https://www.iso.org/obp/ui/en/#!iso:std:88138:en .

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает требования и описывает стандартизированную концепцию для специфицирования объективных, повторяемых и воспроизводимых методов оценки и оценочных действий.

В данном документе не устанавливается, как оценивать, внедрять или поддерживать методы и мероприятия по оценке. Эти аспекты являются прерогативой тех, кто разрабатывает методы и мероприятия по оценке для своей конкретной области интересов.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общая модель методов оценки и оценочной деятельности
5. Структура метода оценки
6. Структура оценочной деятельности
Библиография

ISO/IEC 15408-5:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 5: Предопределенные пакеты требований по безопасности» (Information security, cybersecurity and privacy protection — Evaluation criteria for IT security - Part 5: Pre-defined packages of security requirements) объёмом 36 страниц, см. https://www.iso.org/standard/15408-5 и https://www.iso.org/obp/ui/en/#!iso:std:88140:en .

Во вводной части стандарта отмечается:

«В настоящем документе представлены пакеты для обеспечения уверенности в безопасности и функциональные требования безопасности, которые, как предполагается, будут полезны для поддержки типичного применения заинтересованными сторонами.

В число пользователей данного документа могут входить потребители, разработчики и эксперты по оценке безопасных ИТ-продуктов».

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Уровни обеспечении уверенности при оценке (Evaluation assurance levels, EAL)
5. Составные пакеты для обеспечения уверенности (Composed assurance packages, CAP)
6. Составные пакеты продуктов (Composite product packages, COMP)
7. Обеспечение уверенности в профилях защиты (Protection profile assurances, PPA)
8. Уверенность в целевых показателях безопасности (Security target assurances, STA)

Источник: сайт ИСО
https://www.iso.org/standard/15408-1 
https://www.iso.org/obp/ui/en/#!iso:std:88134:en 
https://www.iso.org/standard/15408-2 
https://www.iso.org/obp/ui/en/#!iso:std:88135:en 
https://www.iso.org/standard/15408-3 
https://www.iso.org/obp/ui/en/#!iso:std:88136:en 
https://www.iso.org/standard/15408-4 
https://www.iso.org/obp/ui/en/#!iso:std:88138:en 
https://www.iso.org/standard/15408-5 
https://www.iso.org/obp/ui/en/#!iso:std:88140:en 

Posted by at Комментариев нет:
Labels: , , , , , ,

ИСО и МЭК: Опубликован новый технический отчёт ISO/IEC TR 5259-6:2026 «ИИ - Качество данных для аналитики и машинного обучения - Часть 6: Концепция использования визуализации для управления качеством данных»

В мае 2026 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового технического отчёта ISO/IEC TR 5259-6:2026 «Искусственный интеллект - Качество данных для аналитики и машинного обучения - Часть 6: Концепция использования визуализации для управления качеством данных» (Artificial intelligence - Data quality for analytics and machine learning (ML) - Part 6: Visualization framework for data quality) объёмом 26 страниц, см. https://www.iso.org/standard/86532.html и https://www.iso.org/obp/ui/en/#!iso:std:86532:en .

Документ подготовлен подкомитетом SC 42 «Искусственный интеллект» (Artificial intelligence) Объединённого технического комитета ИСО/МЭК JTC1 «Информационные технологии». О его подготовке я уже рассказывала здесь: http://rusrim.blogspot.com/2026/01/isoiec-dtr-5259-6-6.html 

Во вводной части документа отмечается:

«Визуализация может использоваться для улучшения управления качеством данных, отображая полученные с помощью измерительной функции показатели (метрики) качества данных в наглядной и содержательной форме для их оценки заинтересованными сторонами. 

Визуализация может применяться в любом процессе управления качеством данных в рамках жизненного цикла управления качеством данных, как один из элементов разработки и создания системы искусственного интеллекта (ИИ).

Визуализация, например, полезна в качестве части отчётности по качеству данных для документирования процесса управления качеством данных. Она также может стимулировать когнитивные реакции заинтересованных сторон в ходе разведочного анализа данных, что может привести к получению дополнительных идей и представлений (таких как выявление пропущенных данных, выбросов, аномалий, отклонений, ошибок; сравнение и выявление потенциальных взаимосвязей между наблюдениями). С другой стороны, визуализация также имеет свои недостатки, связанные с когнитивными искажениями, такими как парейдолия (способность видеть узнаваемые образы или осмысленные структуры там, где их нет либо где наличие не предполагалось – Н.Х.) и апофения (ощущение или вера в существование связи между невзаимосвязанными событиями – Н.Х.).

