rusbase

Как AI-проектам защитить интеллектуальную собственность и обеспечить безопасность данных
в Швейцарии



Швейцария — страна, которая не боится экспериментировать с новыми технологиями и реализует масштабные проекты в области AI и Big Data. Всемирная организация интеллектуальной собственности (WIPO) не раз признавала ее самой инновационной страной в мире — в том числе потому, что здесь базируются исследовательские центры таких компаний, как Cisco, IBM и Google.

Искусственный интеллект в Швейцарии развивается уже не одно десятилетие: сегодня страна входит в топ-10 в мире по числу AI-стартапов на 1 млн жителей. Одна из ключевых причин успешного развития AI-технологий — наличие четко сформулированных федеральных законов и правил в области конфиденциальности и защиты данных в стране.

В этой статье вы найдете информацию о законах в области data protection в ЕС и Швейцарии, а также практические советы по защите данных и патентованию для компаний, работающих в сфере AI.
Защита данных в Швейцарии и странах ЕС
Big Data — поток структурированных и неструктурированных данных, которые собираются и анализируются для выявления закономерностей, тенденций и ассоциаций, в том числе связанных с поведением и взаимодействием людей. Это неотъемлемая часть аналитики любой компании, контролирующей или обрабатывающей большое количество информации, что относится в первую очередь к AI-проектам.

Бизнесу, который работает с большими объемами данных, необходимо придерживаться принципов data protection и data security.

• В случае с data protection речь идет о защите персональных данных, которые компании собирают и обрабатывают.
• Безопасность данных — data security — относится к уровню компьютерной безопасности, применяемой для защиты данных от несанкционированного доступа.
Швейцария, хотя и входит в Шенгенскую зону, не является членом ЕС и следует собственному законодательству. Тем не менее, компаниям, которые планируют развивать бизнес в Швейцарии, необходимо учитывать законы как этой страны, так и стран ЕС, поскольку:

  1. Швейцария ориентируется на европейские законы в области data protection и старается соотносить свою политику в вопросах защиты данных с политикой стран ЕС.
  2. Швейцарский бизнес, который планирует расширяться на европейский рынок или взаимодействовать с субъектами ЕС, должен соблюдать законодательство ЕС в области защиты данных.
Защита данных в странах ЕС
В 2018 году в 28 странах ЕС вступили в силу обновленные правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation). Этот регламент заменил рамочную Директиву 95/46/ЕС от 24 октября 1995 года.

Основным нюансом GDPR стал экстерриториальный принцип действия новых европейских правил: GDPR применяется ко всем компаниям, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от местонахождения этих компаний. Новый регламент предоставил резидентам ЕС инструменты для полного контроля над своими персональными данными.
«В соответствии с GDPR, субъекты данных идентифицируются путем ссылки на какой-либо параметр: имя, номер, данные о местоположении, онлайн-идентификаторы. Идентификатором может служить также одна из нескольких специальных характеристик, которые выражают физическую, физиологическую, генетическую, психическую, коммерческую, культурную или социальную идентичность конкретных юридической физических лиц».

Флориан Дюкоммэн
Партнер юридической швейцарской фирмы HDC
С 2018 года ужесточилась ответственность за нарушение правил обработки персональных данных: по GDPR штрафы достигают €20 млн (около 1,5 млрд рублей) или 4% годового глобального дохода компании.
Защита данных в Швейцарии
Защите данных швейцарцы уделяют пристальное внимание. Например, в Швейцарии госорганам для получения доступа к данным обязательно требуется решение суда.
«Согласно закону (Swiss Federal Data Protection Act) "персональные данные" обозначают всю информацию, касающуюся идентифицированного или идентифицируемого лица. Особенно жестко регулируются конфиденциальные (sensitive) персональные данные, которые затрагивают религиозные, политические, идеологические вопросы, здоровье, сексуальную ориентацию или расовую принадлежность, меры социального обеспечения, уголовное или административное производство. В случае обработки таких данных согласие субъекта должно быть получено специально».

