Спустя неделю после голосования за законопроект о принудительном отчуждении TikTok у китайского владельца Палата представителей США приняла ещё один знаковый законопроект — он направлен на защиту данных американцев от компаний из недружественных стран.

Источник изображения: 10302144 / pixabay.com

«Закон о защите данных американцев от иностранных противников» (Protecting Americans’ Data from Foreign Adversaries Act, HR 7520) запрещает информационным брокерам продавать персональные данные американцев в недружественные государства, такие как Китай, Россия, Северная Корея и Иран. Операторы, уличённые в продаже такой информации как данные о местоположении и состоянии здоровья пользователей в эти страны, могут быть оштрафованы Федеральной торговой комиссией (FTC). Законопроект был единогласно принят всеми 414 проголосовавшими членами Палаты представителей.

Документ был разработан представителями обеих крупнейших партий США, и перед голосованием в Палате представителей он был единогласно одобрен всеми членами профильного комитета, как и законопроект в отношении TikTok. Новый законопроект отличается тем, что в нём не упоминаются конкретные компании — он налагает ограничения на полномочия информационных брокеров в отношении «продажи, лицензирования, сдачи в аренду, торговли, передачи, публикации, раскрытия, предоставления доступа или иного открытия конфиденциальных данных человека в Соединённых Штатах» иностранным противникам или подконтрольным им организациям. Обеспечивать соблюдение новых норм будет FTC.

Охватываемые законопроектом конфиденциальные данные включают биометрическую и генетическую информацию, номера социального страхования, медицинские диагнозы или методы лечения, а также точные данные геолокации.

В 2024 году произошёл инцидент, в результате которого в Сеть утекли 500 млн записей о россиянах — всего с начала года зафиксирована утечка 510 млн таких записей. Об этом сообщило ТАСС со ссылкой на замглавы Роскомнадзора Милоша Вагнера.

Источник изображения: tookapic / pixabay.com

«Всего утекло 510 млн, из них 500 [млн] — это одна утечка. Мы её сейчас расследуем», — заявил господин Вагнер. Если сравнивать текущее положение вещей с ситуацией в 2022 и 2023 годах, то число инцидентов с утечками персональных данных россиян выросло, но объёмы утечек снизились. Последний случай стал исключением. «А в этом году одним этим случаем покрыли практически весь предыдущий год», — добавил замглавы Роскомнадзора.

В течение 2023 года ведомство зарегистрировало 168 утечек персональных данных россиян — в результате этих инцидентов в Сети оказались 300 млн записей. В 2022 году злоумышленники похитили 600 млн записей о российских гражданах, при этом было зафиксировано 140 утечек.

Ранняя история персональных компьютеров изобилует белыми пятнами, которые ждут своих первооткрывателей. Множество небольших фирм и даже частные гаражные проекты породили десятки устройств, о многих из которых неизвестно не только широкой общественности, но даже специалистам. От некоторых не осталось вообще ничего, тогда как других нашли всего единицы. Тем ценнее случайная находка уборщиков, обнаруживших два экземпляра компьютера Q1.

Компьютер Q1-Lite-IWS (нажмите для увеличения)

Хорошо известно, что в 1971 году группа Федерико Фаджини (Federico Faggin) в Intel создала первый однокристальный микропроцессор 4004. Он использовался в микрокалькуляторах. В 1974 году вышел более мощный процессор Intel 8080, на базе которого компания MITS начала разрабатывать персональный компьютер Altair 8800. Промежуток в три года между этими событиями малоизвестен, но он также важен для истории развития ПК, как и все последующие годы.

Но всё началось чуть раньше. В декабре 1969 года компания Computer Terminal Corporation (CTC) поручила Intel разработать однокристальный процессор с собственным набором команд CTC, который предназначался для интеллектуального терминала DataPoint 2200. Компания Intel не выполнила условия контракта. Позже этот заказ превратился в процессор 8008, дебютировавший в 1972 году. Не пропадать же добру? Компания CTC самостоятельно завершила проект, собрав процессор на дискретной логике TTL. Терминал DataPoint 2200 стал фактическим персональным компьютером, хотя его процессор был «размазан» по плате.

Зато процессором Intel 8008 воспользовалась американская компания Q1. Они начали продавать компьютер Q1 уже в декабре 1972 года — всего через 8 месяцев после анонса 8008. Тем самым компьютер Q1 стал первым в мире персональным компьютером на однокристальном процессоре. Частота процессора составляла всего 800 кГц, а объём памяти был равен 16 Кбайт. Более поздние версии Q1 были оснащены микропроцессором Z80, разработанным Фаджином в компании Zilog. Но отличительные черты линейки Q1 останутся: качественная сборка, уникальный промышленный дизайн и соотношение сторон, а также неоново-оранжевые плазменные дисплеи.

