«Навіть якщо завтра приймемо закон, треба щонайменше три роки»: Максим Щербатюк про захист персональних даних
Україна повинна впровадити європейські норми із захисту персональних даних, який критикує частина експертів і бізнес....
09 July 2024
11.01.2024
У сучасному світі штучний інтелект (ШІ), або Аrtificial intelligence (AI) широко використовується в різних сферах людської діяльності, зокрема у сфері охорони здоров’я. Як штучний інтелект впливає на права людини у сфері медицини та чи загрожують інновації — дослідив юрист Центру стратегічних справ Української Гельсінської спілки з прав людини Максим Войнов.
Штучний інтелект завжди «на сторожі», він ніколи не спить, на відміну від людей. Тому впровадження точної медицини може стати простішим за допомогою ШІ. Система штучного інтелекту може зібрати і проаналізувати великий масив інформації, наприклад, повну історію хвороби пацієнта, дані про його аналізи за всі роки лікування, визначити поточний стан здоров’я людини. Ці дані швидко оброблюються «електронним мозком», що підвищує точність діагнозу, дозволяє лікарям своєчасно призначити відповідне лікування і навіть в деяких випадках врятувати людині життя.
Штучний інтелект може надавати пацієнтам медичні рекомендації цілодобово, на підставі історії хвороби, особистих потреб пацієнта або його уподобань.
У медичній практиці ШІ використовують у різних напрямках:
Над створенням продуктів з використанням штучного інтелекту для охорони здоров’я працюють розробники великих компаній, зокрема Microsoft, Apple, Google, IBM. За підрахунками аналітиків, таких компаній у світі вже більше 800.
Звісно, штучний інтелект – це не заміна людського досвіду, а інструмент, який дозволяє медичним працівникам заздалегідь і більш ефективно діагностувати небезпечні захворювання, ставити більш точні діагнози, проводити операції, розроблювати ліки.
Проте запровадження технологій штучного інтелекту в деяких випадках суттєво впливає на права людини і громадянина, зокрема це стосується і медичної галузі.
Слід мати на увазі, що використання ШІ, зокрема у сфері охорони здоров’я, пов’язане з певними проблемами і обмеженнями. У першу чергу це стосується доступності даних і конфіденційної інформації пацієнтів, упередженості цих даних, можливості постановки неправильного діагнозу, помилок в роботі ШІ тощо.
Штучний інтелект породжує кілька особливо важливих випробувань для реалізації права людини на недоторканність приватного життя і створює необхідність розробки додаткових нормативних актів щодо захисту даних.
З огляду на це, доцільним буде розглянути нормативно-правову базу ЄС, яка стосується обробки персональних даних за допомогою ШІ в медичній сфері та може слугувати орієнтиром для нормативного врегулювання зазначених питань в Україні.
Закон про штучний інтелект (AI Act) був першим нормативним актом Європейського Союзу, що регулює питання штучного інтелекту. Запропонований Європейською комісією 21 квітня 2021 року, він мав на меті запровадити спільну нормативно-правову базу, яка б встановлювала зобов’язання для провайдерів і користувачів та оцінку різноманітних технологій залежно від рівня ризику, пов’язаного зі штучним інтелектом. На даний момент цей нормативно-правовий акт ще остаточно не затверджено Європейським Парламентом.
7 червня 2022 року Керівний комітет Ради Європи з прав людини в галузі біомедицини та охорони здоров’я (CDBIO) опублікував звіт. У дослідженні розглядалися системи штучного інтелекту у таких відносинах з точки зору принципів прав людини, про які йдеться в Конвенції про захист прав і гідності людини щодо застосування біології та медицини 1997 року, також відомій як «Конвенція Ов’єдо». Також у звіті був досліджений потенційний вплив ШІ на права людини, в тому числі на повагу до приватного життя стосовно відомостей про стан здоров’я особи.
Відповідно до вказаного Звіту, однією з особливих проблем, яка є унікальною для ШІ й заслуговує на увагу, є використання даних пацієнтів для навчання і тестування систем штучного інтелекту. Конфіденційність у відносинах між лікарем і пацієнтом є ключовою цінністю для захисту права людини на недоторканність приватного життя. Водночас більш активна розробка, впровадження та використання систем штучного інтелекту в охороні здоров’я може призвести до зростання потреби у створенні або контролюванні масивів персональних даних реальних пацієнтів для навчання та тестування систем.