Флориан Дюкоммэн
Партнер юридической
швейцарской фирмы HDC
В Швейцарии право на неприкосновенность частной жизни гарантируется статьей 13 Федеральной конституции Швейцарии. Швейцарский Федеральный закон о защите данных — Swiss Federal Data Protection Act (DPA) и Швейцарское федеральное постановление о защите данных — Swiss Federal Data Protection Ordinance вступили в силу в 1993 году. Последние поправки к этим законам были приняты в 2008 году. DPA применяется к обработке персональных данных частными лицами и федеральными государственными органами. Особенностью законодательства Швейцарии является то, что закон защищает персональные данные как физических, так и юридических лиц. «В данный момент федеральный закон о защите данных пересматривается и будет приближен к GDPR», — уточняет Флориан.

Федеральный уполномоченный Швейцарии по защите данных и информации (Swiss Federal Data Protection and Information Commissioner) осуществляет надзор за соблюдением федеральными правительственными учреждениями DPA, консультирует частных лиц по вопросам защиты данных, проводит расследования и выносит рекомендации в отношении практики защиты данных. Для трансграничной передачи данных в Швейцарии существуют особые требования. В частности, передача информации за рубеж в страны, которые не могут гарантировать необходимый уровень защиты, возможна только с согласия субъекта данных при наличии гарантий безопасности в контрактах между сторонами.

Действие DPA распространяется на швейцарские и любые другие иностранные компании, зарегистрированные в Швейцарии. В случае, если компания в Швейцарии обрабатывает данные субъектов в ЕС, к ней применимы правила GDPR. По словам Флориана Дюкоммэна, деятельность, подразумевающая обработку данных, включает в себя:

  1. предложение товаров и услуг субъектам данных в ЕС;
  2. отслеживание поведения этих субъектов.

Европейская комиссия имеет право на основании 45 статьи Regulation (EU) 2016/679 определять, какая страна, не являющаяся членом ЕС, предлагает адекватную защиту персональных данных. Швейцария является именно такой страной.
Безопасность данных в Швейцарии
Для создания действительно безопасной и ориентированной на конфиденциальность системы хранения данных важно не только то, какие технологии используются, но и где хранятся данные и расположены серверы. Швейцария является надежным центром хостинга данных и предлагает высокие стандарты в сфере защиты интеллектуальной собственности.

Страна располагает богатым ноу-хау в области шифрования данных. Такие швейцарские фирмы, как Crypto, Omnisec, Qnective или Adeya, являются ведущими игроками на мировой арене в сфере информационной безопасности. Год назад компания «Лаборатория Касперского» перенесла в Цюрих существенную часть инфраструктуры, включая «сборочную линию» программного обеспечения и серверы, на которых хранятся и обрабатываются данные Kaspersky Security Network.

Важную роль в вопросе хранения и безопасности данных играет хорошая доступность дата-центров с отлаженной серверной инфраструктурой, высокая скорость интернет-соединения, стабильное и недорогое электроснабжение, а также квалифицированные специалисты в сфере информационно-коммуникационных технологий (ИКТ). В 2016 году Швейцария заняла третье место среди 37 стран по индексу рисков для дата-центров. Индекс оценивает страны по пригодности территории к развертыванию дата-центров. Это свидетельствует о том, что в Швейцарии есть условия для долгосрочного и безопасного хранения данных.
Инструкция для AI-компании по защите персональных данных в Швейцарии
Самый ценный ресурс при работе с ИИ — данные, которые используются для машинного обучения. Для того, чтобы гарантированно соответствовать законодательству, Флориан Дюкоммэн рекомендует:
1
Разработать Политику конфиденциальности данных
Основные положения необходимо прописать в условиях договора с сотрудниками или обязательных корпоративных правилах (binding corporate rules).