Считалось, что всего в мире осталось не более 8 экземпляров компьютера Q1. Три из них находятся в том или ином музее компьютерной техники. Недавно Кингстонский университет в Лондоне удивительным образом заполучил сразу два экземпляра таких компьютеров. Их обнаружила клининговая компания при уборке подсобных помещений в одной из школ. Компьютеры хранились в запылённых коробках, но были целыми. Университет поместил находку в своём музее истории компьютерной техники.

Выше на видео можно посмотреть, как выглядела снаружи и внутри более поздняя модификация Q1-Lite-IWS.

С начала 2024 года Роскомнадзор зафиксировал 19 утечек персональных данных, в результате которых были похищены 510 млн записей с информацией о россиянах. Об этом сообщило ТАСС со ссылкой на пресс-службу Роскомнадзора.

Источник изображения: Pete Linforth / pixabay.com

«С начала 2024 года Роскомнадзор выявил 19 фактов утечек персональных данных, в сеть попали более 510 млн записей», — приводит ТАСС заявление пресс-службы ведомства. Для сравнения, за весь 2023 год Роскомнадзор установил 168 утечек персональных данных, но в рамках этих инцидентов в Сеть попали лишь 300 млн записей о россиянах. В 2022 году ведомство зафиксировало более 140 утечек — это коснулось 600 млн записей о россиянах.

В декабре минувшего года в Госдуму внесли два законопроекта, предусматривающие ужесточение ответственности для компаний, допустивших утечки персональных данных. Один из них включает введение оборотных штрафов — взысканий, исчисляемых от дохода компании за определённый период. В настоящее время максимальное наказание для компании за подобный инцидент составляет 300 тыс. руб. — законопроект предлагает установить максимальное значение на отметке 500 млн руб., а также ввести штрафы до 200 тыс. руб. для физлиц и до 1 млн руб. для должностных лиц. Второй законопроект вводит за такие инциденты уголовную ответственность вплоть до четырёх лет лишения свободы.

Mozilla представила улучшенный вариант своего сервиса мониторинга конфиденциальности с платной подпиской под названием Mozilla Monitor Plus. За 8,99 долларов в месяц в рамках годовой подписки сервис будет автоматически отслеживать более чем 190 брокерских сайтов, где продаётся информация, собранная из онлайн-источников, таких как социальные сети, приложения и трекеры. Если информация будет найдена, сервис сформирует запрос на её удаление.

Источник изображения: mozilla.org

Менеджер по продукту Mozilla Monitor Тони Чинотто (Tony Cinotto) сообщил, что Mozilla сотрудничает с компанией Onerep для выполнения этих сканирований и последующих запросов на удаление. Обработка запросов обычно занимает от 7 до 14 дней, но иногда автоматическое удаление информации оказывается невозможным. Mozilla продолжит работу по совершенствованию своего сервиса, а также предоставит подписчикам Mozilla Monitor Plus инструкции по самостоятельному удалению данных.

Новая платная подписка Mozilla Monitor Plus основана на бесплатном мониторинге даркнета Mozilla Monitor (ранее Firefox Monitor) — службы, которую Mozilla впервые представила в 2018 году. По словам Mozilla, пользователи бесплатной версии Basic Monitor могут по-прежнему рассчитывать на бесплатное сканирование брокеров данных по запросу, постоянное автоматическое ежемесячное сканирование и однократное формирование запросов на удаление.

Mozilla заявляет, что при сканировании брокера данных в интернете пользователь может обнаружить огромное количество персональной информации, начиная с имени, домашнего адреса и профессиональной деятельности и заканчивая данными о криминальном прошлом, хобби или учебном заведении детей.

Сервисы по поиску и удалению персональных данных довольно распространены, но широкой известности не завоевали, поэтому их поиск с высокой вероятностью может привести на мошеннический сайт. Именно здесь может помочь репутация Mozilla как дочерней компании некоммерческой организации Mozilla Foundation с открытым исходным кодом, которая заботится о конфиденциальности.

Mozilla Monitor Plus теперь доступен за 8,99 долларов США в месяц, тогда как стандартный Mozilla Monitor остаётся бесплатным. В течение последних нескольких лет Mozilla предложила и другие сервисы, ориентированные на конфиденциальность, такие как Mozilla VPN и Firefox Relay.

После многомесячного расследования, проведённого итальянским органом по защите данных DPA (Data Protection Authority) в отношении ИИ-чат-бота ChatGPT, компанию OpenAI обвинили в нарушении законов о конфиденциальности ЕС. Подтверждённые нарушения в обращении с персональными данными могут повлечь за собой штрафы на сумму до €20 млн, или до 4 % годового оборота. У OpenAI есть 30 дней, чтобы ответить на обвинения.

Источник изображений: Pixabay

Итальянские власти выразили обеспокоенность по поводу соблюдения OpenAI Общего регламента защиты данных (GDPR) в прошлом году, что привело к временной приостановке работы чат-бота на европейском рынке. DPA Италии 30 марта в так называемом «реестре мер», подчеркнул отсутствие подходящей правовой основы для сбора и обработки персональных данных с целью обучения алгоритмов, лежащих в основе ChatGPT, склонность инструмента ИИ к «галлюцинациям» и потенциальные проблемы с безопасностью детей. Власти обвинили OpenAI в нарушении статей 5, 6, 8, 13 и 25 GDPR.

DPA располагают полномочиями требовать внесения изменений в способы обработки данных, чтобы прекратить нарушения конфиденциальности граждан ЕС. Таким образом, регуляторы могут заставить OpenAI изменить свой подход к обработке персональных данных или вынудить компанию прекратить предлагать свои услуги в странах Евросоюза.

Весной 2023 года OpenAI смогла относительно быстро возобновить функционирование ChatGPT в Италии после того, как устранила ряд нарушений, указанных DPA. Однако итальянские власти продолжили расследование и пришли к предварительным выводам, что инструмент ИИ от OpenAI нарушает законодательство ЕС. Итальянские власти пока не опубликовали список подтверждённых нарушений ChatGPT, но главной претензией к OpenAI, скорее всего, станет сам принцип обработки персональных данных для обучения моделей ИИ.

ChatGPT был разработан с использованием массы данных, извлечённых из общедоступного интернета — информации, которая включает личные данные отдельных лиц. А проблема, с которой OpenAI сталкивается в ЕС, заключается в том, что для обработки данных жителей ЕС требуется действительная правовая основа. GDPR перечисляет шесть возможных правовых оснований, большинство из которых просто не имеют отношения к данному контексту. В апреле прошлого года DPA Италии оставил для OpenAI только две законные возможности для обучения моделей ИИ: «подтверждённое согласие» или «законные интересы».

Учитывая, что OpenAI никогда и не пыталась получить согласие миллионов (а, возможно, миллиардов) пользователей интернета, чью информацию она собирала и обрабатывала для построения моделей ИИ, любая попытка заявить о наличии разрешения от европейцев на обработку их персональных данных обречена на провал. Поэтому у OpenAI осталась лишь возможность опираться на утверждение о «законных интересах». Однако эта основа также предусматривает право владельцев данных выдвигать возражения и требовать прекращения обработки своей персональной информации.

Источник изображения: OpenAI

Теоретически, каждый житель ЕС имеет право потребовать от OpenAI изъять и уничтожить незаконно обученные модели и переобучить новые модели без использования его данных. Но даже если предположить возможность идентификации всех незаконно обработанных данных, подобную процедуру предстоит произвести для каждого возражающего гражданина ЕС, что практически невозможно реализовать на практике.

Существует и более широкий вопрос: признает ли в конце концов DPA, что «законные интересы» вообще являются действительной правовой основой в этом контексте. Такое решение регулятора выглядит маловероятным. Ведь обработчики данных должны сбалансировать свои собственные интересы с правами и свободами людей, чьи данные обрабатываются, оценить возможность причинения им неоправданного вреда, а также учесть, ожидали ли люди такого использования их данных.

Примечательно, что в подобной ситуации Верховный суд ЕС ранее признал «законные интересы» неподходящим основанием для Meta✴ при отслеживании и профилировании пользователей в целях таргетирования рекламы в своих социальных сетях. Таким образом, существует негативный судебный прецедент для OpenAI, стремящейся оправдать обработку данных людей в огромных масштабах для создания коммерческого генеративного ИИ-бизнеса — особенно когда рассматриваемые инструменты создают всевозможные новые риски для названных лиц (дезинформация, клевета, кража личных данных и мошенничество лишь некоторые из них). OpenAI также находится под пристальным вниманием к соблюдению GDPR в Польше, где начато отдельное расследование по этому поводу.

OpenAI пытается нивелировать потенциальные регуляторные риски в ЕС, создавая отдельную организацию в Ирландии, которая в будущем должна стать поставщиком услуг ИИ для пользователей из ЕС. OpenAI надеется получить статус так называемого «основного учреждения» в Ирландии, что позволит ей использовать оценку соответствия требованиям GDPR только от Ирландской комиссии по защите данных и действовать в Евросоюзе через механизм «единого окна» регулирования, избежав надзора органов DPA каждой страны-члена ЕС.

Однако пока OpenAI ещё не получила этот статус, поэтому ChatGPT все ещё может столкнуться с расследованиями со стороны DPA в других странах ЕС. И даже получение статуса «основного учреждения» в Ирландии не прекратит уже открытое расследование и правоприменение в Италии.

DPA Италии сообщает, что органы по защите данных стремятся координировать надзор за ChatGPT, создав рабочую группу при Европейском совете по защите данных. Эти усилия могут, в конечном итоге, привести к более согласованным результатам в рамках отдельных расследований в отношении OpenAI. Тем не менее, на данный момент DPA каждого члена ЕС остаются независимыми и компетентными принимать решения на своих рынках самостоятельно.