Інновації можуть загрожувати приватності та конфіденційності двома способами:
Таким чином, якщо існує обґрунтована потреба в реальних даних для тестування і навчання систем штучного інтелекту, необхідність в інноваціях і підвищенні ефективності та якості медичної допомоги повинна бути збалансована з індивідуальними інтересами пацієнта щодо недоторканності приватного життя і конфіденційності. Недотримання цього балансу загрожує підривом довіри між пацієнтами та постачальниками медичних послуг через нездатність захистити інтереси пацієнтів у сфері приватності та конфіденційності на інституційному рівні. Як мінімум, будь-яке перепрофілювання медичних записів пацієнтів для навчання і тестування систем штучного інтелекту повинно відбуватися із застосуванням достатніх методів деідентифікації та підвищення конфіденційності.
Іншим важливим правовим актом у сфері захисту персональних даних в медичній сфері є «Протокол про внесення змін до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних» (CETS № 223), який був ратифікований у жовтні 2023 року. Протокол вносить зміни до Зазначеної Конвенції (ETS № 108), при цьому особливе значення для ШІ в медицині мав перегляд статті 8 (нині стаття 9) Конвенції, яка надає фізичним особам різноманітні права на захист даних.
Так, згідно з Протоколом кожна особа має право:
На жаль, на цей час Україна все ще не підписала зазначений Протокол.
Багато з цих прав віддзеркалюють захист, передбачений Загальним регламентом про захист даних (GDPR), рамочним документом про захист даних, впровадженим Європейською комісією у 2018 році, включаючи обмежене право не бути об’єктом автоматизованого рішення, право на отримання інформації про обробку даних, а також право вимагати виправлення та видалення персональних даних.
Слід зазначити, що велика кількість технологій ШІ, в тому числі пов’язаних з медичною сферою, в кінцевому підсумку переходять під контроль приватних структур. Характер впровадження ШІ може означати, що такі корпорації, клініки та державні органи відіграватимуть більшу, ніж зазвичай, роль в отриманні, використанні та захисті інформації про здоров’я пацієнтів. Це порушує питання конфіденційності, пов’язані з впровадженням і безпекою даних.
Оскільки сам по собі ШІ може бути непрозорим для нагляду, часто буде необхідний високий рівень взаємодії з компаніями, які розробляють і підтримують цю технологію.
Таким чином, зосередження технологічних інновацій і знань у великих технологічних компаніях створює дисбаланс сил, коли державні установи можуть стати більш залежними і менш рівноправними партнерами у впровадженні технологій у сфері охорони здоров’я. Це створює ризик можливості передачі особистих медичних даних осіб між такими компаніями.
Ще однією проблемою у сфері захисту даних, яка виникає при використанні ШІ в медичній практиці, є можливість автоматизованого прийняття рішень системами ШІ, які спричиняють правові наслідки, що впливають на фізичних осіб. У медичній практиці ШІ ухвалюватиме чимало рішень, які матимуть значні правові наслідки для суб’єктів даних.
Наприклад, у діагностиці захворювань ШІ потенційно може стати основою для прийняття рішення про те, що людина не може працювати на певній посаді за фізичними або медичними показаннями. Щоб відповідати вимогам законодавства про захист даних, суб’єкти даних повинні отримувати повну інформацію про діяльність з обробки даних, а також логіку, якою керувалася система ШІ при прийнятті рішення.
Процес прийняття рішень алгоритмами повинен бути доступним для пояснення, щоб суб’єкти даних, на яких поширюються такі рішення і чиї законні права будуть порушені в процесі, могли за допомогою такого пояснення зрозуміти логіку, що лежить в основі рішення, яке було прийнято проти них. Отже, необхідно інтегрувати в коди алгоритмів ШІ достатні засоби і процеси, які дозволяють пояснити процес прийняття рішень системами ШІ, які будуть використовуватися в медичній практиці.
Зважаючи на великий обсяг медичних даних, які обробляються ШІ, необхідно стандартизувати технічні та організаційні заходи, можливо, шляхом прийняття єдиних заходів для конкретних видів діяльності з обробки, щоб забезпечити захист персональних даних у медичному просторі.
