NAIH Венгрии: управление ИИ и требования к ОВВД
Венгерский орган по защите данных — NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság). Это ведомство выпустило наиболее детальные руководящие указания по ИИ среди всех надзорных органов по защите данных в Центральной Европе. В 2024 году NAIH вынес 38 решений о применении санкций и опубликовал требования об обязательном проведении оценки воздействия на защиту данных (DPIA / ОВВД) для каждой ИИ-системы, обрабатывающей персональные данные. Эти требования выходят за рамки базового стандарта GDPR.
Правила правоприменения NAIH в сфере ИИ
Большинство надзорных органов ЕС ограничиваются общими руководящими указаниями по ИИ. Венгерский регулятор пошёл дальше: его руководство 2024 года содержит операционно конкретные требования.
ОВВД обязательна для всех ИИ-систем: каждая ИИ-система, обрабатывающая персональные данные, должна пройти ОВВД до начала эксплуатации. Это требование применяется даже в случаях, не отнесённых к «высокорисковой» обработке по Статье 35 GDPR, — что строже риск-ориентированного подхода самого GDPR.
Обязательные элементы ОВВД по стандарту NAIH:
- Техническое описание входных и выходных данных ИИ-модели
- Подтверждение того, что обучающие данные были анонимизированы или имели надлежащее правовое основание
- Оценка риска алгоритмической дискриминации
- Механизм проверки автоматизированных решений человеком
- График хранения и удаления данных, обработанных ИИ
Ежегодный пересмотр: NAIH требует обновлять ОВВД ежегодно при переобучении ИИ-системы или её существенном изменении.
В 2024 году в Венгрии было обработано свыше 890 000 запросов на реализацию прав субъектов данных по GDPR — значительный объём для страны с населением 10 миллионов человек. Это свидетельствует об активном использовании прав и реальном давлении на команды по соответствию требованиям.
Разрыв в точности NER
По итогам проверки 2024 года NAIH протестировал модели NER на венгерских текстах: точность составила лишь 67% при среднем показателе по ЕС в 82%. Этот разрыв в 15 процентных пунктов влечёт реальные издержки при обеспечении соответствия.
Венгерский — агглютинативный язык: слова образуются посредством множества суффиксов. Имена, адреса и идентификаторы на венгерском выглядят совершенно иначе, чем аналогичные данные на английском или немецком. Инструменты, обученные на этих языках, пропускают значительную долю персональных данных в венгерских текстах. О влиянии этого разрыва на соответствие GDPR в разных языковых средах см. наш справочник по многоязычному обнаружению персональных данных.
Регулятор установил, что универсальные NLP-инструменты пропускают TAJ-szám в 61% документов. Основные причины — вариативность формата и отсутствие поддержки контрольной суммы.
Венгерские национальные идентификаторы
Команды, обрабатывающие документы на венгерском языке, должны точно распознавать следующие типы идентификаторов. Контекст для всего ЕС см. в нашем справочнике по обнаружению национальных налоговых идентификаторов ЕС.
TAJ-szám (Társadalombiztosítási Azonosító Jel): 9-значный номер социального страхования. Встречается в медицинских документах, документах о пособиях и пенсионных делах. Валидация выполняется по взвешенной контрольной сумме, установленной Управлением социального страхования.
Adóazonosító jel: 10-значный персональный налоговый идентификатор. Формат: 8-значная основная часть плюс 2 контрольные цифры. Встречается в платёжных ведомостях, налоговых декларациях и трудовых договорах.
Személyi igazolvány: номер национального удостоверения личности. Формат и контрольная цифра определяются правилами выдающего органа.
Útlevél szám: номер паспорта. Формат и контрольная цифра также регламентированы выдающим органом.
Контекст платформы Ügyfélkapu
Большинство государственных услуг в Венгрии предоставляется через единую платформу — Ügyfélkapu («Клиентский шлюз»). Более 4 миллионов граждан используют её для решения налоговых, социальных, медицинских и лицензионных вопросов. Коммерческие компании подключаются к Ügyfélkapu для расчёта заработной платы, оформления льгот или проверки личности и, таким образом, обрабатывают те же идентификаторы в регулируемом контексте.
NAIH установил, что такие компании нередко используют международные инструменты работы с персональными данными, большинство из которых не поддерживают перечисленные выше идентификаторы. Это приводит к пропускам данных и прямым рискам несоответствия.
Пересечение с Законом ЕС об ИИ
Венгрия одной из первых включила требования Закона об ИИ в рекомендации надзорного органа. Позиция регулятора однозначна.
Высокорисковые ИИ-системы перечислены в Приложении III Закона об ИИ. К ним относятся системы в сферах трудоустройства, кредитного скоринга и основных услуг. Для них требуются как оценка соответствия по Закону об ИИ, так и ОВВД NAIH.
Универсальные ИИ-модели, обрабатывающие данные лиц, находящихся в Венгрии, также требуют ОВВД NAIH — даже если модель не отнесена к высокорисковым по Закону об ИИ.
Для команд, внедряющих ИИ в Венгрии, базовый контрольный список состоит из трёх пунктов: провести ОВВД NAIH до запуска; убедиться, что NER-инструмент охватывает перечисленные выше сущности в венгерских текстах; подтвердить распознавание TAJ-szám и adóazonosító jel с валидацией контрольных сумм.