Пресс-служба «Альфа-банка» опровергла сообщение об утечке данных миллионов своих клиентов. Отмечается, что утечек не было ни у самого банка, ни у его подрядчиков. Ранее в СМИ появились сообщения, что украинские хакеры опубликовали данные 38 млн клиентов «Альфа-банка», доступ к которым, по утверждению злоумышленников, был получен в октябре прошлого года. В банке опубликованные данные назвали компиляцией из разных источников.

Источник изображения: Pixabay

«Это фейк, данные клиентов банка в безопасности. Сведения скомпилированы из разных источников, где люди оставляют данные про себя», — сообщили в пресс-службе «Альфа-банка».

Это официальное сообщение было опубликовано в ответ на заявление хакерской группировки KibOrg, которая 8 января на своём веб-сайте сообщила о том, что опубликовала базу с данными 38 млн клиентов «Альфа-банка», как физических, так и юридических лиц. В сообщении злоумышленников говорилось, что в базе содержится разная информация, включая ФИО клиентов, даты рождения, номера счетов и телефонные номера, а также «другие интересные данные».

По утверждению хакеров, база состоит из 115 млн клиентских записей, начиная с 2004 года. Хакеры утверждали, что доступ к базе они смогли получить вместе с другой украинской группировкой NLB в октябре 2023 года. По их словам, уже осенью были опубликованы данные 44 тыс. клиентов. Однако тогда в «Альфа-банке» сообщение об утечке опровергли, назвав его фейком, а также заверив клиентов, что все данные находятся под защитой.

На сайте маркетинговой компании Cox Media Group (CMG) некоторое время назад был размещён баннер с однозначным и тревожным заявлением: «Это правда. Ваши устройства Вас слушают». Этим заявлением CMG спровоцировала панику, намекнув, что у неё есть доступ к частным разговорам людей, собираемым их телефонами, телевизорами и другой личной электроникой. Маркетинговая компания заявила, что использует эти личные разговоры для таргетинга рекламы своих клиентов.

Источник изображений: unsplash.com

Наверное, каждый пользователь интернета на себе испытал или хотя бы слышал от других: стоит только сказать вслух о желании приобрести кожаную куртку «как у Дженсена», как реклама таких кожаных курток начинает транслироваться из каждого утюга. Производители электроники с микрофонами порой признаются в продаже голосовых данных третьим лицам (рекламодателям), но обычно речь идёт о данных, накопленных после того, как пользователь разрешил устройству начать его прослушивать и согласился на сбор данных.

CMG ещё 28 ноября рассказала о технологии Active Listening («Активное прослушивание»), которая использует ИИ для «обнаружения соответствующих разговоров через смартфоны, смарт-телевизоры и другие устройства». По утверждению компании, она знает, «когда и на что настраиваться». CMG готова удовлетворить желание рекламодателей услышать каждый шёпот, который мог бы помочь им таргетировать рекламу: «Это мир, где ни один шум перед покупкой не останется без анализа, а слухи потребителей становятся для вас инструментом таргетинга, переориентации и завоевания местного рынка».

CMG не предоставила подробных и точных разъяснений своей технологии, сейчас информация об Active Listening пропала с сайта, а архивная версия даёт весьма расплывчатое представление о том, как эта функция якобы работает. CMG загружала на свою платформу данные, создавая «персонажи покупателей». Затем каждому персонажу ставились в соответствие ключевые слова, интересующие клиента CMG.

Процесс отслеживания описывался так: «Активное прослушивание начинается и анализируется с помощью искусственного интеллекта для обнаружения соответствующих разговоров через смартфоны, смарт-телевизоры и другие устройства». Далее обсуждался анализ данных при помощи ИИ и создание «зашифрованного вечнозелёного списка аудитории», используемого для таргетирования рекламы на различных платформах, включая потоковое телевидение и аудио, медийную рекламу, платные социальные сети, YouTube, Google и Bing.

Источник изображения: CMG

В ноябрьском сообщении в блоге CMG указывалось на неназванного технологического партнёра, который может «агрегировать и анализировать голосовые данные во время разговоров перед покупкой», а также на «растущие возможности доступа к данным микрофона на устройствах». Но компания никогда не объясняла, как получила вычислительные и сетевые ресурсы, необходимые для записи и отправки каждого разговора в радиусе действия устройства. Также неясно, как CMG могла получить доступ, требующий наличия ордера от правоохранительных органов.

Компания ссылалась на многостраничное соглашение об условиях использования устройств, которые обычно никто не читает, где мелким шрифтом якобы описывалась возможность использования технологий, подобных Active Listening. Ещё больше путаницы добавило утверждение CMG о сотрудничестве с Facebook✴, Microsoft, Google и Amazon, хотя в реальности CMG является просто участником рекламных партнёрских программ этих компаний.