Также компания обязана заключить внутригрупповые соглашения (intragroup agreements), в которых сформулированы правила внутреннего обращения с данными. Если иностранная компания хочет открыть подразделение в Швейцарии, нужно прописать в обязательных корпоративных правилах четкие условия о конфиденциальности, тем самым гарантируя, что материнская компания будет подчиняться швейцарским законам о защите данных при обработке личной информации граждан Швейцарии.
2
Включить в Политику конфиденциальности данных пункт о том, что вся собранная информация анонимизирована
Человек, послуживший источником данных, должен быть нераспознаваемым и неотслеживаемым, в противном случае такая информация будет считаться персональной и на нее будет распространяться действие закона о защите данных.
3
Позаботиться о защите баз данных
Компания должна держать базы данных в зашифрованном и конфиденциальном виде. Доступ к таким базам данных должен быть ограничен и тщательно защищен. Документы, содержащие информацию, связанную с ИИ, базами данных и/или алгоритмами, должны храниться в зашифрованном виде (с индивидуальным ключом) и в надежном месте: в банке или дата-центре четвертого, самого высокого уровня надежности. (ЦОД Tier 4 — это отказоустойчивый дата-центр с резервированием всех систем, характеризующийся повышенной отказоустойчивостью. Время простоя за год составляет 0,4 часа, а коэффициент отказоустойчивости равен 99,995% — Прим. Rusbase).
4
Тщательно прописать алгоритмы переработки данных
Переработка данных в случае, если бизнес-модель подразумевает лицензирование прав на интеллектуальную собственность или основывается на вызове API, может вызвать юридическую сложность. При каждом обращении к API AI-продукта плату получает его владелец. Такой тип модели лицензирования выгоден AI-компании, поскольку он предоставляет огромное количество данных для машинного обучения. В случае, если API программного обеспечения для машинного обучения «зашит» в AI-продукт, любой вызов API будет генерировать новые (в том числе анонимизированные) данные, которые могут использоваться для дальнейшего обучения моделей.
5
Прописать условия о выводе данных
Вывод данных из Швейцарии/Европейского экономического пространства требует дополнительных действий. Это может быть выдача особого согласия или подписание договора на передачу данных между швейцарским поставщиком и зарубежным получателем. Согласно DPA, персональные данные не могут быть раскрыты за рубежом, если это угрожает конфиденциальности субъектов данных. Поэтому при отсутствии согласия субъекта на такое раскрытие передача данных в страны, которые не считаются имеющими достаточный уровень защиты, осуществляется:

  1. на основе договорных положений (contractual clauses), которые обеспечивают необходимый уровень защиты за рубежом;
  2. на основе обязательных корпоративных правил (binding corporate rules), применимых к группе.
Кейс
Компания A, расположенная в Швейцарии, внедряет в свой AI-продукт API для машинного обучения, который разработан подрядчиком из России.

Компания A также контролирует данные, которые она собирает у клиентов из ЕС. Таким образом, компания должна соблюдать принципы GDPR.

Если собираемые компанией персональные данные не анонимизируются, сам факт вызова API в AI-продукте может считаться их обработкой, что попадает под GDPR. Российская компания в этом случае станет обработчиком данных, и соглашение о передаче данных (Data Transfer Agreement) на стандартных договорных условиях (Standard Contractual Clauses) должно быть заключено для соответствия европейскому законодательству. В том случае, если данные анонимизировы, российский подрядчик не будет считаться обработчиком данных.
Как AI-стартап может защитить свою технологию?
В Швейцарии бизнес часто сотрудничает с исследовательскими институтами и научными центрами. Вопрос, кому принадлежат полученные результаты работы и интеллектуальная собственность, закрепляется специальным контрактом перед началом сотрудничества. Согласно Швейцарскому законодательству, права полностью передаются компании, в то время как научный партнер имеет доступ к результатам работы. Благодаря такой схеме Швейцария входит в число стран-лидеров по количеству патентных заявок (по статистике Европейского патентного ведомства), а в пересчете на число жителей занимает первое место в мире.
Флориан Дюкоммэн объясняет: «В Швейцарии программное обеспечение (исходный код и конечная программа) защищено авторским правом. Подавать заявку на патент следует только в случае, если в основе программного обеспечения лежит какое-то изобретение. Патенты выдаются только на "компьютеризированные изобретения", то есть созданные с помощью компьютера, компьютерной сети или иного программируемого аппарата.

Алгоритмы, формулы и идеи, используемые в программе или как-либо с ней связанные, не подлежат защите или патентованию. Однако, если алгоритм применяется для решения технической проблемы, на него может распространяться патентная защита. Одна из ключевых составляющих патентоспособности, как и во многих других странах, в том числе и в России — "технический эффект" изобретения».
Алгоритмы также можно защитить с помощью коммерческой тайны. Для этого компания должна ввести внутренние нормативные документы и прописать в контрактах с сотрудниками и исполнителями жесткие правила, касающиеся соблюдения конфиденциальности. Срок действия коммерческой тайны не ограничен и зависит от условий контрактов.

