Atzinums

Projekts ir izstrādāts saskaņā ar Mākslīgā intelekta centra likumu un atbilstoši tā 8. panta otrās daļas ceturtajam teikumam speciālās regulatīvās vides ietvaros radītās mākslīgā intelekta sistēmas izstrāde un pārbaude nedrīkst apdraudēt valsts, sabiedrības, vides vai saimnieciskās darbības drošību vai cilvēku veselību un dzīvību. Likuma 8. panta piektajā daļā Ministru kabinets ir deleģēts cita starpā noteikt kārtību, kādā Mākslīgā intelekta centrs (turpmāk – Centrs) veic speciālajā regulatīvajā vidē iesniegto projektu iesniegumu atlasi, bet projektā nav regulēts, kā Centrs šo prasību nodrošinās. Lai minētā drošības prasība nepaliktu deklaratīva, projektā ir jāparedz tās īstenošanas mehānisms.
No projekta 14. punkta un projekta izziņas tabulas 43., 95. punktā ietvertajiem VARAM komentāriem kontekstā ar likuma 9. panta pirmo daļu ir secināms, ka datus no valsts informācijas sistēmām Centrs mākslīgā intelekta sistēmas izstrādes nolūkiem var saņemt bez ierobežojumiem, respektīvi, datu pārzinis nav tiesīgs atteikties prasītos datus izsniegt. Šī iemesla dēļ projektā tiešā tekstā būtu paredzams, ka Centrs kā atbildīgā institūcija par speciālās regulatīvās vides darbību vērtē pieprasīto datu ieguves un izmantošanas ietekmi uz valsts, sabiedrības un indivīdu drošību dažādos tās aspektos, nepieciešamības gadījumā pieprasot valsts iestāžu atzinumus atbilstoši to kompetencei.
 

-

Saskaņā ar Mākslīgā intelekta centra likuma 8. panta otrās daļas otro teikumu Centrs, pieņemot lēmumus saistībā ar speciālo regulatīvo vidi, ņem vērā kompetento institūciju ieteikumus un iebildumus attiecībā uz speciālās regulatīvās vides izveidi un darbību. Turpretī projektā Centra un kompetento iestāžu sadarbības kārtība regulēta, vienīgi 12. punktā nosakot, ka Centrs iesniegto projektu iesniegumus pēc sākotnējas izvērtēšanas trīs darba dienu laikā nosūta kompetentajām iestādēm, kuras savukārt 10 darba dienu laikā par tiem sniedz atzinumu. Turpinājumā 13.1. punktā ir noteikts Centra pienākums uzraudzīt un organizēt datu ieguvi, savukārt 14. punktā – domstarpību risināšanas kārtība gadījumā, ja Centrs saņemtu datu nodošanas atteikumu. Lai kompetento iestāžu ieteikumi un priekšlikumi tiktu izvērtēti pēc būtības, projektā tiešā tekstā Centram būtu paredzams atbilstošs pienākums.

-

Projekta 4. punkts  paredz, ka Mākslīgā intelekta centrs veiks projektu iesniegumu atlasi saskaņā ar projektu atlases nolikumu, savukārt projekta 5.punkts nosaka, ka atlases nolikumā ir ietverami, tostarp projektu iesniegumu vērtēšanas kritēriji, kas atbilstoši projekta 7.punktam ir MI sistēmas riska līmenis, izmantošanas joma, mērķis, utt.
No minētā attiecīgi izriet, ka projektu iesniegumu atlases nolikums jau būtu veidojams, apzinoties mākslīgā intelekta sistēmas mērķi, nepieciešamo un pieļaujamo funkcionalitāti un riskus atbilstoši normatīvajiem aktiem.
Tāpat projekta 11.4. apakšpunkts paredz, ka projekta iesniegumā ir norādāmi iespējamie riski, kas neaprobežojas tikai ar mākslīgā intelekta sistēmas tehniskajiem riskiem.
Līdz ar to ir secināms, ka risku novērtējumam būtu jāsatur tai skaitā normatīvā regulējuma prasību atspoguļojums, jau izstrādājot attiecīgā projekta iesniegumu atlases nolikumu.

Vienlaikus vēršama uzmanība, ka projekts arī paredz Mākslīgā intelekta centrā izveidot jaunu štata vietu juristam, kā pienākumos ietilptu dažādi juridiskie jautājumi.
Ievērojot minēto, iztrūkst skaidrība par nepieciešamību projektā ietvert pienākumu (projekta 12.2. apakšpunkts) kompetentajai institūcijai sniegt informāciju arī par normatīvo aktu prasībām, kas attieksies uz mākslīgā intelekta sistēmu pēc tās laišanas tirgū vai nodošanas ekspluatācijā. Proti, minētajām normatīvo aktu prasībām jau būtu jābūt apzinātām projektu iesniegumu nolikumā, projekta iesniegumā ietvertajā risku vērtējumā, kā arī Mākslīgā intelekta centra vērtējumā, ko veiktu attiecīgais jurists.

Līdz ar to papildu kompetentajai institūcijai nebūtu nepieciešams sniegt informāciju arī par normatīvo aktu prasībām, kas attieksies uz mākslīgā intelekta sistēmu pēc tās laišanas tirgū vai nodošanas ekspluatācijā. Attiecīgi projekta 12.2. apakšpunkts būtu precizējams vai svītrojams.
 

-

Lūdzam iekļaut papildus punktu par Noteikumu projektā izmantotajām definīcijām un atkāroti izvērtēt Noteikumu projektā iekļautos saīsinājumus. Piemēram, Pārvaldes ieskatā Noteikumu projekta 1.2.apakšpunktā ietvertais saīsinājums “datu, tajā skaitā personas datu (turpmāk – datu)” nav korekts, ņemot vērā to, ka tekstā turpmāk bija izmantoti abi termini, proti, gan dati, gan personas dati. Papildus tekstā ir jāsalāgo datu devēja termins, ņemot vērā to, ka tekstā ir ietverti vairāki termini, piemēram, datu devējs, institūcija, kompetentā iestāde, un nav viennozīmīgi skaidrs, vai tiem ir dažādas nozīmes.
 

-

Noteikumu projekta 2.punktā ir noteikts, ka kompetentā institūcija nodrošina saistošus norādījumus, uzraudzību un atbalstu projekta īstenotājam regulatīvās vides ietvaros. Pārvalde lūdz precizēt, kas tiek saprasts ar “saistošiem norādījumiem”, kā arī kāda veida uzraudzība ir jānodrošina datu devējiem.
 

-

Noteikumu projektā un tā anotācijā nav skaidri definēts, kādu personu datu kategorijas mākslīgā intelekta sistēmu ieviešanā tiks izmantotas. Lūdzam precizēt anotāciju un noteikumu projektu, norādot, kādas datu kategorijas tikts izmantotas, piemēram, vai tiek paredzēts izmanot arī ierobežotas pieejamības informāciju Informācijas atklātības likuma izpratnē. Piemēram, ja tiks izmantota ierobežotas pieejamības informācija, vai tā vienmēr tiks anonimizēta? Ja informācija tiks anonimizēta, tad kas to veiks. Vai ir plānots, ka būs gadījumi, kad datu devējam pirms datu nodošanas būs jāveic datu anonimizēšana? Kādi drošības pasākumi tiks veikti šādas datu apstrādes gadījumā? Vai tiks izmantoti arī sensitīvie dati, piemēram, dati par personas tautību? Informējam, ka šādu datu apstrādei ir nepieciešams ievērot papildu prasības, kas noteiktas VDAR 9.pantā. Kā šīs prasības tiks ievērotas?

-

Projekta anotācijā ir norādīts, ka iesniedzējs sagatavo un iesniedz projekta iesniegumu saskaņā ar projektu iesniegumu atlases nolikuma prasībām.
Projekta 7.7.apakšpunkts paredz nolikumā kā vienu no projektu iesniegumu vērtēšanas kritērijiem iekļaut "mākslīgā intelekta sistēmas riska līmeni", savukārt projekta 11.4.apakšpunkts paredz projekta iesniegumā norādīt "iespējamos riskus, tai skaitā pašvērtējumu, vai mākslīgā intelekta sistēma ir augsta riska sistēma vai aizliegta prakse". 
Nav skaidrs vai šie divi punkti apzīmē vienu un to pašu (ir jānorāda vai MI sistēma atbilst MI akta 5.pantam vai III nodaļai; vai ir jāizvērtē MI sistēmas risks atbilstoši MI akta 3.panta 2.punktam), vai tomēr ir domāta atšķirīgā informācija.

Lūdzam attiecīgi precizēt projektu, vai sniegt skaidrojumu anotācijā, kāds tvērums ir attiecīgajiem punktiem.

