Atzinums

Mākslīgā intelekta centra likums un projekts satur vispārēju informāciju par speciālo regulatīvo vidi, taču iztrūkst skaidrojuma par atsevišķiem tās aspektiem:

1) Mākslīgā intelekta centra likums un projekts, izņemot projekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 8.1.2. sadaļā noteikto, nesatur informāciju par speciālās regulatīvās vides izmantošanas ietvaru tieši valsts pārvaldē. Attiecīgi, vai speciālās regulatīvās vides ietvaros būtu pieļaujams testēt tikai tādas mākslīgā intelekta sistēmas, ko ir paredzēts izmantot tikai valsts pārvaldē, vai arī tādas mākslīgā intelekta sistēmas, ko var izmantot arī privātajā sektorā. Tāpat iztrūkst skaidrības par testētās mākslīgā intelekta sistēmas piederību pēc izveides, ja tā paredzēta izmantošanai publiskajā sektorā un tiek testēta ar valsts informācijas sistēmā pieejamajiem datiem - tā automātiski uzskatāma par esošu valsts vai pašvaldību iestādes/institūcijas īpašumā vai tomēr tā būs pieejama iegādei brīvā tirgū ne tikai publiskajam sektoram, bet arī citiem subjektiem. 

Ja ir paredzēts, ka izveidotā mākslīgā intelekta sistēma varētu būt pieejama jebkuram subjektam brīvā tirgū ne tikai ekskluzīvi publiskajam sektoram Latvijas Republikā, tad iztrūkst skaidrības par nepieciešamību izmantot valsts informācijas sistēmā esošos datus, kā arī projekta 5. punktā noteikto valsts pārvaldes un pašvaldības iestāžu pienākumu nodrošināt norādījumus, uzraudzību un atbalstu iesniedzējam regulatīvās vides ietvaros.

Tāpat nav sniegts skaidrojums, vai publiskajam sektoram par izveidotās mākslīgā intelekta sistēmas izmantošanu savā darbībā būtu piemērojama maksa (gan tad, ja valsts informācijas sistēmā ietvertie fizisko personu dati tiktu izmantoti mākslīgā intelekta sistēmas izveidei vai testēšanai, gan ārpus tās).

Ievērojot minēto, nepieciešams skaidrojums par minētajiem aspektiem.

2) Projekta 6. punkts  paredz, ka Mākslīgā intelekta centrs veiks projektu iesniegumu atlasi saskaņā ar projektu atlases nolikumu, savukārt projekta 7. pants nosaka, ka atlases nolikumā ir ietverami, tostarp projektu iesniegumu vērtēšanas kritēriji un projekta iesniegumā norādāmā informācija. No minētā attiecīgi izriet, ka projektu iesniegumu atlases nolikums jau būtu veidojams, apzinoties mākslīgā intelekta sistēmas mērķi, nepieciešamo un pieļaujamo funkcionalitāti atbilstoši normatīvajiem aktiem.

Tāpat projekta 13.4. apakšpunkts paredz, ka projekta iesniegumā ir norādāmi iespējamie riski, kas neaprobežojas tikai ar mākslīgā intelekta sistēmas tehniskajiem riskiem. No minētā secināms, ka risku novērtējums ietvertu arī normatīvā regulējuma prasību atspoguļojumu.

Papildu projekts arī paredz Mākslīgā intelekta centrā izveidot jaunu štata vietu juristam, kā pienākumos ietilptu dažādi juridiskie jautājumi.

Ievērojot minēto, iztrūkst skaidrība par nepieciešamību projektā ietvert pienākumu (projekta 14.2. apakšpunkts) kompetentajai institūcijai sniegt informāciju arī par normatīvo aktu prasībām, kas attieksies uz mākslīgā intelekta sistēmu pēc tās laišanas tirgū vai nodošanas ekspluatācijā. Proti, minētajām normatīvo aktu prasībām jau būtu jābūt apzinātām projektu iesniegumu nolikumā, projekta iesniegumā ietvertajā risku vērtējumā, kā arī Mākslīgā intelekta centra vērtējumā, ko veiktu attiecīgais jurists. 