Размер платы за оформление патента в Швейцарии, включая получение международного протокола об исследованиях, варьируется от 1,2 до 1,5 тысяч швейцарских франков, без учета стоимости услуг патентного поверенного. Патент распространяется на изобретение в течение 20 лет после выдачи при условии внесения компанией платежей за его продление и действует только на территории Швейцарии и Лихтенштейна.

Преимущества получения национального патента описывает на своем сайте Институт интеллектуальной собственности (IPI), который отвечает за патентные заявки в Швейцарии. Среди них — простота и дешевизна получения патента, возможность оценки инновационности изобретения с помощью Swiss Patent Application Search и гарантированная дата приоритета (в течение года вы можете доработать прототип и продемонстрировать техническую осуществимость изобретения, найти инвесторов, а также подать заявки на патент в других странах для формирования патентного семейства).
Три шага для получения
швейцарского патента на изобретение
Для того, чтобы получить патент, нужно:
1
Подать заявку в IPI
Необходимо предоставить не только запрос на оформление патента, но и техническую документацию. В список документов входит:

• описание изобретения, которое должно быть понятно специалисту в выбранной сфере;
• одно или несколько патентных притязаний, объясняющих сферу защиты;
• технические чертежи, иллюстрирующие описание изобретения;
• аннотация к патенту;
• имя изобретателя/изобретателей;
• любые приоритетные документы.

На первоначальном этапе IPI проводит формальную проверку заявления. Заявка публикуется на сайте Swissreg через 18 месяцев, если соблюдены все требования.
2
Обратиться за экспертизой к патентным экспертам IPI
Специалисты проверяют, соответствует ли техническая документация юридическим требованиям. Патентоспособно ли изобретение? Сможет ли специалист понять суть патентной заявки? Насколько ясно изложено содержимое патента? Знают ли заинтересованные лица (специалисты, общественность и, возможно, суд), что именно будет защищено патентом, согласно его условиям?
3
Получить патент
Если все требования выполнены, IPI выдает швейцарский патент и заносит юридический статус в патентный реестр. Информация публикуется на сайте Swissreg.
Кейс
Компания А разработала программное обеспечение, которое позволяет создавать 3D-модель производства, чтобы удаленно его контролировать. Хотя ПО позволяет получать технический результат, это всего лишь код, и потому по швейцарским законам на него нельзя получить патент.

Компания Б разработала программное обеспечение, которое способно ускорить и оптимизировать процесс производства. Эта программа — часть изобретения, которое позволяет полностью пересмотреть производственные процессы, поэтому ее можно запатентовать.
Полученный патент бизнес может коммерциализировать самостоятельно или продать (частично или полностью). Кроме того, патент можно лицензировать в этом случае владелец сможет получать отчисления за использование его изобретения сторонними компаниями.

В случае, если бизнес нацелен на международную экспансию, ему также имеет смысл подать заявки на:

  1. Европейский патент. Предприниматель может подать заявку непосредственно в Европейский патентный офис, расположенный в Мюнхене, в его филиалы в Гааге и Берлине, или же через IPI лично или по почте / электронным способом.
  2. Международный патент. В этом случае основатель AI-проекта может обратиться во Всемирную организацию интеллектуальной собственности (WIPO) в Женеве или же подать заявку через IPI. При подаче заявки электронным способом предприниматель выиграет на снижении комиссии.
Другие материалы проекта:

Как Швейцария стала хабом искусственного интеллекта
 Инструкция: как предпринимателям развивать AI-проекты в Швейцарии?
 Истории успеха: как российские предприниматели строят AI-бизнес в Швейцарии

Узнать, как зарегистрировать и вести бизнес в Швейцарии, можно из «Справочника инвестора» или у Швейцарского центра содействия бизнесу в России. Представители центра расскажут вам об особенностях развития бизнес-проекта в Швейцарии во время бесплатной консультации.
Эта публикация является частью специального проекта.
Нажмите на кнопку, чтобы узнать больше
На главную страницу проекта
Контакты Швейцарского центра содействия бизнесу в России для получения бесплатной консультации:

Комментарии

Зарегистрируйтесь, чтобы оставлять комментарии и получить доступ к Pipeline — социальной сети, соединяющей стартапы и инвесторов.