🔥 😎 AIG.Club: Мастер-класс от Дмитрия Кутейникова - «ИИ-агенты: на третьем круге регулирования?»

От систем и моделей – к агентам: регуляторные подходы и стратегия комплаенса

📎 Когда: 18 марта в 19:00 (мск)

📱 Формат: бесплатно, онлайн, Zoom

💬 Спикер: Дмитрий Кутейников - юрист и исследователь в сфере AI Governance, к.ю.н., партнёр и лектор RPPA (курс AI Governance), автор тг-канала howtocomply_AI: право и ИИ

✏️ На мастер-классе мы обсудим:

✅ Что представляет собой ИИ агент с регуляторной точки зрения и почему в этой сфере пока отсутствует единый подход
✅ Какие специфические риски возникают при разработке и применении ИИ-агентов
✅ Какие регуляторные требования уже сегодня могут быть релевантны для операторов ИИ-агентов
✅ На какие аспекты следует обратить внимание бизнесу, разрабатывающему или использующему ИИ-агентов
✅ Прогноз развития регуляторных подходов на ближайший год

🔜 Регистрация: с помощью нашего комьюнити-бота - @rppa_community_bot

(Возник вопрос - пиши @yurovvaa)

📌 Образовательный курс AI Governance | сообщество AIG

RPPA.pro | RPPAedu.pro | AI Governance

🔡🔡 RPPA.pro приглашает тебя насладиться итальянской кухней от наших партнеров Privacy Kitchen!

🔥 27 марта мы снова собираемся на Privacy Kitchen - месте, где хорошая кухня встречается с хорошим правом, а разговоры о персональных данных проходят под аромат свежей лазаньи.

💬 В этот вечер мы, как настоящие итальянцы, будем делать всё правильно:
готовить, обсуждать, слушать музыку и немного спорить — но обязательно со вкусом.

В программе вечера:

🍝 Кулинарный мастер-класс от Дмитрия Величко (DPO Евросиб)

Приготовим настоящую лазанью - разберём рецепт, нюансы и маленькие секреты, чтобы всё получилось идеально.
(И да, постараемся обойтись без жертв на кухне — даже если очень захочется что-нибудь… слегка поджарить.)

🔐 Практический разговор о серьёзном
За правовую часть вечера отвечают Александр Попов (DPO) и Евгений Буйволов (Deputy Head of SOC в ITGSecurity).

Обсудим без лишней теории:

🔘как определяется вина оператора при утечке персональных данных;

🔘на что обращают внимание при проверках Роскомнадзора;

🔘какие меры стоит предусмотреть заранее, чтобы снизить риски.

🌟 За атмосферу вечера будут отвечать:

🔘Ернат Махамбетов (специалист по ПДн в Т1 / ГК Иннотех)

🔘Анна Тетерина (специалист по ПДн в международной логистической компании)

🎼 Пока мы готовим и обсуждаем право, в зале будет играть винил — немного итальянской классики, немного старого джаза и хорошего настроения.

📸И, конечно, в память о вечере каждый гость сможет унести с собой настоящую фотокарточку с Polaroid — маленький, но тёплый сувенир этого вечера.

Как в хорошей итальянской кухне — минимум лишнего, максимум смысла.

Будет вкусно, полезно и по делу.

📌 27 марта в 19:30

📎 Ссылка на регистрацию

Если за вас платит компания — можем выставить счёт.

💳 При оплате через сервис доступна оплата через Яндекс Сплит.

Обращаем ваше внимание, что RPPA.pro не несет ответственность за организацию и оплату мероприятия.

RPPA.pro | RPPAedu.pro | СС

😎💫Privacy Engineering:Кнопка “Удалить аккаунт”: работает ли она на самом деле? 🗑🔍

📱Автор: Елизавета Дмитриева

Вы приходите в компанию и - о чудо - видите в приложении кнопку «удалить аккаунт». Первая мысль: «у нас всё в порядке, мы соблюдаем права субъектов».