Līdz ar to papildu kompetentajai institūcijai nebūtu nepieciešams sniegt informāciju arī par normatīvo aktu prasībām, kas attieksies uz mākslīgā intelekta sistēmu pēc tās laišanas tirgū vai nodošanas ekspluatācijā. Attiecīgi projekta 14.2. apakšpunkts būtu precizējams vai svītrojams.

3) Mākslīgā intelekta centra likuma 9. panta septītā daļa nosaka: "Pēc mākslīgā intelekta sistēmas izstrādes visi speciālajā regulatīvajā vidē izmantotie personas dati tiek neatgriezeniski dzēsti, izņemot gadījumus, kad normatīvie akti nosaka citādi.".

Projekts vai tā sākotnējās ietekmes novērtējuma ziņojums (anotācija) nesatur papildu skaidrojumu par minēto aspektu. Līdz ar to iztrūkst skaidrība, par kāda veida speciālajā regulatīvajā vidē apstrādāto datu dzēšanu ir runa. Proti, dati, uz kā pamata mākslīgā intelekta sistēma ir radīta un testēta, kļūst par neatņemamu tās sastāvdaļu. Līdz ar to varētu nebūt iespējams dzēst attiecīgos datus bez sekām, ka mākslīgā intelekta sistēma zaudētu daļu iemācītās funkcionalitātes.

Ievērojot minēto, nepieciešams precizēt projektu vai tā sākotnējās ietekmes novērtējuma ziņojumu (anotāciju), sniedzot skaidrojumu attiecībā uz speciālajā regulatīvajā vidē apstrādāto datu dzēšanu un ietekmi uz izveidotās mākslīgā intelekta sistēmas funkcionalitāti.

4) Mākslīgā intelekta centra likuma sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 8.1.13. apakšpunktā sniegta informācija par Eiropas Parlamenta un Padomes 2016. gada 27. aprīļa Regulas (ES) 2016/679  par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (turpmāk - Regula 2016/679) Preambulas 26. apsvērumu attiecībā uz anonimizētu informāciju, kas nav uzskatāma par fizisko personu datu apstrādi, kā arī pieļaujamību apstrādāt datus tostarp statistikas un pētniecības nolūkos.

Neskatoties uz minēto, projekta  27.5. apakšpunkts nosaka, ka regulatīvās vides tehnoloģiskajam risinājumam ir jānodrošina iespēja regulatīvajā vidē apstrādātajiem personas datiem pirms to izmantošanas tikt minimizētiem, anonimizētiem vai pseidonimizētiem. Vienlaikus nepieciešamība anonimizēt regulatīvajā vidē apstrādātos datus nav paredzēta kā imperatīva norma, bet gan rīcības brīva. No minētā izriet, ka speciālajā regulatīvajā vidē un mākslīgā intelekta sistēmā var tikt apstrādāti arī fizisko personu dati.

