Отчет, который почти «попал в цель» :)
Я потратил определённое время на ознакомление с новым отчётом Счётной палаты США (Government Accountability Office, GAO) об искусственном интеллекте и защите неприкосновенности частной жизни (персональных данных), см. https://www.gao.gov/products/gao-26-108418 (такую ссылку дал автор, вероятная корректная ссылка: https://www.gao.gov/products/gao-26-107681 – Н.Х.). Как и все отчёты Счётной палаты, это солидный документ - тщательный, структурированный и методичный, делающий именно то, что от него ожидается: он описывает проблемную область и показывает, где именно политики и рекомендации не поспевают за изменениями в технологиях.
Мой комментарий: Автор дал ссылку – похоже, ошибочно - на отчёт GAO-26-108418 от 24 марта 2026 года «Дополнительные материалы к отчёту GAO-26-107522: Перечень вариантов использования искусственного интеллекта в Налоговой службе США по состоянию на июнь 2025 года» (Supplemental Material for GAO-26-107522: IRS Artificial Intelligence Use Case Inventory as of June 2025), см. https://www.gao.gov/products/gao-26-108418 (прямая ссылка на Excel-файл: https://www.gao.gov/assets/890/884779.xlsx ).
В аннотации отмечается: «Федеральная налоговая служба США (IRS) уже в течение многих лет использует ИИ для поддержки своей работы, включая выбор объектов для аудита и ответы на вопросы налогоплательщиков. Настоящее дополнение к отчёту GAO-26-107522 от 24 марта 2026 года «Искусственный интеллект: Налоговой службе США необходимо предпринять усилия для решения проблем с нехваткой компетенций, с качеством информации и со стратегическим управлением» (Artificial Intelligence: IRS Actions Needed to Address Skills Gaps, Information Quality, and Strategic Management), см. https://www.gao.gov/products/gao-26-107522 (прямая ссылка https://www.gao.gov/assets/gao-26-107522.pdf ), содержит дополнительную информацию о том, как налоговая служба использовала ИИ по состоянию на июнь 2025 года. В отчёте GAO-26-108418 содержится подробная информация о 57 вариантах использования ИИ из внутреннего перечня налоговой службы, которые могут быть обнародованы.»
Что касается отчёта GAO-26-107522, то о нём сказано следующее:
«Федеральная налоговая служба США (IRS) использует ИИ для поддержки своей работы, включая выбор объектов для аудита и ответы на вопросы налогоплательщиков. В будущем планируется более широкое использование ИИ - но, возможно, налоговая служба к этому еще не готова.
Счётная палата выявила, что сокращение штата привело к нехватке сотрудников, имеющих достаточную квалификацию для поддержки или разработки новых инструментов ИИ. У налоговой службы нет плана по кадровым ресурсам, который бы выявлял компетенции, необходимые для работающих с ИИ сотрудников, и решал связанные с ними проблемы.
Кроме того, перечень вариантов использования ИИ в деятельности налоговой службы оказался неполным. Так, например, он не включал все способы использования ИИ и не определял, какую пользу соответствующие инструменты принесут ведомству.»
Однако, читая данный отчёт, я постоянно возвращался к одному и тому же выводу: это не совсем история о защите персональных данных. Это история о документах, хотя в отчете она так не называется.
Счётная палата собирала группу экспертов, которая выявила 10 категорий риска для персональных данных (ПДн) и описала 13 проблем внедрения, с которыми сталкиваются федеральные органы исполнительной власти при использовании ИИ. Затем в отчете даётся оценка того, насколько адекватно адресованные всем федеральным органам исполнительной власти руководства Административно-бюджетного управления решают эти проблемы, и ответ таков: они не очень-то адекватны - по крайней мере, не в полной мере, и не вполне последовательны.
О чём именно говорит отчёт
Все это точно и совсем не удивительно, но если отвлечься от формулировок политики и рассмотреть то, что она описывает на самом деле, то вырисовывается иная картина.
В отчете зафиксирован тот факт, что организации не знают, как именно они используют данные; не могут надежно отслеживать перемещение данных между системами; не в состоянии реконструировать свои процессы принятия решений; и не могут обеспечить последовательное документирование обоснований этих решений.
Каждое из этих утверждений указывает на конкретный пробел в работе с доказательной базой. Вместе они описывают среду, в которой действия происходят без полного их документирования, которое должно обеспечивают подотчётность.
Эта комбинация недостатков касается не только защиты персональных данных Она отражает более глубокий недостаток - неспособность создавать, захватывать и управлять документами, которые выполняют во времени роль свидетельств /доказательств.
У систем ИИ нет нехватки интеллекта - им недостаёт памяти
Системы ИИ не лишены памяти в вычислительном смысле, поскольку они полагаются на огромные массивы данных и значительную вычислительную мощность. Они оптимизируются для выдачи результатов и для распознавания образов в больших масштабах. Им, однако, не хватает памяти в архивном смысле: способности создавать и сохранять структурированные свидетельства того, что именно произошло, почему это произошло и как это может быть понято впоследствии.
Системы ИИ не обеспечивают надежной генерации документов о происхождении данных, их преобразовании, агрегировании и путях принятия решений. Они не осуществляют систематический захват сведений о том, как эволюционируют цели, согласия и виды использования. Вместо этого они генерируют выходные данные.
Сами по себе выходные данные не являются доказательствами, поскольку они не включают цепочку рассуждений, необходимую для их интерпретации, оспаривания или ответственного повторного использования.
Вторичное использование ПДн как сбой в управлении документами
В отчете вторичное использование данных рассматривается как серьёзный риск для защиты персональных данных и как проблема политики, которую необходимо решать посредством руководящих указаний и применения мер контроля и управления. В нём описывается, как организации повторно используют для других целей данные, собранные для определённой цели, часто в отсутствие четкой авторизации или осведомленности об этом.
Однако с точки зрения управления документами, такое вторичное использование есть не что иное, как неспособность захватить и сохранить контекст использования в качестве части документа.
В управлении документами цель, контекст и использование всегда рассматривались как основные элементы контроля и управления. Эти элементы позволяют организациям определять, является ли повторное использование уместным, авторизованным и соответствующим первоначальным намерениям.
В отличие от этого, системы ИИ рассматривают повторное использование как установку по умолчанию, а не как исключение. Они перемещают, агрегируют и рекомбинируют данные в больших масштабах. И когда они не документируют такое перемещение структурированным образом, то стратегическое управление становится невозможным, поскольку контекст, необходимый для интерпретации использования, уже утрачен.
(Окончание следует)
Эндрю Поттер (Andrew Potter)
Источник: сайт Substack
https://metaarchivist.substack.com/p/gao-diagnoses-ai-privacy-risk-it