Теперь CMG уверяет, что она «не прослушивает какие-либо разговоры и не имеет доступа к чему-либо, кроме стороннего агрегированного, анонимного и полностью зашифрованного набора данных, который может быть использован для размещения рекламы и сожалеет о любой путанице». Рекламные инструменты компании включают «продукты сторонних поставщиков, основанные на наборах данных, полученных от пользователей различными социальными сетями и другими приложениями, которые затем упаковываются и перепродаются поставщикам услуг данных».

Компания утверждает, что рекламные данные, основанные на голосовых и других данных, собираются этими платформами и устройствами в соответствии с условиями, предусмотренными этими приложениями и принятыми их пользователями, а затем могут быть проданы сторонним компаниям и преобразованы в анонимную информацию для рекламодателей. Эти обезличенные данные затем перепродаются многочисленными рекламными компаниями.

Как бы жутко ни звучали заявления CMG, некоторые из них не являются надуманными. Голосовые помощники дали электронике повод держать микрофоны включёнными круглосуточно. Крупные технологические компании оказываются перед выбором: максимально удовлетворить ожидания клиентов или в первую очередь обеспечивать конфиденциальность пользователей. За прошедшие годы это привело к множеству судебных разбирательств, в том числе громких процессов, которые продолжаются годами и во многом определяют будущее конфиденциальности потребителей.

Начиная с 2019 года против Google регулярно подаётся иск, обвиняющий Google Assistant в использовании данных после неверно воспринятой команды на активацию голосового управления (например, «Эй, пудель!» вместо «Эй, Google»). В июле 2021 года, добиваясь прекращения дела, Google заявила, что «никогда не обещала, что Google Assistant будет активироваться только тогда, когда истцы захотят этого». Google также отметила, что не сохраняет аудиозаписи. В 2022 году в очередном иске против Google утверждалось, что компания собирает данные распознавания голоса и лица без согласия пользователя. Google утверждает, что это «является неверной характеристикой её продуктов».

Другим примером является борьба Apple с обвинениями в записи разговоров пользователей без запроса с их стороны к Siri. Apple утверждает, что Siri не слушает пользователей, если она не активирована, а компания «активно работает над улучшением Siri, чтобы предотвратить непреднамеренные срабатывания и предоставлять визуальные и звуковые сигналы… чтобы пользователи знали, когда Siri срабатывает».

На фоне судебных разбирательств и заверений от компаний о защите конфиденциальности клиентов, маркетологи и рекламодатели продолжают попытки вторжения в личные устройства с целью монетизации полученных персональных данных. И, хотя возможности CMG оказались преувеличенными, сам факт её заявлений многое говорит о неясном состоянии конфиденциальности и доверия потребителей, когда дело касается персональных интеллектуальных устройств. Одного этого уже достаточно, чтобы пересмотреть использование интеллектуальных продуктов с микрофоном и освежить понимание пользовательских соглашений и настроек конфиденциальности.

Компания 23andMe, которая проводит анализы ДНК, сообщила, что в результате недавнего взлома произошла утечка данных, принадлежащих 6,9 млн пользователей. Инцидент коснулся 5,5 млн пользователей с активной функцией DNA Relatives (сопоставление людей со схожими ДНК) и 1,4 млн с профилями генеалогического древа.

Источник изображения: Darwin Laganzon / pixabay.com

Компания раскрыла информацию об инциденте в заявлении Комиссии по ценным бумагам и биржам (SEC) США, а также в официальном блоге. Злоумышленники, по версии 23andMe, получили доступ к информации, воспользовавшись методом подстановки данных: люди часто пользуются одинаковыми логинами и паролями на разных сервисах, из-за чего компрометация данных на одном открывает доступ к другим. В результате хакерам удалось войти в 0,1 % (14 000) учётных записей в системе компании. Сделав это, они воспользовались функцией DNA Relatives, предполагающей сопоставление ДНК вероятных родственников, и получили дополнительную информацию нескольких миллионов других профилей.

Первые сведения об инциденте были преданы огласке в октябре, когда 23andMe подтвердила, что данные её пользователей выставили на продажу в даркнете. Впоследствии компания заявила, что проверяет сообщения о публикации 4 млн генетических профилей жителей Великобритании, а также «самых богатых людей, проживающих в США и Западной Европе». В базе утечки 5,5 млн пользователей DNA Relatives оказались их отображаемые в системе имена, вероятные связи с другими людьми, число пользователей с совпадениями в ДНК, сведения о происхождении, указанные самими пользователями местоположения, места рождения предков, фамилии, изображения профиля и многое другое. Ещё 1,4 млн пользователей имели доступ к профилям генеалогического древа — из этой базы были похищены их отображаемые имена, родственные связи, годы рождения и указанные этими пользователями местоположения. Во второй базе, однако, не было степеней совпадения ДНК.

В 23andMe сообщили, что продолжают уведомлять пострадавших от утечки пользователей. Компания стала предупреждать клиентов о необходимости сменить пароли и принудительно внедрять двухфакторную авторизацию, которая ранее была необязательной.