Ja tiek paredzēts, ka mākslīgā intelekta sistēmas izveidei būtu nepieciešams apstrādāt valsts informācijas sistēmā esošos fizisko personu datus personalizētā veidā, iztrūkst skaidrības par datu izgūšanas no valsts informācijas sistēmas mērķi. Proti, jebkurai valsts informācijas sistēmai tās regulējums paredz tajā apstrādājamo personas datu mērķus. Vienlaikus mākslīgā intelekta sistēmas izveide pārsniegs sākotnējo datu apstrādes mērķi konkrētajā valsts informācijas sistēmā bez papildu grozījumu izdarīšanas normatīvajā aktā, ar ko tiek izveidota attiecīgā informācijas sistēma. Attiecīgi Regula 2016/679 paredz nosacījumus fizisko personu datu apstrādei mērķiem, kas pārsniedz sākotnējo apstrādes nolūku. Statistikas un pētniecības nolūks ir viens no iespējamajiem virzieniem. Vienlaikus no Mākslīgā intelekta centra likumā, projektā un tā sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) ietvertā nav skaidrības, vai "statistikas un pētniecības" nolūks būtu attiecināms uz valsts pārvaldes informācijas sistēmā ietverto fizisko personu datu apstrādi mākslīgā intelekta sistēmas izveidei un testēšanai, ja pēc laišanas tirgū tā būtu pieejama ne vien ekskluzīvi publiskajam sektoram, bet arī citiem subjektiem un dati, kas iegūti no valsts pārvaldes informācijas sistēmas, aizvien būtu mākslīgā intelekta sistēmas sastāvdaļa (tos nebūtu iespējams dzēst nezaudējot attiecīgās sistēmas funkcionalitāti).

Vienlaikus Mākslīgā intelekta centra likuma 9. panta otrā daļa paredz, kādiem mērķiem apstrādā personas datus speciālajā regulatīvajā vidē. No minētā nav gūstama skaidrība par attiecīgās normas sasaisti ar projekta sākotnējās ietekmes novērtējuma ziņojuma (anotācijas) 8.1.13. apakšpunktā sniegto informāciju par statistikas un pētniecības nolūku. Tāpat iztrūkst skaidrojums par minētās normas sasaisti ar Regulā 2016/679 ietverto nolūka ierobežojuma principu. Proti, vai Mākslīgā intelekta centra likuma 9. panta otrā daļa ir ietverta kā papildus jeb jauns datu apstrādes mērķis visos gadījumos, kad valsts informācijas sistēmā ietvertos datus būs nepieciešams apstrādāt mākslīgā intelekta sistēmas izveidei. Ja attiecīgā norma ir domāta kā papildu mērķis, tad iztrūkst skaidrība par minētās normas saistību ar mākslīgā intelekta sistēmas izmantošanu pēc izveides (ja to paredzēts laist brīvā tirgū, darot pieejamu iegādei ikvienai personai).

Ievērojot minēto, nepieciešams ietvert skaidrojumu par normatīvo regulējumu, kas pieļautu valsts informācijas sistēmā ietvertos fizisko personu datus apstrādāt citam mērķim, kas nav sākotnējais datu apstrādes nolūks, proti, mākslīgā intelekta sistēmas izveidei, testēšanai, laišanai tirgū gan izmantošanai publiskajā sektorā, gan darot pieejamu jebkurai personai.

-

Noteikumu projektā un tā anotācijā nav skaidri definēts, kādu personu datu kategorijas mākslīgā intelekta sistēmu ieviešanā tiks izmantotas. Lūdzam precizēt anotāciju un noteikumu projektu, norādot, kādas datu kategorijas tikts izmantotas, proti, vai tiek paredzēts izmanot arī ierobežotas pieejamības informāciju Informācijas atklātības likuma izpratnē. Piemēram, ja tiks izmantota ierobežotas pieejamības informācija, vai tā vienmēr tiks anonimizēta? Ja informācija tiks anonimizēta, tad kas to veiks. Vai ir plānots, ka būs gadījumi, kad datu devējam pirms datu nodošanas būs jāveic datu anonimizēšana? Kādi drošības pasākumi tiks veikti šādas datu apstrādes gadījumā? Vai tiks izmantoti arī sensitīvie dati, piemēram, dati par personas tautību? Informējam, ka šādu datu apstrādei ir nepieciešams ievērot papildu prasības, kas noteiktas VDAR 9.pantā. Kā šīs prasības tiks ievērotas?