А потом, внезапно, прилетает запрос на удаление данных, который нужно провести вручную. На бумаге. С паспортом. Почтой России. И тут появляется закономерный вопрос: а что же действительно происходит под этой кнопкой?
Разберём, на какие технические моменты стоит смотреть в первую очередь (если вы первый и единственный DPO - скорее всего, сюрпризы будут).

Кто перед нами 👤

Верификация пользователя - отправная точка.

Как понять, кто написал? Какими данными уникально характеризуются ваши субъекты? Чаще всего это телефон, подтверждённый email или данные, оставленные при регистрации. Во внутренних системах на их основе создают уникальные ID. Всё остальное - косвенные признаки, которые могут помочь, но ничего не гарантируют.

Где искать? Внутренние базы с интерфейсами поиска.
Что учитывать? Совпадения, фрод, не-владение аккаунтом и данными и другие риски.

Уверены ли мы ⚠️

Хорошо там, где при добавлении кнопки подумали, что может блокировать удаление: активный заказ, долг, обращение в поддержку, возврат.
Иначе удаление может войти в конфликт с бизнес-процессами и сделать компании хуже.

Уверен ли пользователь 😅

Пользователи - эмоциональны. Опоздал заказ - и вот уже хочется нажать «удалить всё».
Важно убедиться, что человек понимает последствия. Иногда нужно дать паузу и возможность отменить решение. Но при этом, на уровне системы нужно уметь отличать активного пользователя от находящегося на удалении, чтобы не создать новых блокеров, при которых удаление станет невозможным.

Что происходит дальше 🔎

Если вы из тех DPO, кто всё проверяет на себе - создайте аккаунт, удалите, зайдите снова… Новый чистый профиль выглядит красиво. Но не спешите радоваться.
Зайдите во внутренние системы и попробуйте найти там себя.
Если не нашли - посмотрите в базах данных или запросите выгрузку из них. Если не нашли и там - проверяйте глубже и смотрите аналитические хранилища.
Есть ненулевая вероятность, что вы встретите свой профиль на самом первом шаге. Чем дальше система от пользовательского интерфейса, тем выше шанс наткнуться на «хвосты».
«Не видно - значит, не было» - знакомая картина, если релиз торопили, AppStore блокировал новую фичу, а нормального ТЗ так и не появилось.

Как исправлять 🛠

Чтобы удаление работало корректно, предстоит длинный путь: инвентаризация источников и обрабатываемых данных, выбор архитектуры удаления, обработка исключений, пользовательский путь, бизнес- и технический мониторинг и другие задачи. Это много месяцев работы и неожиданных открытий на пути.

Если вы хотите пройти этот путь с пониманием, как оно устроено, что спрашивать у аналитиков и разработчиков, к чему готовиться и какие нужны ресурсы - об этом мы подробно говорим в курсе Privacy Engineering. Преподаватели уже ели этот кактус и знают, как объяснить приготовление этого блюда вам и вашим коллегам.

Мы стартуем 01 апреля, а также ведем набор на осенний поток.

Пусть c началом весны работающего удаления станет больше - а ночей, когда DPO спит спокойно, тоже 🌙✨

✏️Серия наших аналитических инжиниринг постов:

🟣Что сервисы знают о нас на самом деле от Елизаветы Дмитриевой
🟣Как выбирать контроль: договориться или «зашить в код»? от Олега Блинова

📱Cybersecurity: Большинство уязвимостей — это не “сложный хак”, а вполне банальные ошибки.

РЕГИСТРАЦИЯ

📌 По данным практики пентестов, значительная часть взломов происходит из-за:

🟡открытых портов, о которых “забыли”;
🟡слабой логики авторизации;
🟡простых инъекций, которые никто не проверил

И да — это встречается даже в крупных сервисах.