 

-

Projekta anotācijā ir norādīts, kai iesniedzējs sagatavo un iesniedz projekta iesniegumu saskaņā ar projektu iesniegumu atlases nolikuma prasībām.
Projekta 7.8.apakšpunkts paredz nolikumā kā vienu no projektu iesniegumu vērtēšanas kritērijiem iekļaut "regulatīvās vides izveides nepieciešamību", savukārt projekta 11.5.apakšpunkts paredz projekta iesniegumā norādīt "regulatīvās vides izveides pamatojumu". 
Nav skaidrs vai šie divi punkti apzīmē vienu un to pašu vai tomēr ties ir divas atšķirīgas prasības nolikumā un iesniegumā ietveramajai informācijai.

Lūdzam attiecīgi precizēt projektu vai sniegt skaidrojumu anotācijā, kas ir domāts pie katra punkta.

-

Noteikumu projekta 11.7.apakšpunktā ir norādīts, ka projekta iesniegumā norāda informāciju par regulatīvās vides saturu, ilgumu, nepieciešamo atbalsta veidu (pakalpojumu) un ja nepieciešams - atkāpes no spēkā esošo normatīvo aktu prasībām. Ņemot vērā to, ka datu devējam ir uzlikts pienākums izskatīt projekta iesniegumu, tad lūdzam anotācijā skaidrot, kas tiek saprasts ar atkāpēm no normatīvo aktu prasībām, kā arī precizēt normatīvos aktus, no kuriem var tikt pieļautas atkāpes, un kāds ir šādu noviržu juridiskais pamats.

-

Noteikumu projektā un anotācijā nav norādes par veidu kā tiks nodrošināts samērīgums, īpaši gadījumos, kad datu nodošanas risinājums vēl nav ieviests. Piemēram, ja nepieciešamais datu apjoms DAGR risinājumā nav pieejams vai nav pieejams arī citā alternatīvajā tiešsaistes kanālā, kurā datu apstrāde veicama manuāli, līdz ar to lūdzam precizēt noteikumu projektu un tā anotāciju, sniedzot skaidrojumu par pieļaujamajiem datu saņemšanas kanāliem.

-

Noteikumu projektā un tā anotācijā nav informācijas par to, kāda datu apjoma padošana ir plānota uz Regulatīvo vidi. Ņemot vērā minēto, kā arī VDAR noteikto minimizēšanas principu, lūdzam precizēt anotāciju, norādot, vai noteikumu projekta ievaros ir plānots nodot visas datu devēja uzturētās informācijas sistēmas datu kopas. Vēršam uzmanību, ka  Pārvaldes ieskatā šāda rīcība ir pārmērīga un veido informācijas sistēmas dublikātu, kas rada papildu riskus datu drošībai un izmantošanai, līdz ar to noteikumu projektā un anotācijā ir nepieciešams noteikt precīzas informācijas sistēmas un datu kopas, kuras var tikt izmantotas mākslīgā intelekta sistēmu veidošanai.

-

VDAR 5.panta otrā daļa nosaka pārskatatbildības personas datu apstrādes principu. Vēršam uzmanību, ka noteikumu projektā un anotācijā nav pietiekamas informācijas par to, kā mākslīgā intelekta sistēmas izmantos personas datus. Tas apgrūtina arī datu devēja pienākumu izpildi attiecībā uz nolūka ierobežojuma ievērošanu. Ievērojot iepriekšminēto, lūdzam precizēt noteikumu projektu un anotāciju par mākslīgā intelekta sistēmas izstrādes posmiem: datu apstrāde (vākšana, anonimizēšana u.c.)
testēšana
algoritmu izmantošana
drošības pasākumi
datu glabāšanas un dzēšanas kārtību
piemēri no faktiskajām mākslīgā intelekta lietojumprogrammām

Priekšlikums šo aprakstu iekļaut vienuviet, lai datu devējam veidojas izpratne par procesa norisi hronoloģiskā secībā.

-

VDAR 5. panta pirmās daļas b) punkts nosaka, ka dati jāapkopo konkrētam, skaidram un likumīgam mērķim. Pašreizējais Mākslīgā intelekta centra likuma 9.pantā ietvertais datu apstrādes tiesiskais pamatojums ir vispārīgs, līdz ar to nepieciešams precizēt noteikumu projektu un anotāciju, norādot, kas tiek ietverts mākslīgā intelekta sistēmu izstrādē, pārbaudē, attīstībā, kā arī mākslīgā intelekta sistēmu validācijā un atbilstību normatīvajiem aktiem un ētikas standartiem, lai datu devējiem ir viennozīmīga skaidrība attiecībā uz pienākumu datu nodošanai.

