Венгерский Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) выпустил наиболее предписывающее руководство по требованиям к защите данных ИИ-систем среди всех центральноевропейских DPA. В 2024 году NAIH выдал 38 решений о правоприменении и опубликовал детальное руководство по ИИ, требующее явных оценок воздействия на защиту данных для любой ИИ-системы, обрабатывающей персональные данные — более широкое требование, чем базовый уровень GDPR.
Подход NAIH к правоприменению ИИ на первом месте
Там, где большинство DPA ЕС издали общее руководство по ИИ и GDPR, руководство NAIH 2024 года является операционно конкретным:
DPIA обязателен для всех ИИ-систем, обрабатывающих персональные данные: NAIH требует завершённой DPIA перед развёртыванием любой ИИ-системы, обрабатывающей персональные данные — независимо от того, будет ли обработка «высокорискованной» согласно общему требованию GDPR к DPIA. Это более требовательно, чем риск-ориентированный подход GDPR Статьи 35.
Требования к охвату DPIA: Модельная DPIA NAIH для ИИ-систем должна включать:
- Техническое описание входных и выходных данных модели ИИ
- Доказательства того, что обучающие данные были либо подлинно анонимизированы, либо обработаны на основе конкретного правового основания
- Оценку риска алгоритмической дискриминации
- Механизм проверки человеком для автоматизированных решений
- Расписание хранения и удаления данных, обработанных ИИ
Ежегодная переоценка: NAIH требует ежегодного обновления DPIA, когда ИИ-системы переобучаются или существенно модифицируются.
Венгрия обработала более 890 000 запросов субъектов данных GDPR в 2024 году — значительный объём для страны с 10-миллионным населением, указывающий на активную реализацию прав и создающий операционные требования к соответствию.
Пробел в точности венгерского NER
Техническая оценка NAIH 2024 года выявила точность NER-модели для венгерского языка на уровне 67% — значительно ниже среднего показателя ЕС в 82%. Этот пробел имеет практические последствия для правоприменения: организации, обрабатывающие венгерские персональные данные с помощью инструментов NLP на английском или немецком языке, допускают систематические ошибки обнаружения.
Венгерский — морфологически сложный язык (агглютинативный с обширным суффиксацией), что создаёт специфические проблемы для NLP-моделей, обученных на аналитических языках, таких как английский. Имена, адреса и идентификаторы, встроенные в венгерскую прозу, требуют моделей, обученных на венгерскоязычных текстах, для достижения адекватной точности обнаружения.
Венгерские национальные идентификаторы
TAJ-szám (Társadalombiztosítási Azonosító Jel): 9-значный идентификационный номер социального страхования. Используется во всех медицинских, социальных и пенсионных записях. Валидация использует алгоритм взвешенной контрольной суммы, определённый стандартами венгерского органа социального страхования.
Adóazonosító jel: 10-значный идентификационный номер налогоплательщика для физических лиц. Формат: 8-значное ядро + 2 контрольные цифры. Появляется в трудовых договорах, налоговых декларациях, платёжных ведомостях и документах финансовых услуг.
Személyi igazolvány number: Номер венгерского национального удостоверения личности. Формат и структура контрольной цифры специфичны для венгерских соглашений об эмиссии.
Útlevél szám: Номер венгерского паспорта. Формат специфичен для венгерской эмиссии, с контрольной цифрой.
Техническая оценка NAIH выявила, что общие инструменты NLP пропускают TAJ-szám в 61% документов из-за вариации формата и отсутствия проверенных алгоритмов контрольной суммы.
Контекст соответствия цифровизации правительства Венгрии
Программа цифровизации правительства Венгрии — консолидирующая государственные услуги на платформе Ügyfélkapu (Клиентский шлюз) — создаёт значительные требования к соответствию. Платформа обрабатывает персональные данные для 4+ миллионов зарегистрированных венгерских граждан в области налогов, социальных услуг, здравоохранения и лицензирования.
Организации частного сектора, интегрирующиеся с Ügyfélkapu (для управления льготами сотрудников, услуг налоговой декларации или верификации личности), обрабатывают венгерские национальные идентификаторы в регулируемых контекстах. NAIH выявил, что интеграторы частного сектора часто развёртывают международные инструменты PII без поддержки специфичных для Венгрии идентификаторов — создавая систематические пробелы в соответствии.
Последствия Закона об ИИ
Венгрия является одним из первых государств — членов ЕС, формально рассматривающих реализацию Закона ЕС об ИИ в своём руководстве DPA. Позиция NAIH:
Высокорискованные ИИ-системы (как определено Приложением III к Закону ЕС об ИИ — включая ИИ в сфере занятости, кредитного скоринга и основных услуг) требуют как оценки соответствия Закона об ИИ, так и расширенной DPIA NAIH.
Модели ИИ общего назначения, используемые для обработки персональных данных венгерских граждан, требуют DPIA NAIH даже если они индивидуально не классифицированы как высокорискованные по Закону об ИИ.
Для организаций, развёртывающих ИИ-системы в Венгрии, практическое требование соответствия: DPIA NAIH перед развёртыванием, поддержка NER на венгерском языке для обнаружения персональных данных в документах, и обнаружение TAJ-szám/adóazonosító jel с валидацией контрольной суммы.
Источники: