ИИ и GDPR: Можно ли тренировать LLM на данных клиентов?

Содержание
Можно ли использовать данные клиентов для обучения ИИ?
Короткий ответ: да, но с оговорками. GDPR не запрещает обработку персональных данных для машинного обучения, но требует законного основания. Чаще всего это согласие или законный интерес. Однако просто сослаться на «интерес» не получится — нужно доказать, что он перевешивает права субъектов данных.
Законный интерес: палка о двух концах
Статья 6(1)(f) GDPR позволяет обрабатывать данные, если это необходимо для законных интересов контроллера. Но есть нюанс: вы должны провести тест баланса (balancing test). Представьте, что вы печете пирожки и хотите использовать рецепты клиентов, чтобы улучшить начинку. Если клиент не против — ок, но если он веган, а вы добавляете сало, будет скандал.
Согласие: золотой стандарт, но не панацея
Согласие должно быть конкретным, информированным и однозначным. Нельзя просто добавить галочку в Terms of Service — это все равно что спросить: «Можно я возьму вашу зубную щетку?» и получить ответ «да» на вопрос о погоде. Лучше использовать отдельное согласие на обучение ИИ.
Анонимизация и псевдонимизация
Если данные анонимизированы (нельзя идентифицировать человека), GDPR не применяется. Но анонимизация — это не просто удалить имя. Нужно убедиться, что данные нельзя восстановить. Псевдонимизация (замена идентификаторов на коды) не выводит данные из-под GDPR, но снижает риски.
Что говорит EDPB?
Европейский совет по защите данных (EDPB) выпустил рекомендации, где подчеркивает: при обучении ИИ нужно внедрять принципы Privacy by Design. Например, минимизировать сбор данных, использовать дифференциальную приватность.
Практические шаги
- Проведите DPIA (оценку влияния на защиту данных).
- Определите законное основание: согласие или законный интерес.
- Если законный интерес — проведите balancing test и задокументируйте его.
- Используйте анонимизацию или псевдонимизацию.
- Дайте пользователям право отказаться (opt-out) от использования их данных для обучения.
FAQ
Нужно ли получать согласие на каждую новую модель?
Да, если меняется цель обработки. Например, если сначала вы обучали модель для рекомендаций, а потом решили использовать данные для генерации текстов — нужно новое согласие.
Что будет, если нарушить GDPR?
Штраф до 20 млн евро или 4% годового оборота — в зависимости от того, что больше. Плюс репутационные риски.
Можно ли использовать публичные данные (например, из соцсетей)?
Да, но только если они были опубликованы с явного согласия пользователя. Просто «публичный профиль» не означает автоматического разрешения на обучение ИИ.
Чеклист: готовы ли вы к GDPR при обучении ИИ?

Редакционный комитет NakedPact
Статья подготовлена редакцией NakedPact. Наша миссия — анализировать, упрощать и выявлять несправедливые условия и скрытые риски в повседневных договорах для защиты граждан и потребителей.
Источники и правовые ссылки

Вы владелец веб-сайта?
Хотите сообщить пользователям о прозрачности обработки данных? Динамически используйте наш значок и продемонстрируйте соответствие вашей платформы требованиям.
Рекомендуемое чтение
🛡️ Защитите свои права одним кликом
Не рискуйте подписывать кабальные условия. Установите бесплатное расширение NakedPact для Chrome или Firefox и мгновенно анализируйте любой контракт в сети.
Не доверяйте, проверяйте.
Теперь, когда вы знаете о рисках, не подписывайте вслепую. Загрузите контракт в NakedPact, и ИИ найдет скрытые условия. Это 100% бесплатно.
Проанализировать контракт сейчас