-

Valsts informācijas sistēmā, kurā esošos datus ir paredzēts nodot mākslīgā intelekta sistēmas izstrādei speciālajā regulatīvajā vidē, var tikt ietverta arī klasificēta informācija. Arī projekta saskaņotāji (sk. projekta izziņas tabulas 5., 10. punktu) ir norādījuši uz riskiem, kas var iestāties, ja šādā mākslīgā intelekta sistēmā apstrādātu valsts noslēpumu. Šo iemeslu dēļ būtu precizējams projekta 14. punkts, kas atbilstoši projekta izziņas tabulas 43., 95. punktā norādītajiem VARAM komentāriem faktiski neparedz kompetentās iestādes tiesības atteikties nodot datus Centram. Piebilstams, ka projekta izziņas tabulas 43. punktā VARAM ir norādījis, ka mākslīgā intelekta sistēmas izstrādei “var tikt pieprasīti visi dati, kas ir konkrētās iestādes rīcībā, protams, ņemot vērā izņēmumus attiecībā uz valsts noslēpumiem u. tml.”. Šāda 14. punkta interpretācija ir atbalstāma.
 

-

Papildināt Noteikumu projekta 22.2. punktu, nosakot, ka regulatīvās vides auditācijas pierakstos ir jāiekļauj arī datu apjoms/datu grupa, kas tiek apstrādāta.
 

-

Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679  par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk - Regula 2016/679) Preambulas 156.punkts nosaka, ka uz personas datu apstrādi zinātniskās vai vēstures pētniecības nolūkos būtu, ievērojot šo regulu, jāattiecina atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām būtu jānodrošina, ka pastāv tehniski un organizatoriski pasākumi, lai jo īpaši nodrošinātu datu minimizēšanas principu. Personas datu turpmāka apstrāde zinātniskās vai vēstures pētniecības nolūkos ir jāveic, kad pārzinis ir novērtējis iespējamību sasniegt minētos nolūkus, apstrādājot datus, kas neļauj vai vairs neļauj identificēt datu subjektus, ar noteikumu, ka pastāv atbilstošas garantijas (piemēram, datu pseidonimizācija). 

Vienlaikus arī Regulas 2016/679 89.pants paredz, ka uz apstrādi zinātniskās vai vēstures pētniecības nolūkos saskaņā ar šo regulu attiecas atbilstošas garantijas datu subjekta tiesībām un brīvībām. Ar minētajām garantijām nodrošina, ka pastāv tehniski un organizatoriski pasākumi, jo īpaši, lai nodrošinātu datu minimizēšanas principa ievērošanu. Minētie pasākumi var ietvert pseidonimizēšanu, ar noteikumu, ka minētos nolūkus var sasniegt minētajā veidā.
No minētā ir nepārpotāmi redzams, ka datu apstrādē projektā noteiktajiem mērķiem ir pieļaujama ar obligātu datu minimalizēšanu un pēc iespējas datu pseidonimizēšanu. 

Turklāt Mākslīgā intelekta centra likuma 9.panta ceturtā daļa nosaka, ka speciālajā regulatīvajā vidē apstrādā tikai tādus personas datus, kas nepieciešami konkrētās mākslīgā intelekta sistēmas izstrādei, ievērojot datu minimizēšanas principu (imperatīvā norma).

Neskatoties uz minēto, projekta 22.5.apakšpunkts paredz, ka regulatīvajā vidē apstrādātie personas dati pirms to izmantošanas var tikt minimizēti, anonimizēti vai pseidonimizēti. Tātad nepieciešamība minimalizēt datus nav paredzēta kā imperatīva norma, bet gan rīcības brīva, kas ir pretrunā Regulas 2016/679 normām.

Lūdzam attiecīgi precizēt projektu.

-

Lūdzam salāgot Noteikumu projekta 22.10.apakšpunktā noteikto apgalvojumu ar Anotācijā norādīto informāciju, proti, Noteikumu projekta 22.10.apakšpunktā ir teikts, ka dati no regulatīvās vides tehnoloģiskā risinājuma tiek dzēsti 6 mēnešu laikā pēc attiecīgo datu apstrādes mērķa beigām, savukārt Anotācijā norādīts, ka MI tehnoloģiju attīstībā vienmēr pastāv risks, ka MI apmācības procesā saglabā datus, šo risku mēs 100% nespējam novērst. Pārvaldes ieskatā šāda riska esamība ierobežo izteikt Noteikumu projekta 22.10.apakšpunktā noteikto apgalvojumu.
 