 

-

Noteikumu projektā un anotācijā nav skaidras norādes par to, cik bieži tiks pieprasīti dati, proti, aptuvenais mākslīgā intelekta sistēmu ieviešanas iesniegumu skaits. Vēršam uzmanību, ka VDAR 5.panta pirmās daļas c)apakšpunkts nosaka minimizēšanas nolūku, kas tajā skaitā ietver arī datu apstrādes biežuma samērīgumu. Ņemot vērā minēto un to, ka gadījumā, ja datu devējs būs arī Pārvalde, tad Pārvaldei tiek palielināts administratīvais slogs, līdz ar ko lūdzam precizēt noteikumu projektu un tā anotāciju, sniedzot skaidrojumu par datu pieprasījumu biežumu, kā arī veidu kā tiks nodrošināts samērīgums, īpaši gadījumos, ja risinājums, kura datu nodošanas risinājums vēl nav ieviests, piemēram, ja nepieciešamais datu apjoms DAGR risinājumā nav pieejams vai nav pieejams arī citā alternatīvajā tiešsaistes kanālā, kurā datu apstrāde veicama manuāli.



 

-

VDAR 5. panta pirmās daļas b) punkts nosaka, ka dati jāapkopo konkrētam, skaidram un likumīgam mērķim. Pašreizējais Mākslīgā intelekta centra likuma 9.pantā definētais formulējums par datu apstrādes tiesisko pamatojums ir vispārīgs un nenosaka konkrētu datu apstrādes mērķi, īpaši gadījumos, ja tas tiek attiecināts uz ierobežotas pieejamības datu saņemšanu, līdz ar to nepieciešams precizēt noteikumu projektu un anotāciju, norādot, kas tiek ietverts mākslīgā intelekta sistēmu izstrādē, pārbaudē, attīstībā, kā arī mākslīgā intelekta sistēmu validācijā un atbilstību normatīvajiem aktiem un ētikas standartiem.

-

VDAR 5.panta otrā daļa nosaka pārskatatbildības personas datu apstrādes principu. Vēršam uzmanību, ka noteikumu projektā un anotācijā nav pietiekamas informācijas par to, kā mākslīgā intelekta sistēmas izmantos personas datus. Tas apgrūtina arī datu devēja kontroli attiecībā uz nolūka ierobežojuma ievērošanu. Ievērojot iepriekšminēto, lūdzam precizēt noteikumu projektu un anotāciju par mākslīgā intelekta sistēmas izstrādes posmiem:
datu apstrāde (vākšana, anonimizēšana u.c.)
testēšana
algoritmu izmantošana
drošības pasākumi
datu glabāšanas un dzēšanas kārtību
piemēri no faktiskajām mākslīgā intelekta lietojumprogrammām

-

Noteikumu projektā un tā anotācijā nav informācijas par to, kāda datu apjoma padošana ir plānota uz Regulatīvo vidi. Ņemot vērā minēto, kā arī VDAR noteikto minimizēšanas principu, lūdzam precizēt anotāciju, norādot, vai noteikumu projekta ievaros ir plānots nodot visas datu devēja uzturētās informācijas sistēmas datu kopas. Vēršam uzmanību, ka  Pārvaldes ieskatā šāda rīcība ir pārmērīga un veido informācijas sistēmas dublikātu, kas rada papildu riskus datu drošībai un izmantošanai, līdz ar to noteikumu projektā un anotācijā ir nepieciešams noteikt precīzas informācijas sistēmas un datu kopas, kuras var tikt izmantotas mākslīgā intelekta sistēmu veidošanai.

-

Papildināt Noteikumu projekta 27.2. punktu, nosakot, ka regulatīvās vides auditācijas pierakstos ir jāiekļauj arī datu apjoms/datu grupa, kas tiek apstrādāta.
 

-

Lūdzam precizēt, kas ir saprotams ar Centra norādi, ka dati tiek nodoti “pamatojoties uz Centra lēmumu par datu izmantošanas atļaujas piesķiršanu”. Vēršam uzmanību, ka datu izmantošanas tiesisko pamatojumu izvērtē datu pārzinis kā savas informācijas sistēmas uzturētājs atbilstoši savai kompetencei.