Поэтому мы сделали практикум по пентесту сайта (cyber + legal) — без воды и “страшных слов”, а с реальной практикой.

Что будет:

🍋‍🟩посмотрите, как реально сканируют инфраструктуру;
🍋‍🟩поймёте, как находят уязвимости;
🍋‍🟩сами попробуете провести базовые атаки;
🍋‍🟩увидите результат своими руками (а это всегда самый сильный инсайт)

📄Формат: оффлайн
📍Место: 2-я Брестская, 48, 13 этаж. Офис наших друзей из hh.ru
🗓Дата: 24 апреля 19:00

МК ПТ | Cyber in Privacy | МК МУ

🔡🔡 Мы рады сообщить, что являемся инфо-партнером Конференции Юридическая ночь ошибок: опыт сильных. Legal fuck up night

⚡️ Такие форматы — редкость для юридического рынка, но именно они дают практическую ценность.

🔜 Ошибки — это не слабость, а источник профессионального роста и управленческих инсайтов. Рекомендуем к посещению тем, кто хочет говорить о праве честно и без глянца.

📎 23 апреля в 15:00

📌 Бункер-42, Москва, 5-й Котельнический пер., 11

👇Legal Fuck Up Night — уникальная конференция на юридическом рынке, где представители бизнеса, консультанты и инхаусы выходят на сцену не только для того, чтобы рассказывать про успешный успех,  а чтобы откровенно поделиться  про свой не всегда простой путь, о провалах и о том, как именно они превращали их в рост.

🔥 В программе:

🔘IP Failures: уроки дорогих ошибок
🔘PR-Титаник: айсберги медийных факапов
🔘Юрист в кресле управленца: инструкция по факапам
🔘Маркетинг катастроф: истории слитых бюджетов
🔘Рекрутинг, который пошёл не по плану

💬 Спикеры:

🟡Игорь Шомас (руководитель группы социальных проектов и мероприятий VK)

🟡Борис Герасин (руководитель патентного направления Сбербанка)

🟡Алексей Шорин (руководитель юридического департамента «ТЕХНОНИКОЛЬ»)

🟡Анна Войцехович (директор департамента управления правовыми рисками МТС)

🟡Максим Извеков (глава юридической функции TMH Group)

🟡Дмитрий Перепечин (руководитель судебно-претензионной практики «Вайлдбериз», ex-директор департамента суд. практики Росбанка)

🟡Андрей Лебедев (Директор по стратегическим проектам Департамента транспорта Москвы, ex-директор по правовым вопросам и управлению интеллектуальной собственностью "Московский метрополитен")

🟡Дмитрий Утукин (CEO кадрового агентства Magic Staff)

🟡Наталья Антипова (CEO KEUNE RUSSIA, СЕО Международной академии KEUNE DESIGN, основатель сети салонов красоты «Амстердам», Президент бизнес-клуба ФАНАТЫ)

🌟 Факапы остаются в бункере. Опыт — уходит с вами на поверхность.

📌КУПИТЬ БИЛЕТ МОЖНО ТУТ

😎 📸 Новая AMA-сессия сообщества Work in IP!

📌Продолжаем говорить на актуальные темы в сфере интеллектуальной собственности с приглашенными спикерами!

💫 Наш новый гость — Илья Чамуха:

🔘 Руководитель юридической фирмы Sample Legal
🔘 Преподаватель НИУ ВШЭ, сооснователь сообщества Юристов музыкальной индустрии
🔘 Оказывает правовое сопровождение крупным артистам (Скриптонит, Сироткин, Диана Арбенина и др.), лейблам и дистрибьюторам

💬 Обсудим, как трансформировалось юридическое сопровождение музыкальной индустрии под влиянием новых ограничений, требований о русификации и появления ИИ-исполнителей

💫 Когда: 19 марта в 19.00 (МСК), 1,5 часа

💫 Где: онлайн, Zoom (ссылку направим перед началом мероприятия)

📎 Регистрация: с помощью нашего комьюнити-бота - @rppa_community_bot

(Возник вопрос - пиши @sviatdoronin)

📌Cообщество Work in IP

RPPA.pro | RPPAedu.pro | IP and Innovations | CC

☀️🌸 Privacy.Seasons от Comply врываются в ленту RPPA!

