NAIH Угорщина: управління ШІ та правила DPA
Угорський орган із захисту даних — NAIH: Nemzeti Adatvédelmi és Információszabadság Hatóság. Орган опублікував найдетальніші настанови щодо ШІ серед усіх регуляторів Центральної Європи. У 2024 році він ухвалив 38 рішень про правозастосування. Він також опублікував правила, що вимагають проведення DPIA для кожної системи ШІ, яка обробляє персональні дані. Ці правила йдуть далі за базові вимоги GDPR.
Правила правозастосування NAIH щодо ШІ
Більшість регуляторів ЄС публікують широкі настанови щодо ШІ. Угорський DPA пішов далі. Його настанови 2024 року є операційно конкретними.
DPIA обов'язкові для всіх систем ШІ: кожна система ШІ, що стосується персональних даних, потребує попереднього проведення DPIA. Регулятор вимагає цього перед розгортанням. Це застосовується навіть тоді, коли обробка не є «високоризиковою» відповідно до статті 35 GDPR. Це суворіше, ніж власний підхід GDPR, заснований на оцінці ризиків.
Що повинна містити DPIA NAIH:
- Технічний опис вхідних і вихідних даних моделі ШІ
- Докази того, що навчальні дані були анонімізовані або мали чинну правову підставу
- Оцінку ризику алгоритмічної дискримінації
- Етап перевірки людиною для автоматизованих рішень
- Графік зберігання та видалення даних, оброблених ШІ
Щорічний огляд: регулятор вимагає щорічного оновлення DPIA. Це застосовується у разі повторного навчання або суттєвої зміни системи ШІ.
У 2024 році Угорщина обробила понад 890 000 запитів на права щодо GDPR. Це значний обсяг для країни з 10 мільйонами населення. Він свідчить про активне використання прав та реальне навантаження на команди відповідності.
Прогалина у точності NER
Огляд регулятора 2024 року тестував моделі NER на угорських текстах. Вони показали точність лише 67%. Середній показник по ЄС становить 82%. Ця різниця у 15 відсоткових пунктів має реальні витрати для відповідності.
Угорська — аглютинативна мова. Слова в ній утворюються шляхом додавання численних суфіксів. Імена, адреси та ідентифікатори в угорській мові виглядають зовсім інакше, ніж дані англійською чи німецькою. Інструменти, навчені на цих мовах, пропускають значну частку персональних даних в угорських текстах. Дивіться наш посібник із багатомовного виявлення персональних даних, щоб дізнатися, як ця прогалина впливає на відповідність GDPR у різних мовах.
Регулятор виявив, що стандартні інструменти NLP пропускають TAJ-szám у 61% документів. Головними причинами є варіативність формату та відсутність підтримки контрольної суми.
Угорські національні ідентифікатори
Команди, що обробляють документи в Угорщині, повинні точно виявляти такі типи ідентифікаторів. Дивіться наш посібник із виявлення національних податкових ідентифікаторів ЄС для контексту повного покриття ЄС.
TAJ-szám (Társadalombiztosítási Azonosító Jel): 9-значний номер соціального страхування. Зустрічається в медичних, пільгових та пенсійних записах. Перевірка використовує зважену контрольну суму, встановлену органом соціального страхування.
Adóazonosító jel: 10-значний особистий податковий ідентифікатор. Формат: 8-значна основа плюс 2 контрольні цифри. Зустрічається в платіжних відомостях, податкових деклараціях та трудових договорах.
Személyi igazolvány number: номер національного посвідчення особи. Формат і правила контрольної цифри відповідають вимогам органу-емітента.
Útlevél szám: номер паспорта. Формат і контрольна цифра також регулюються правилами органу-емітента.
Контекст Ügyfélkapu
Угорщина надає більшість державних послуг через єдину платформу — Ügyfélkapu (Клієнтський шлюз). Понад 4 мільйони громадян користуються нею для оподаткування, пільг, охорони здоров'я та ліцензування. Приватні компанії підключаються до Ügyfélkapu для розрахунку зарплати, виплати пільг або перевірки особи. Ці компанії обробляють ті самі ідентифікатори в регульованому контексті.
Регулятор виявив, що такі компанії часто використовують міжнародні інструменти для роботи з персональними даними. Більшість із них не підтримують наведені вище ідентифікатори. Це призводить до пропуску даних і прямого ризику невідповідності вимогам.
Перетин з Регламентом ЄС про ШІ
Угорщина першою інтегрувала правила Регламенту про ШІ в настанови DPA. Позиція регулятора є чіткою.
Системи ШІ з високим ризиком перелічені в Додатку III Регламенту про ШІ. Вони охоплюють зайнятість, кредитний скоринг та надання основних послуг. Вони вимагають як оцінки відповідності за Регламентом про ШІ, так і DPIA NAIH.
Моделі ШІ загального призначення, що обробляють дані осіб в Угорщині, також потребують DPIA NAIH. Це застосовується навіть тоді, коли модель не визначена як високоризикова за Регламентом про ШІ.
Для команд, що розгортають ШІ в Угорщині, основний контрольний список складається з трьох пунктів. Завершіть DPIA NAIH до запуску. Переконайтесь, що ваш інструмент NER охоплює наведені вище сутності в угорських текстах. Підтвердіть виявлення TAJ-szám та adóazonosító jel із перевіркою контрольної суми.