Визуализация также может помочь при объяснении заинтересованным сторонам того, как построенное на основе данных приложение делает свои прогнозы, обеспечивая тем самым определённую прозрачность в вопросе выбора алгоритмов машинного обучения и входных данных для них. Это может способствовать повышению доверия к системе ИИ заинтересованных сторон, использующих эту систему и имеющих различные ожидания.

… В настоящем документе описывается концепция визуализации качества данных в аналитике и машинном обучении. Его цель заключается в том, чтобы дать возможность использующим методы визуализации заинтересованным сторонам оценивать результаты измерений качества данных. Данная концепция визуализации поддерживает достижение целей в плане обеспечения качества данных.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Управление качеством данных
6. Концепция использования визуализации для обеспечения качества данных
7. Визуализация данных
Приложение A: Точки зрения заинтересованных в ИИ сторон 
Приложение B: Свойства набора данных
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/86532.html 
https://www.iso.org/obp/ui/en/#!iso:std:86532:en 


Posted by at Комментариев нет:
Labels: , , , , , ,

пятница, 26 июня 2026 г.

Умерла ли деидентификация данных? - Почему связанный с ИИ риск для защиты ПДн заключается не в том, чему ИИ обучается, а в том, что способен выяснить

Данная заметка канадского профессора права Майкла Гейста (Michael Geist – на фото) была опубликована на его блоге 21 апреля 2026 года.

В 1997 году аспирантка Массачусетского технологического института (MIT) Латанья Суини (Latanya Sweeney) потрясла сообщество специалистов по защите персональных данных (ПДн), сопоставив общедоступные списки избирателей с очищенными от имён и адресов больничными документами, с целью идентифицировать анонимизированную историю болезни тогдашнего губернатора Массачусетса ( https://dataprivacylab.org/projects/identifiability/ ). Три года спустя, развивая полученные результаты, она продемонстрировав, что 87% населения США можно однозначно идентифицировать, используя всего три параметра: почтовый индекс, дату рождения и пол ( https://dataprivacylab.org/projects/identifiability/paper1.pdf ).

В моей статье в издании Globe and Mail ( https://www.theglobeandmail.com/opinion/article-the-privacy-threat-that-ai-poses-isnt-what-it-learns-its-what-it/#comments ) я отмечал, что работа г-жи Суини повлияла на мировые концепции защиты персональных данных, которые отреагировали посредством разработки стандартов деидентификации, призванными смягчить риски путем удаления очевидных идентификаторов, применения статистических тестов и категоризации полученных данных как «безопасных для использования». Действительно, основной принцип современного нормативно-правового регулирования обеспечения неприкосновенности частной жизни и защиты ПДн основан на предпосылке, что деидентифицированные данные могут использоваться, раскрываться и коммерциализироваться без ущерба для неприкосновенности частной жизни отдельных лиц.


«Алгоритм Вас поймает», автор: Дункан С., https://flic.kr/p/2kzyYQ7  (CC BY-NC 2.0)

Искусственный интеллект разрушил это предположение. Системы ИИ, оснащенные возможностями поиска в реальном времени и мощными вычислительными возможностями для логического вывода, теперь могут за минуты сделать то, на что раньше у опытных исследователей уходили дни. Исследование, проведенное в феврале в Федеральном институте технологий в Цюрихе (Швейцария - ETH Zurich) продемонстрировало, что агенты ИИ способны сопоставлять анонимизированные онлайн-аккаунты с реальными физическими личностями с точностью до 90%, воспроизводя за минуты то, на что опытному следователю-человеку потребовались бы многие часы ( https://arxiv.org/pdf/2602.16800 ).  То, что г-жа Суини выявила как уязвимость, всё чаще становится реальностью оперативной деятельности для любого, у кого есть подключение к интернету и ИИ-чатбот.