Информационное агентство «Интерфакс» сообщает, что 30 ноября мировой суд Москвы рассмотрел иск Роскомнадзора к Apple о повторном невыполнении требований по локализации данных российских пользователей. Американская компания признана виновной в совершении административного правонарушения и наказана штрафом в размере 12 млн рублей.

Источник изображения: Pixabay

Суд признал Apple, являющуюся оператором персональных данных российских пользователей, не выполнившей требования части 9 статьи 13.11 Кодекса об административных правонарушениях по обеспечению записи, систематизации, накопления, хранения персональных данных граждан РФ с использованием баз данных, находящихся на территории России.

Представитель Роскомнадзора проинформировал журналистов, что требования по локализации персональных данных российских пользователей выполнили уже около 600 представительств зарубежных компаний в России. В октябре 2023 года Роскомнадзор довёл до суда дела против Google, Spotify и ещё 10 компаний, не локализовавших данные. Ранее в 2016 году по постановлению Таганского суда г. Москвы за отказ локализовать хранение персональных данных российских граждан была заблокирована социальная сеть LinkedIn.

В июле 2023 года мировой суд Таганского района Москвы уже признавал компанию Apple виновной в нарушении федерального закона о локализации баз персональных данных российских граждан, тогда штраф составил 2 млн рублей. В январе 2023 года Apple была оштрафована на 1,2 млрд рублей за нарушение российского антимонопольного законодательства.

Apple подвергается штрафам за невыполнение требований законодательных норм не только в России. В октябре 2022 года бразильский суд оштрафовал Apple на $19 млн за продажу iPhone без зарядных устройств. В декабре 2022 года Парижский суд оштрафовал Apple на €1 млн за нарушение правил конкуренции на софтверном рынке. В марте 2023 года Apple получила в Нидерландах уже девятый штраф в размере €5 млн за невыполнение требований антимонопольного органа.

На сегодняшний день ИИ стал синонимом облачных платформ с чат-ботами, таких как Bing Chat, Google Bard, Windows Copilot и ChatGPT. Но Intel в преддверии официального запуска процессоров Meteor Lake 14 декабря попытается убедить потребителей в том, что ИИ может (и должен) работать локально на их ПК. Чипы нового поколения будут включать не только ядра ЦП и графическую подсистему, но и ИИ-сопроцессор NPU (Neural Processing Unit). К его задействованию Intel привлекла более 100 софтверных компаний, разрабатывающих более 300 ИИ-функций.

Источник изображений: Intel

Изменить представление клиентов об использовании ИИ может оказаться непростой задачей, так как большинство потребителей не задаётся вопросом о том, где — в облаке или на ПК — работает тот или иной ИИ-инструмент. Intel пытается изменить эту ситуацию, используя все возможные способы, от конференции Intel Innovation до финансовых отчётов. Компания призывает разработчиков использовать в своих приложениях сопроцессор искусственного интеллекта NPU и предлагает комплект разработчика с открытым исходным кодом OpenVINO.

Не все разработчики обязательно будут громко представлять все ИИ-возможности своего ПО. Но Intel выделила нескольких партнёров, которые готовы на такой шаг, и среди них — Adobe, Audacity, BlackMagic, BufferZone, CyberLink, DeepRender, MAGIX, Rewind AI, Skylum, Topaz, VideoCom, Webex, Wondershare Filmora, XSplit и Zoom.

Некоторые компании уже назвали преимущества от использования NPU. Так, Deep Render утверждает, что NPU позволит их алгоритму сжимать видео в пять раз эффективнее. Topaz Labs, которая использует ИИ для повышения качества фотографий и видео, планирует задействовать NPU для ускорения своих моделей глубокого обучения. XSplit применит NPU для повышения производительности приложения Vcam для удаления и манипулирования фоном картинки с веб-камеры.

Большинство компаний полагают, что, хотя NPU может быть наиболее энергоэффективным средством ускорения определённых функций ИИ, совместное использование NPU, GPU и CPU на локальном компьютере станет самым быстрым способом достижения поставленной цели. Фактически это соответствует точке зрения самой Intel.

Некоторые разработчики сочетают локальную обработку с облачным ИИ. Например, инструмент Generative Fill от Adobe использует облако, чтобы генерировать новые сцены на основе текстовых описаний пользователя, но применение этих сцен к изображению выполняется на ПК.

Безусловно, на волне бума ИИ Intel постарается сделать всё, чтобы для потребителя знаменитый слоган «Intel Inside» превратился в «AI Inside».

После выдвинутых ещё в январе антимонопольным органом Германии возражений по поводу условий обработки персональных данных, Google согласилась предоставить пользователям расширенный выбор того, как разрешать компании использовать их личную информацию, сообщило Федеральное антикартельное управление (FCO) Германии. Теперь Google должна получить разрешение пользователя на объединение персональных данных из разных источников и на их перекрёстное использование.