🔥 Privacy.Seasons – это серия подкастов, где легенды премии The Department от Legal Insight в номинации «Эффективная защита ПД» делятся лучшими практиками и реальными кейсами.

🌟 Никакой теории – только рабочие инструменты, инсайты и ответы на вопросы, которые обычно остаются за кадром.

💬 Ведущие неизменны и прекрасны:

🔘Артем Дмитриев, управляющий партнер Comply

🔘Екатерина Ефимова, руководитель направления ПД ГРЧЦ Роскомнадзор

📌В третьем выпуске в гостях – Екатерина Егорова, руководитель правового управления по вопросам ПД Точка Банка.

▶️Обсудили то, что реально работает или многих волнует:

🔘обязательное корпоративное обучение,
🔘спецоператоры ПД,
🔘сервис аналитики веб-сайтов,
🔘сервис отзыва согласий,
🔘использование законного интереса,
🔘получение мультиоператорских согласий.

Обсуждать защиту данных не как
абстрактные обязанности, а как живые процессы, встроенные в продукт, – вот что действительно двигает индустрию вперед. Рада, что в этом выпуске сошлись и экспертиза, и открытость, и желание быть полезными коллегам по цеху.

🟡Екатерина Егорова, Точка Банк

Если вы еще не смотрели первые выпуски – очень рекомендуем наверстать. Там Альфа-Банк и Авито с невероятной экспертизой.

📎Смотреть и слушать третий выпуск:

⏩YouTube
⏩Rutube
⏩Mave
⏩Telegram

📌🆕 AIG.Club by RPPA.pro х ilovedocs. Экспертный обзор проекта ФЗ об ИИ в РФ «Об основах регулирования сфер применения технологий ИИ»

🔥 Разбираем проект закона об ИИ - что в нём уже заложено и как это может повлиять на практику?

💬 Спикеры:

*️⃣ Павел Мищенко - сооснователь Рунетлекс Академии
*️⃣ Анастасия Сковпень - юрист в сфере интеллектуальной собственности, член AIPPI, партнер и лектор RPPA, автор тг-канала "вычислить по IP"
*️⃣ Дмитрий Кутейников - юрист и исследователь в сфере AI Governance, к.ю.н., партнер и лектор RPPA, автор тг-канала "howtocomly_AI: право и ИИ"
*️⃣ Александр Партин - соучредитель RPPA.Офис, партнер и лектор RPPA, со-председатель Privacy & Legal Innovation кластера РАЭК, член рабочей группы РАЭК по ИИ, сертификаты IAPP: CIPP/E, CIPM

📎 Когда: 24 марта в 19:00
📱 Формат: онлайн, Zoom
🔜 Регистрация: с помощью нашего комьюнити-бота - @rppa_community_bot

(Возник вопрос - пиши @yurovvaa)

📌 Образовательный курс AI Governance | сообщество AIG

RPPA.pro | RPPAedu.pro | AI Governance

▶️В апреле выходит книга "Юристы и нейросети: руководство к действию"

📌 Первый тираж вышел в Актионе в прошлом году. Теперь к авторам присоединились Александр Партин и Екатерина Якуненко. Александр раскрыл вопросы регулирования, а Екатерина написала про вайб-кодинг. Первоначальные авторы дополнили и обновили свои главы.

Вот полный список тем в книге:

🟡Как работают нейросети
🟡Какие принципы
взаимодействия с ИИ
🟡Как делать хорошие промпты
🟡Какие сценарии применения в работе существуют
🟡Как вайбкодить
🟡Как соблюдать этику и конфиденциальность
🟡Какие вопросы регулирования вызывает ИИ
🟡Что будет с юр профессией.