Это крайне важно для Канады. Министр по вопросам ИИ Эван Соломон (Evan Solomon) пообещал обновить национальную стратегию в области ИИ, которая включает в себя модернизированные правила защиты персональных данных ( https://globalnews.ca/news/11649168/ai-strategy-privacy-commissioner-canadians-solomon/ ). Хотя соблазнительно попытаться решить проблему за счёт использованию усиленных мер защиты защиты, которые обсуждаются уже много лет, нужно понимать, ИИ меняет дискуссию о защите ПДн таким образом, что дальнейшее продвижение вперёд становится куда сложнее, чем простое возобновление прежних усилий по проведению реформ. Для правильного решения этой задачи необходимо учитывать обе стороны «уравнения ИИ»: что поступает на вход и что получается на выходе.

Что касается входных данных, то наблюдается заметный глобальный сдвиг в сторону более либерального, более разрешительного отношения к используемым для обучения ИИ персональным данным:

Направление перемен очевидно: ведущие мировые юрисдикции смягчают своё нормативно-правовое регулирование обработки ПДн, чтобы способствовать развитию ИИ. Канада также столкнётся с давлением, вынуждающим последовать их примеру.

Проблеме защиты ПДн, связанной с выходными данными ИИ, уделялось гораздо меньше внимания, - однако она в конечном итоге может оказаться более значимой. В данном случае обеспокоенность связана не с тем, какие персональные данные поступают в системы ИИ, а с тем, какие персональные данные появляются на выходе. Современные системы ИИ могут получать доступ к общедоступным данным из множества источников, комбинировать по отдельности безвредные фрагменты и делать выводы, позволяющие повторно идентифицировать физических лиц на основе информации, которая никогда не предназначалась быть «персональными данными».

Рассмотрим, что это означает для концепции деидентификации (обезличивания) данных, лежащей в основе реформы канадского законодательства о защите ПДн. В более ранних проектах предлагалось запретить организациям повторно идентифицировать обезличенные данные ( https://lop.parl.ca/sites/PublicWebsite/default/en_CA/ResearchPublications/LegislativeSummaries/441C27E ). Однако этот запрет касался преднамеренных действий по повторной идентификации. Он не предвидел мир, в котором система ИИ восстанавливает связь с физическим лицом на основе разбросанных по открытому интернету фрагментов в рамках выполнения обычного запроса. Правовая проверка возможности использования данных для идентификации личности предполагала относительно стабильную технологическую среду. ИИ делает тривиально простым то, что когда-то было немыслимым, - повторная идентификация оказывается всего лишь структурным побочным продуктом работы ИИ.

Выработка канадского ответа может потребовать различного подхода к обеим сторонам «уравнения ИИ». Более либеральный подход к входным данным для обучения, основанный на общеприменимых ограничениях и значимой прозрачности, мог бы помочь Канаде оставаться конкурентоспособной, не отказываясь при этом от своих основных обязательств. Однако такая гибкость в отношении входных данных должна сочетаться с действительно инновационными подходами к предотвращению и устранению вреда, причиняемого результатами работы ИИ. Это означает переход от запретов на преднамеренную повторную идентификацию к инструментам нормативно-правового регулирования, которые учитывают структурную способность систем ИИ восстанавливать ПДн из неперсональных данных. Меры подотчетности, аудит результатов логического вывода и ограничения на агрегирование и раскрытие выведенных личных профилей должны стать частью нормативно-правового ландшафта.

Сообщество специалистов по защите ПДн и принимающие политические решения лица медленно осознают этот сдвиг, фокусируя внимание в основном на том, как ПДн попадают в системы ИИ. Но если хотеть, чтобы стратегия Канады в области ИИ и реформа в сфере защиты ПДн соответствовали требованиям времени, то нужно, чтобы они признали более суровые истины: что деидентификация, в том виде, в котором мы её понимали десятилетиями, может уже больше не работать, и что наши дискуссии о защите ПДн должны радикально измениться.

Майкл Гейст (Michael Geist)

Источник: блог Майкла Гейста
https://www.michaelgeist.ca/2026/04/is-data-de-identification-dead-why-the-ai-privacy-risk-isnt-what-it-learns-but-what-it-figures-out/ 

Posted by at Комментариев нет:
Labels: , , , ,
Подписаться на: Сообщения (Atom)