-

Lūdzam precizēt, kas Noteikumu projekta 24.punktā ir saprotams ar “institūcija, kuras kompetencē ir mākslīgā intelekta sistēmas projekta jomas”.
 

-

Lūdzam precizēt, kas ir saprotams ar Centra norādi, ka dati tiek nodoti “pamatojoties uz Centra lēmumu par datu izmantošanas atļaujas piesķiršanu”. Vēršam uzmanību, ka datu izmantošanas tiesisko pamatojumu izvērtē datu pārzinis kā savas informācijas sistēmas uzturētājs atbilstoši savai kompetencei.

-

Vārdkopa "iesniedzējs projekta īstenotājs" precizējama, jo nav skaidri saprotams, vai norma attiecināma uz abiem - uz "iesniedzēju" un uz "projekta īstenotāju". Turpmākajā tekstā pārsvarā lietots apzīmējums "projekta īstenotājs". 

-

Projekta 22.5.apakšpunkts paredz iespēju pseidonimizēt regulatīvajā vidē apstrādātos datus, ka tas ir iespējams. No minētā izriet, ka speciālajā regulatīvajā vidē un mākslīgā intelekta sistēmā var tikt apstrādāti arī fizisko personu dati.

Vēršama uzmanība, ka ja tiek paredzēts, ka mākslīgā intelekta sistēmas izveidei būtu nepieciešams apstrādāt valsts informācijas sistēmā esošos fizisko personu datus personalizētā veidā, iztrūkst skaidrības par datu izgūšanas no valsts informācijas sistēmas mērķi. Proti, jebkurai valsts informācijas sistēmai tās regulējums paredz tajā apstrādājamo personas datu mērķus. Vienlaikus mākslīgā intelekta sistēmas izveide pārsniegs sākotnējo datu apstrādes mērķi konkrētajā valsts informācijas sistēmā bez papildu grozījumu izdarīšanas normatīvajā aktā, ar ko tiek izveidota attiecīgā informācijas sistēma. Attiecīgi Regula 2016/679 paredz nosacījumus fizisko personu datu apstrādei mērķiem, kas pārsniedz sākotnējo apstrādes nolūku. Statistikas un pētniecības nolūks ir viens no iespējamajiem virzieniem. Vienlaikus no Mākslīgā intelekta centra likumā, projektā un tā sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) ietvertā nav skaidrības, vai "statistikas un pētniecības" nolūks būtu attiecināms uz valsts pārvaldes informācijas sistēmā ietverto fizisko personu datu apstrādi mākslīgā intelekta sistēmas izveidei un testēšanai, ja pēc laišanas tirgū tā būtu pieejama ne vien ekskluzīvi publiskajam sektoram, bet arī citiem subjektiem un dati, kas iegūti no valsts pārvaldes informācijas sistēmas, aizvien būtu mākslīgā intelekta sistēmas sastāvdaļa (tos nebūtu iespējams dzēst nezaudējot attiecīgās sistēmas funkcionalitāti).

Vienlaikus Mākslīgā intelekta centra likuma 9. panta otrā daļa paredz, kādiem mērķiem apstrādā personas datus speciālajā regulatīvajā vidē. No minētā nav gūstama skaidrība par attiecīgās normas sasaisti ar projekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 8.1.13. apakšpunktā sniegto informāciju par statistikas un pētniecības nolūku. Tāpat iztrūkst skaidrojums par minētās normas sasaisti ar Regulā 2016/679 ietverto nolūka ierobežojuma principu. Proti, vai Mākslīgā intelekta centra likuma 9. panta otrā daļa ir ietverta kā papildus jeb jauns datu apstrādes mērķis visos gadījumos, kad valsts informācijas sistēmā ietvertos datus būs nepieciešams apstrādāt mākslīgā intelekta sistēmas izveidei. Ja attiecīgā norma ir domāta kā papildu mērķis, tad iztrūkst skaidrība par minētās normas saistību ar mākslīgā intelekta sistēmas izmantošanu pēc izveides (ja to paredzēts laist brīvā tirgū, darot pieejamu iegādei ikvienai personai).

Ievērojot minēto, aicinām ietvert skaidrojumu par normatīvo regulējumu, kas pieļautu valsts informācijas sistēmā ietvertos fizisko personu datus apstrādāt citam mērķim, kas nav sākotnējais datu apstrādes nolūks, proti, mākslīgā intelekta sistēmas izveidei, testēšanai, laišanai tirgū gan izmantošanai publiskajā sektorā, gan darot pieejamu jebkurai personai.
 

-