Источник изображений: Pixabay

Заявление FCO подтверждает, что Google будет вынуждена отказаться от нарушающего конфиденциальность пользователей решения от января 2012 года, консолидирующего более 60 отдельных уведомлений о конфиденциальности для своих продуктов в единую всеобъемлющую политику. Тогда Google утверждала, что принудительное преобразование нескольких политик конфиденциальности и объединение информации о пользователях приведёт к «более простому и интуитивно понятному интерфейсу Google». На самом деле, этот шаг позволил компании собрать гораздо больше личных данных, расширив возможности по профилированию пользователей и улучшив качество таргетинга рекламы.

«В будущем Google придётся предоставить своим пользователям возможность давать бесплатное, конкретное, информированное и недвусмысленное согласие на обработку их данных всеми сервисами. Для этой цели Google должна предложить соответствующие варианты выбора для комбинации данных», — заявили в FCO, добавив, что дизайн новых «диалогов выбора» не должен быть направлен на манипулирование пользователями.

FCO изучала практики использования персональных данных компанией Google с мая 2021 года. Расследование активизировалось в 2022 году после того, как ведомство подтвердило, что к Google могут быть применены обновлённые правила внутренней конкуренции, направленные против технологических гигантов. Регулятор заявил, что Google «имеет первостепенное значение для конкуренции на разных рынках», в соответствии с немецким законом о борьбе с ограничением конкуренции.

Предварительный вердикт FCO по условиям использования данных Google заключался в том, что пользователям «не было предоставлено достаточного выбора относительно того, согласны ли они и в какой степени на эту далеко идущую обработку своих данных в разных сервисах» — при этом варианты, предоставленные Google, были найдены недостаточно прозрачными и «слишком общими».

По мнению регулятора, Google может «ставить использование сервисов в зависимость от согласия пользователей на обработку своих данных, не предоставляя им достаточного выбора». FCO также опасается, что Google может получить стратегическое преимущество перед конкурентами, которые не обладают столь же широкими возможностями объединения персональных данных.

Недавно вступил в силу «Закон ЕС о цифровых рынках» (DMA), который на общеевропейском уровне предусматривает эквивалентные немецкому законодательству ограничения на объединение пользовательских данных без согласия пользователя. В соответствии с новым законом, Google, наряду с другими технологическими гигантами, была признана посредником (привратником), после включения Google Maps, Google Play, Google Shopping, Google Ads Services, Google Chrome, Google Android, Google Search и YouTube в список так называемых «основных сервисов платформы». Для компаний-привратников установлен шестимесячный срок для приведения их деятельности в соответствие с DMA, что означает, что серьёзные операционные изменения со стороны таких компаний, как Google, скорее всего, не начнутся до марта 2024 года.

Немецкий регулятор сообщил, что, в связи с вступлением в силу европейского DMA, обязательства Google перед FCO будут применяться только к продуктам, на которые не распространяется действие DMA, то есть они охватят более 25 других сервисов Google, включая Gmail, Новости Google, Assistant, Контакты и Google TV.

На вопрос журналистов, как будет выглядеть «свободное, конкретное, информированное и недвусмысленное согласие» представитель FCO сообщил, что «следующим шагом со стороны Google будет представление плана реализации [новых требований] в течение следующих трёх месяцев».

Некоторые предположения можно сделать уже сейчас, опираясь на ход судебного процесса, возбуждённого FCO против Meta✴ — в июне ведомство объявило, что Meta✴ запустит новый центр учётных записей, который предоставит пользователям большую степень выбора в отношении объединения их персональных данных. Нужно заметить, что не все пользователи рады таким жёстким ограничениям со стороны регулирующих органов, так как перекрёстное профилирование давало им возможность «бесшовной» публикации в других сервисах Meta✴ и их устраивало, что Meta✴ объединяла их данные для таргетинга рекламы.

В рамках общего регламента по защите данных (GDPR), Meta✴ на сегодняшний день не имеет правовой основы для обработки данных своих пользователей для таргетирования рекламы. Сначала компания собиралась получать согласие пользователей из ЕС на обработку рекламы, однако последние сообщения в прессе говорят о том, что Meta✴ решила выпустить свои продукты в ЕС по подписке, что выводит их из-под действия GDPR.

В последние годы нам чаще приходилось слышать о введении более строгих правил в отношении взаимодействия международного бизнеса с властями КНР, но свежая публикация на страницах ресурса South China Morning Post выбивается из этой тенденции. В рамках новой инициативы правительство Китая хочет ослабить контроль за трансграничной передачей информации о гражданах страны.

Источник изображения: Shutterstock

Речь, в первую очередь, идёт о персональных данных, которые могут требоваться при совершении трансграничных платежей, покупок или оформлении разного рода документов в онлайн-форме. Год назад китайские регуляторы усугубили контроль в этой сфере, при этом оставив в действующем законодательстве довольно размытое определение «важной информации», за оборотом которой должны были следить сами операторы, работающие с этими данными.

