Чат-боты в контексте соответствия требованиям конфиденциальности данных

Конфиденциальность чат-ботов стала важным вопросом за последние несколько лет, обсуждаемым как в нашей стране, так и за рубежом. Большой интерес данный вопрос вызывает и в Европе, где он обсуждается в контексте Европейского общего регламента по защите данных (GDPR).

Возможности и риски

Conversational AI дает компаниям широкие возможности для сбора данных от клиентов и пользователей, что параллельно повышает риски в области конфиденциальности данных. Поэтому при планировании внедрения чат-ботов, в частности для продаж и маркетинга, нужно нивелировать возможные юридические риски.

Решением становится принятие соответствующих внутренних политик и тщательный выбор внешних агентств и поставщиков, предлагающих услуги по разработке и сопровождению чат-ботов.

Какие риски для конфиденциальности создает использование чат-бота?

• Если для идентификации собеседника боту требуется большой объем персональных данных, это будет противоречить принципу минимизации данных GDPR («чем меньше вы спрашиваете, тем лучше»).

• Профилирование клиентов — еще одна деятельность, вызывающая дискуссионные вопросы. Боту необходимо анализировать и объединять большие наборы персональных данных, что противоречит принципу ограничения конфиденциальности чат-бота.
• Правило ограничения цели гласит, что персональные данные могут использоваться только для определенной цели. Это наложило жесткие ограничения на любое получение данных.
• Другие ограничения связаны с запретом на сбор конфиденциальных личных данных (таких как этническая принадлежность, религия, здоровье) и обязательством прозрачной обработки данных.

Наконец, люди имеют право возражать против использования своих личных данных и могут потребовать их удаления. Соблюдение конфиденциальности чат-бота означает также защиту этих двух прав.

Ошибки чат-ботов в контексте конфиденциальности

Среди кейсов нарушения конфиденциальности и вопросов этичности в сфере ботов можно привести следующие примеры:

• Чат-бот с искусственным интеллектом Amazon для набора персонала, который был признан гендерно предвзятым. Бот начал думать, что мужчины лучше женщин из-за большего количества мужских резюме, которые он получил.
• Tay – чат-бот с искусственным интеллектом от Microsoft для общения с пользователями Twitter. К сожалению, Tay начал выражать расизм, ультраправые и нацистские взгляды.
• Beauty – чат-бот с искусственным интеллектом, который должен был беспристрастно судить о красоте. Через некоторое время обнаружили, что Beauty AI не любит темные лица.

Вышеупомянутые случаи заставляют задуматься над проблемой невольно возникающей предвзятости искусственного интеллекта. Никто не хочет передавать конфиденциальные данные кому-то, у кого есть предубеждения против него. Таким образом, проблема конфиденциальности является общей как для людей, так и для ботов, особенно когда чат-боты совершают ошибки, которые иллюстрируются тремя приведенными выше примерами.

Снижение юридических рисков

Для соблюдения требований к защите конфиденциальных данных пользователей необходимо следовать определенным правилам:

• Разработать внутренние политики и внутренние протоколы, чтобы установить разрешенный объем передачи данных через чат-ботов.
• Определить:

1. Какая информация собирается и как;
2. Где информация отправляется и хранится;
3. В каких целях обрабатывается информация.

• Перед началом диалога с ботом получить у собеседника согласие на обработку персональных данных. Пример такого стартового сообщения, в которое включается гиперссылка на политику компании:

Отправляя сообщение, вы соглашаетесь на обработку персональных данных в соответствии с нашей политикой.

• Включить ссылки на чат-бот в политику конфиденциальности на веб-сайте или в веб-приложении. Кроме того, можно включить некоторые превентивные функции в окно чат-бота, например, баннер, предупреждающий пользователей о том, что нельзя делиться с чат-ботом особыми категориями данных, или функцию, позволяющую пользователям удалять прошлые разговоры, содержащие конфиденциальные данные.

Требования к поставщикам чат-ботов

На стороне поставщика чат-бота выполняться следующие требования:

1. Доступ к БД должен быть строго регламентирован;
2. Регулярно делаются бекапы, доступ к которым также регламентирован;
3. С сотрудниками, имеющими доступы, подписаны документы о неразглашении;
4. Должна быть возможность управлять предоставляемыми данными найти и удалить персональные данные из аккаунта компании (настройки компании, сценарий чат-бота, история общения) в соответствии с разделом 25 GDPR.
5. Должна быть возможность передать данные для обучения бота в деперсонализованном виде – скрипт для деперсонализации запускается на стороне заказчика, возможную "чувствительную" информацию удаляется и поставщику передается уже деперсонализированные диалоги.

Заключение

Таким образом, чат-боты предоставляют широкие возможности для развития бизнеса и маркетинговых стратегий, однако, в процессе не следует забывать о защите конфиденциальности пользователей и клиентом, с которыми будет взаимодействовать чат-бот.

FAQ (часто задаваемые вопросы)