-

Noteikumu projekta anotācijā norādīts, ka Centrs, izdodot administratīvo aktu par Regulatīvās vides izveidi, tajā var iekļaut informāciju par pieļaujamajām atkāpēm no normatīvo aktu prasībām. Lūdzam anotācijā skaidrot, kas tiek saprasts ar pieļaujamām atkāpēm no normatīvo aktu prasībām, kā arī precizēt normatīvos aktus, no kuriem var tikt pieļautas atkāpes, un kāds ir šādu noviržu juridiskais pamats. Pārvaldes ieskatā bez skaidras juridiskas bāzes noteikšanas atkāpes no normatīvajiem aktiem nav pieļaujamas.

-

Projekta sākotnējās ietekmes novērtējuma ziņojumā (anotācijā) norādīts, ka viena no projekta izpildē iesaistītajām iestādēm ir Valsts policija. Vienlaikus projekts un tā sākotnējās ietekmes novērtējuma ziņojums (anotācija) nesatur skaidrojumu par to, kādi izpildes pasākumi projekta ietvaros tiek paredzēti tieši Valsts policijai, kas pamatotu nepieciešamību to izcelt atsevišķi no "visām valsts un pašvaldības institūcijām".

Ievērojot minēto, precizēt projekta sākotnējās ietekmes novērtējuma ziņojumu (anotāciju).

-

Vienīgi vēršam uzmanību, ka aiz projekta nosaukuma, norādot noteikumu izdošanas tiesisko pamatu, iztrūkst atsauce uz Mākslīgā intelekta centra likuma 9.panta astoto daļu. Uz to ir atsauce projekta nosaukumā, anotācijā un likumā noteiktais deleģējums ar projektu kopumā tiek aptverts (tas gan nav aptverts pilnībā, jo projektā, piemēram, vispār nav atrunāta datu dzēšanas kārtība). Piebilstams, ka projektā ir runa par saņemto iesniegumu atklātu vai ierobežotu atlasi (6.punkts), bet anotācijā ir norādīts arī uz iesniegumu slēgtu atlasi.

-

1. Tiesību aktu projekta anotācijā (turpmāk – Anotācija) ir norādīts, ka atbilstoši Mākslīgā intelekta centra likuma 9.panta dotajam deleģējumam CSP nodrošinātajā speciālajā regulatīvajā vidē tiek paredzēts apstrādāt personas datus, kas iegūti no valsts institūcijām un nepieciešami attiecīgā MI risinājuma testēšanai un attīstībai. Projekta 15.2. apakšpunktā ir noteikts, ka Centrs uzrauga datu izmantotājus tiktāl, cik tas attiecas uz prasībām, kas noteiktas šajā likumā un citos normatīvajos aktos attiecībā uz personas datu aizsardzību. Projektā nav definēts, kas ir datu izmantotāji. Arī Anotācija nesniedz skaidrojumu par to, kas ir datu izmantotāji, kādas personas datu apstrādes procesus viņi veic un kādiem nolūkiem. Pamatojoties uz Datu regulas 45. apsvērumu, Projektā un Anotācijā ir jānorāda, ka datu izmantotāji ir regulatīvās vides lietotāji, kas ir tieši iesaistīti konkrētās mākslīgā intelekta sistēmas izstrādē un kuriem ir tiesības piekļūst personas datiem saskaņā ar Mākslīgā intelekta centra likuma 9. panta piektajā daļā noteikto.
2. Ņemot vērā, ka izskatāmais dokuments ir Ministru kabineta noteikumu projekts, nevis likuma projekts, priekšlikums attiecīgi precizēt 15.2. apakšpunktā lietotos vārdus "šajā likumā".

-

Ņemot vērā, ka izskatāmais dokuments ir Ministru kabineta noteikumu projekts, nevis likuma projekts, priekšlikums attiecīgi precizēt 25.1. apakšpunktā lietotos vārdus "šā likuma".

-