Сейчас ведётся обсуждение новой версии правил, которое должно завершиться 15 октября. Изменения в законодательстве позволят иностранному бизнесу освободиться от избыточного контроля со стороны китайских властей при передаче персональных данных граждан Китая за пределы страны. Делать покупки, бронировать билеты, оформлять страховки и осуществлять переводы средств за границу для граждан Китая станет проще, если речь идёт о взаимодействии с иностранными компаниями. Они же смогут без дополнительных сложностей обрабатывать резюме китайских соискателей при поиске работы. Информация о состоянии здоровья граждан КНР тоже сможет передаваться за пределы страны без дополнительных процедур контроля.

В целом, принятой в прошлом году цензуре не будет подвергаться информация, содержащая персональные данные, если они относятся к менее чем 10 000 граждан КНР в год. Операторы данных освобождаются от проведения экспертизы передаваемых данных силами китайских регуляторов и уведомления их о таких транзакциях. Уведомление предусмотрено только при передаче информации, касающейся вплоть до 1 млн человек в год, но проверка этих данных не требуется. Наконец, только при обработке персональных данных для более чем 1 млн человек в год сохраняется требование к проведению экспертизы и контроля со стороны китайских регуляторов.

Подобные требования будут действовать в масштабах всего Китая, но муниципальные власти особых зон свободной торговли получат право вводить дополнительные послабления в этой сфере. Участники экономической деятельности в этих зонах получат ещё более широкие возможности по экспорту персональных данных граждан КНР без уведомления регуляторов. Принято считать, что такие послабления должны способствовать оживлению экономики Китая за счёт привлечения иностранных компаний, которых отпугивало чрезмерное регулирование в области работы с персональными данными.

Нидерландский производитель микросхем NXP Semiconductors уведомил клиентов об утечке данных, в результате которой была похищена информация о них: имена, адреса электронной почты, номера телефонов и многое другое.

Источник изображения: Gerd Altmann / pixabay.com

Информацию об инциденте предал огласке эксперт по кибербезопасности Трой Хант (Troy Hunt), опубликовавший в соцсети X копию электронного письма, которую компания разослала пострадавшим от утечки клиентам. Документ, в частности, гласит: «14 июля 2023 года мы обнаружили, что некая сторона получила определённые основные персональные данные, такие как адрес электронной почты и номера телефонов из системы, подключённой к нашему онлайн-порталу NXP.com».

По результатам внутреннего расследования компания заявила, что «не обнаружила никаких доказательств, подтверждающих, что данные использовались в мошеннических целях», но «из соображений предосторожности связалась со всеми пострадавшими пользователями NXP.com, чтобы убедиться, что они осведомлены, и принести извинения за причинённые неудобства».

В NXP не сообщили, какое число клиентов пострадало в результате взлома, но уточнили, какие данные, вероятно, были похищены:

• имя и фамилия [контактного лица];
• адрес электронной почты;
• страна, город, почтовый индекс и адрес [предприятия-заказчика];
• номер рабочего телефона;
• номер мобильного телефона;
• название компании;
• должность [контактного лица];
• предпочитаемый способ связи.

Компания предупредила своих клиентов, что в ближайшее время возможна волна фишинговых писем с запросом дополнительных персональных данных или предложением перейти по ссылке.

Стриминговый видеосервис Twitch был оштрафован на 13 млн рублей за повторный отказ локализовать персональные данные российских пользователей в базах данных в России. Постановление вынес мировой судья 422-го судебного участка Таганского района столицы в понедельник, 4 сентября, сообщает ТАСС.

Источник изображения: Caspar Camille Rubin / unsplash.com

Американскую компанию Twitch Interactive (принадлежит Amazon) признали виновной по ч. 9 ст. 13.11 КоАП. Максимальное наказание по этой статье составляет 18 млн рублей.

«Признать Twitch Interactive виновной в совершении административного правонарушения, предусмотренного частью 9 статьи 13.11 КоАП РФ», — уточнил судья Тимур Вахрамеев. В результате сервису стриминга был назначен штраф в 13 млн рублей. Представитель компании на суде не присутствовал.

По той же статье Таганский суд признал виновной американскую компанию Match Group, владеющую сервисом Tinder. Компанию оштрафовали на 10 млн рублей, сообщает «Интерфакс». Впервые российский суд оштрафовал Twitch и Tinder за отказ локализовать данные летом 2022 года. В обоих случаях штрафы составили по 2 млн рублей.

Закон «О персональных данных» обязывает российские и иностранные компании хранить личную информацию россиян только на территории РФ. Требование применяется к иностранным компаниям, не имеющим физического присутствия в России. Отказ от выполнения предписаний законодательства может грозить ресурсам блокировкой на территории России.