Сенаторы хотят запретить продажу медицинских данных пользователей ИИ-компаниями

Сенаторы хотят запретить продажу медицинских данных пользователей ИИ-компаниями

Сенатор Элизабет Уоррен (D-MA) и представительница Конгресса Мэри Гэй Сканлон (D-PA) планируют представить обновленную версию закона Health and Location Data Protection Act, адаптированную под реалии эпохи ИИ. Первоначальный вариант закона от июня 2022 года запрещал только брокерам данных собирать и продавать такую информацию; новая версия расширяет запрет и на саму продажу этих данных другими компаниями и специально охватывает данные, вводимые в ИИ-системы.

Причина срочности ясна: ИИ-компании активно разрабатывают медицинские продукты. В январе Илон Маск призвал пользователей загружать медицинские записи в Grok (чатбот xAI); OpenAI запустил ChatGPT Health (защищенная вкладка для загрузки медицинских данных) и ChatGPT for Healthcare для медучреждений; Anthropic ответила Claude for Healthcare как инструментом, готовым к HIPAA.

Однако при взломе или несанкционированном доступе пользователи остаются зависимы от компаний. По словам юристки Сары Геркe из Университета Иллинойса, защита данных в таких инструментах зависит почти полностью от того, что обещают сами компании в своей политике приватности и условиях использования. В США пока нет комплексного федерального закона о защите данных несмотря на годы попыток.

Предложенный закон спонсируют также сенаторы Рон Вайден (D-OR) и Берни Сандерс (I-VT). Он потребует от FTC принять правила в течение 180 дней; FTC, прокуроры штатов и пострадавшие лица смогут подать в суд для его исполнения. На его применение будет выделено $1 млрд в течение 10 лет.

Ключевые факты

  • Закон запретит ИИ-компаниям и другим фирмам продавать медицинские и геолокационные данные брокерам данных
  • Охватывает информацию, которую люди вводят в чатботы вроде ChatGPT, Claude и Grok
  • OpenAI, Anthropic и xAI недавно запустили ИИ-продукты для медицинского сегмента, стимулируя загрузку пользователями чувствительной информации
  • FTC получит $1 млрд на правоприменение в течение 10 лет и должна издать правила в течение 180 дней
  • Законом могут заняться FTC, прокуроры штатов и пострадавшие граждане через суд

Почему это важно

ИИ-компании активно вводят медицинские инструменты и просят пользователей загружать чувствительные здоровье. В условиях отсутствия федерального закона о приватности США пользовательские данные остаются в зоне риска, компании зависят только от собственных политик. Закон впервые специально адресует проблему продажи медицинских данных в контексте ИИ-систем, где концентрация информации может быть особенно велика.

Кому это важно

Пользователям ИИ-чатботов, загружающим медицинские записи или информацию о здоровье; медицинским учреждениям, внедряющим ИИ-инструменты; ИИ-компаниям (OpenAI, Anthropic, xAI) и компаниям, занимающимся продажей данных; регуляторам и министерствам здравоохранения, отвечающим за приватность пациентов.

Как это применить

Если вы используете ИИ-чатботы для медицинских целей, избегайте загрузки не обезличенных медицинских данных до принятия закона. Медицинские учреждения, которые планируют внедрять ИИ-инструменты, должны уточнять контрактные условия с поставщиками о гарантиях конфиденциальности и недопущении перепродажи данных. ИИ-компаниям потребуется пересмотреть политики приватности и бизнес-модели в отношении медицинских данных.

Можно ли доверять

Предложение исходит от авторитетных законодателей (Уоррен известна своей критикой корпораций, Сандерс, защитником прав потребителей) и спонсируется также Роном Вайденом, известным специалистом по кибербезопасности. Однако закон еще не принят: требуется преодолеть процедуру Конгресса, лоббирование ИИ-компаний и их сторонников. Установка 180-дневного срока для FTC указывает на серьёзность намерения.

Риски и подводные камни

Ширина охвата может затруднить исполнение (какие данные считаются медицинскими, только явно медицинские или и косвенные показатели здоровья через геолокацию, сердцебиение и т.д.?). Штраф в $1 млрд на 10 лет может показаться недостаточным для крупных компаний. Существует риск, что компании найдут лазейки через минимизацию истории загрузок или использование промежуточных сервисов. Кроме того, законопроект может столкнуться с сильным лоббированием как со стороны ИИ-компаний, так и брокеров данных.

«Это очень актуально, особенно когда все больше людей вводят свои приватные медицинские данные в ИИ-системы, нам нужно убедиться, что эта информация не эксплуатируется тем, кто готов больше всех за неё заплатить.»

— Сенатор Элизабет Уоррен