Кажется, осветили все актуальные вопросы использований нейросетей на текущий момент.

⭐️Авторы: Павел Мищенко, Александр Партин, Михаил Тевс, Степан Леонтьев, Владислав Кальмуцкий, Ян Стригов, Екатерина Якуненко.

Ссылки на предзаказ:
OZON — Читай-город — Буквоед

😎📕В нашем чате недавно завершившегося продукта Level UP: IT возник практический вопрос:

«Чья политика должна быть размещена на сайте группы компаний и кого считать оператором ПДн, собираемых через такой сайт?»

На первый взгляд, задача кажется простой: сайт один, группа одна, консолидатор (компания, которая отвечает за ведение сайта для всей группы) определен внутренними документами.

Однако, при анализе быстро проявляется разрыв между юридической конструкцией и реальной технической имплементацией.

Чтобы корректно установить оператора, важно понимать как устроен современный сайт с технической стороны и какие лица фактически участвуют в обработке данных.

Как думаешь, кто в таком случае может быть оператором? Компания-владелец домена или та, что размещает контент на сайте? Или другой вариант?👇

Ответ закинем чуть позже;)

Level UP | Cyber in Privacy | RPPA.pro

Продолжаем: чья политика конфиденциальности должна быть на сайте?

Чтобы понять, кто оператор данных, нужно посмотреть на сайт с технической и юридической сторон. И здесь начинается самое интересное.

1. Технический взгляд: как устроен сайт на уровне слоев

1️⃣Frontend
Интерфейс, формы, тексты, согласия, UX. Здесь осуществляется первичный сбор данных.

2️⃣Backend
Серверная часть, логика обработки, базы данных, API. Здесь данные хранятся и используются.

3️⃣Домен
Управление адресом и DNS. Формально может принадлежать одному лицу, но не обязательно совпадает с оператором.

4️⃣Хостинг
Физическое или облачное размещение сайта. Может находиться у третьего лица или за рубежом.

5️⃣Логи и телеметрия
Фиксация действий пользователей и событий системы — отдельный источник данных.

6️⃣Куки, пиксели, аналитика
Трекинг и передача данных третьим лицам; часто формируют фактический маршрут данных.

После такого анализа становится очевидно, что технически сайт нельзя рассматривать как единый объект. Это система, состоящая из нескольких слоев, и в каждом из них могут участвовать разные субъекты.

2. Юридические критерии: кто считается оператором ПДн, собираемых на сайте?

Если смотреть на нормы закона, отправная точка такая:

1️⃣П. 2 ст. 3 152-ФЗ:

«оператор — лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»

2️⃣Ч. 2 ст. 18.1 152-ФЗ:

«оператор, осуществляющий сбор персональных данных с использованием … сетей, обязан опубликовать в соответствующей … сети, в том числе на страницах … сайта, документ, определяющий его политику в отношении обработки персональных данных»

📌Отсюда базовый вывод:

Юридически оператором считается лицо, которое (а) определяет цели сбора и состав собираемых данных и (б) организует или осуществляет их сбор через сайт.

📌А как на практике совместить эти два взгляда?
Пиши свои идеи 👇

Level UP | Cyber in Privacy | RPPA.pro

(Продолжаем разбирать, чья же политика конфиденциальности должна быть на сайте группы компаний)

Мы уже посмотрели на сайт с технической и юридической стороны. А теперь — практический алгоритм, как определить оператора по закону.

🟣Шаг 1 — смотрим на то, кто официально заявлен владельцем сайта.

П. 17 ст. 2 149-ФЗ определяет владельца сайта как лицо, которое самостоятельно и по своему усмотрению определяет порядок использования сайта.

Это понятие пересекается с понятием оператора ПД, потому что тот, кто определяет порядок использования сайта, обычно определяет цель и состав собираемых через сайт данных.