Цього можна досягти шляхом створення органу сертифікації, який відповідатиме за регулювання систем штучного інтелекту, призначених для використання в цій сфері. Такий орган розробить необхідні запобіжні заходи, які, з урахуванням відповідних положень GDPR, достатньою мірою гарантуватимуть безпеку та права доступу до персональних медичних даних.
Щодо України, впровадження систем ШІ в медичній сфері наразі перебуває на початковому етапі та потребує подальшого законодавчого врегулювання.
В грудні 2020 року розпорядженням Кабінету Міністрів України була схвалена «Концепція розвитку штучного інтелекту в Україні», відповідно до якої визначаються мета, принципи та завдання розвитку технологій штучного інтелекту в Україні як одного з пріоритетних напрямів у сфері науково-технологічних досліджень.
Штучним інтелектом, відповідно до Концепції, є сукупність інформаційних технологій, яка дозволяє виконувати складні комплексні завдання.
Законодавство України про охорону здоров’я базується на Конституції України і складається з ЗУ «Основи законодавства України про охорону здоров’я», інших актів законодавства, що регулюють суспільні відносини в медичній сфері і міжнародних договорів України, згода на обов’язковість яких надана Верховною Радою України.
Електронною системою охорони здоров’я є інформаційно-комунікаційна система, яка забезпечує автоматизацію ведення обліку медичних послуг і управління інформацією медичного характеру, і яку також можна віднести до системи ШІ.
«Доступ до відомостей про пацієнта, що містяться в електронній системі охорони здоров’я, можливий лише у разі отримання згоди такого пацієнта (його законного представника) у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Без згоди доступ до відомостей про пацієнта можливий лише: за наявності ознак прямої загрози життю пацієнта; за рішенням суду» (стаття 24 ЗУ «Основи законодавства України про охорону здоров’я).
За вчинення порушення прав приватних осіб, зокрема за розголошення лікарської таємниці чи відомостей про проведення медичного огляду пацієнта без його згоди, працівники закладів охорони здоров’я можуть бути притягнуті до цивільно-правової або дисциплінарної відповідальності.
Об’єктом притягнення до цивільної відповідальності, яка полягає у відшкодуванні завданої матеріальної і моральної шкоди, є цивільно-правові відносини між:
Однією з останніх законодавчих ініціатив, які стосуються використання ШІ, в тому числі в медичній сфері, є Законопроєкт №8153 «Про захист персональних даних». Ціллю розробки цього законопроєкту було приведення норм українського законодавства до міжнародних стандартів. Цим законопроєктом було деталізовано принципи обробки персональних даних, вимоги до згоди на обробку персональних даних, які забезпечують уникнення зловживаннями та маніпуляціями, визначено обов’язки контролерів та операторів персональних даних, а також запроваджено фінансову відповідальність та адміністративні санкції до контролера або оператора за порушення права на захист персональних даних.
Отже, застосування Штучного інтелекту в медичній галузі може врятувати людське життя, однак, з іншого боку, ШІ створює нові ризики та виклики, пов’язані з порушенням прав людини. Тому необхідно розробляти та застосовувати ефективне правове регулювання системи Штучного інтелекту на національному і міжнародному рівнях.
Автор: Максим Войнов, юрист Центру стратегічних справ Української Гельсінської спілки з прав людини
Підписуйтесь на сторінки УГСПЛ у соціальних мережах:
Facebook | Instagram | Telegram юридичний | Telegram з анонсами подій | Twitter | Youtube
Матеріал підготовлено за підтримки Європейського Союзу та Міжнародного Фонду «Відродження» в рамках спільної ініціативи «Європейське Відродження України». Матеріал представляє позицію авторів і не обов’язково відображає позицію Європейського Союзу чи Міжнародного фонду «Відродження».
Якщо помітили помилку на сайті, будь ласка, виділіть текст та натисніть ctrl-enter.
Україна повинна впровадити європейські норми із захисту персональних даних, який критикує частина експертів і бізнес....
09 July 2024
14 квітня у Медіацентрі Україна — Укрінформ відбулася презентація досліджень Української Гельсінської спілки з прав...
15 May 2024
Технології є частиною світу, в якому ми живемо, і важливим елементом майже кожного аспекту нашого...
14 May 2024
Під час війни люди обмежені у реалізації своїх прав. Право на приватність – не виняток....
14 May 2024