При этом важно, что владелец сайта:

🟣не обязательно правообладатель домена;
🟣не обязательно правообладатель контента;
🟣не обязательно правообладатель сайта как нематериального актива или объекта интеллектуальной собственности.

Ключевой критерий — реальный фактический контроль. Владелец сайта — это тот, кто в итоге решает как работает и используется сайт: в частности, как выглядит его интерфейс, как построен его UX, какие данные собираются, как обрабатываются, что может размещаться, а что нет, какие функции доступны, иное.

Обычно, в соответствии с ч. 2 ст. 10 149-ФЗ, владелец сайта сам обязан указать сведения о себе на сайте. Но на практике это соблюдается не всегда. В таком случае для определения владельца сайта используется другой подход.

🟣Шаг 2 — если владелец не указан на сайте, включается судебная презумпция.

Пленум ВС РФ № 10 от 23.04.2019 (п. 78) разъяснил:

«при отсутствии иных данных владельцем сайта презюмируется администратор доменного имени, адресующего на сайт»

Эта презумпция:
🟡опровержимая;
🟡заменяется иными доказательствами реального фактического контроля над сайтом (логи, договоры, показания, фактические действия, которые говорят о том, что сайт контролирует кто-то еще);
🟡формально была дана в разъяснение части 4 ГК РФ, но может применяться судами и надзорными органами по аналогии к процессам, связанным с обработкой ПД.

❗️Итого — два сценария:

1️⃣Если владелец указан на сайте — он рассматривается как контролирующее лицо и, скорее всего, будет признан оператором ПД, собирающихся через сайт.

2️⃣Если владелец не указан — по умолчанию им (и потенциальным оператором) будет считаться администратор домена. Но это опровержимая презумпция — её можно изменить договорами, логами, платежами за сайт и другими доказательствами реального контроля.

📌На практике: Проверить администратора домена часто можно через сервис WHOIS. Но если данные на сайте и в WHOIS различаются, приоритет, скорее всего, будет у сведений, размещённых на самом сайте

Level UP | Cyber in Privacy | RPPA.pro

🔥 😎 AIG.Club: Мастер-класс от Дмитрия Кутейникова «ИИ-агенты: на третьем круге регулирования?»

📌 Запись VK | YouTube

18 марта прошел мастер-класс Дмитрия Кутейникова, посвященный переходу от моделей и систем к агентному ИИ и тому, как на это будет реагировать регулирование

💬 О чём говорили:

🔘 Третий круг регулирования. Регулирование эволюционирует: системы ➡️ модели ➡️ агенты

🔘 Что такое ИИ-агент. Агент - это не просто модель, а система, которая:
*️⃣ действует автономно
*️⃣ использует инструменты
*️⃣ разбивает задачи и делегирует их

🔘 Мультиагентные системы. Современные решения - это поиск ➡️ извлечение ➡️ анализ ➡️ контроль качества

⏩Главный тезис: ценность создаётся не одной моделью, а их взаимодействием.

🔘 Почему не один агент. Разделение на микрозадачи даёт:
*️⃣ управляемость
*️⃣ предсказуемость
*️⃣ контроль качества

🔘 Риски агентного ИИ
*️⃣ автономные действия
*️⃣ доступ к внешним системам
*️⃣ сложность контроля

🔘 Комплаенс усложняется. Появляется цепочка ролей: модель ➡️ агент ➡️ интегратор ➡️ оператор

🔘 Что дальше?
*️⃣ классификация агентов
*️⃣ новые стандарты
*️⃣ развитие практики ответственности

✔️ Итог: агентный ИИ - это переход от инструмента к «исполнителю». А значит - новый уровень рисков, архитектуры и комплаенса

📎 Полные тезисы и материалы мастер-класса будут опубликованы на страничке нашего сообщества

📌 Образовательный курс AI Governance | сообщество AIG

RPPA.pro | RPPAedu.pro | AI Governance