Mākslīgais intelekts (MI) uzņēmēju vidū tiek izmantots aizvien plašāk, tomēr tas rada arī bažas par datu drošību. Vai MI izmantošana rada draudus datiem? Skaidrojam!

Personu datu aizsardzība MI sistēmās

2024.gada 13.martā tika apstiprināta regula 2024/1689, ar ko nosaka saskaņotas normas mākslīgā intelekta jomā (Mākslīgā intelekta akts), kas ir pirmais visaptverošais MI regulējums pasaulē. Tas stājies spēkā 1.augustā, un tajā paredzēts, ka Mākslīgā intelekta aktu sāks piemērot 24 mēnešus pēc tā spēkā stāšanās. Tomēr ir arī prasības, kurām atšķirsies piemērošanas laiks.

Šobrīd fizisku personu datu aizsardzība, tostarp arī kontekstā ar MI, tiek īstenota, pamatojoties uz regulu 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula). Tā neparedz izņēmumus attiecībā uz MI, līdz ar to visas Vispārīgās datu aizsardzības regulas prasības attiecas arī uz šādiem tehnoloģiski sarežģītiem risinājumiem. Starp prasībām īpaši jāizceļ regulas 5.pantā nostiprinātie personas datu apstrādes principi: likumīgums, godprātība un pārredzamība, nolūka ierobežojumi, datu minimizēšana, precizitāte, glabāšanas ierobežojums, integritāte un konfidencialitāte, kā arī pārskatatbildība. Tāpat būtiski ir ievērot Vispārīgajā datu aizsardzības regulā paredzēto integrētas datu aizsardzības principu, kas pēc būtības nozīmē to, ka jau pirms datu apstrādes uzsākšanas uzņēmumam ir jāievieš pasākumi datu aizsardzības principu īstenošanai efektīvā veidā, turklāt šo pasākumu efektivitāte jāturpina regulāri vērtēt. Savukārt atbilstoši datu aizsardzības pēc noklusējuma principam uzņēmumam jāīsteno tehniski un organizatoriski pasākumi, lai nodrošinātu, ka pēc noklusējuma tiek apstrādāti tikai tādi personas dati, kas ir nepieciešami katram konkrētajam apstrādes nolūkam. Proti, pēc noklusējuma uzņēmumam nevajadzētu vākt vairāk datu nekā nepieciešams konkrētajam nolūkam, apstrādāt vairāk nekā vajadzīgs šim nolūkam, kā arī glabāt ilgāk nekā tas nepieciešams.

Vispārīgā datu aizsardzības regula arī paredz pienākumus datu apstrādes drošības jomā, īstenojot tādus tehniskus un organizatoriskus pasākumus, kas nodrošina riskam atbilstošu drošības līmeni. Novērtējot atbilstīgo drošības līmeni, īpaši ņem vērā riskus, ko rada apstrāde, īpaši nejauša vai nelikumīga nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem.

To, ka Vispārīgās datu aizsardzības regulas prasības pilnībā jāievēro arī MI sistēmu izstrādātājiem, norāda arī Eiropas Datu aizsardzības kolēģija, kuras pamatuzdevums ir nodrošināt regulas konsekventu piemērošanu. Kolēģija 2024.gada 23.maijā ir publicējusi ziņojumu, kurā norāda uz vairāku Eiropas Savienības (ES) dalībvalstu datu aizsardzības iestāžu uzsāktajām pārbaudēm attiecībā uz  Amerikas Savienotajās Valstīs bāzētu uzņēmumu “Open AI OpCo”, kas sniedz sabiedrībā plašu popularitāti ieguvušo “ChatGPT” pakalpojumu. Kā jau tas bija gaidāms, kolēģija vērš uzmanību, ka arī tiem uzņēmumiem, kas izstrādā MI sistēmas, jāsper visi nepieciešamie soļi, lai nodrošinātu pilnvērtīgu atbilstību Vispārīgās datu aizsardzības regulas prasībām. Uzsvērts, ka tehniska rakstura neiespējamība nevar tikt izmantota par argumentu, lai attaisnotu neatbilstību šīm prasībām, īpaši ņemot vērā integrētas datu aizsardzības principu laikā, kad tiek noteikti datu apstrādes līdzekļi un arī pašā datu apstrādes laikā.

Lai arī pārbaudes vēl nav noslēgušās, kolēģija jau šobrīd iezīmējusi vairāku Vispārīgajā datu aizsardzības regulā nostiprināto fizisku personu datu aizsardzības principu iespējamu pārkāpumu. Piemēram, saistībā ar godprātības principa ievērošanu minēts, ka nebūtu pieļaujams pārnest atbildību par atbilstību regulas prasībām no uzņēmuma uz fiziskām personām, paredzot tiem atbildību par čatā ievadīto informāciju. Attiecībā uz pārredzamības principu norādīts, ka fiziskām personām ir jāsniedz skaidra informācija, ka to ievadītie dati var tikt izmantoti MI trenēšanas nolūkā.

Ievērojot minēto, jau šobrīd MI sistēmas jāveido tā, lai tiktu nodrošināta fizisku personu datu aizsardzība.

Mākslīgā intelekta akts datu aizsardzībai

Lai arī Mākslīgā intelekta akta pantus vēl slīpēs juristi-lingvisti, jau šobrīd ikvienam ir iespēja iepazīties ar tā saturu, tostarp izvērtēt paredzamās izmaiņas personas datu aizsardzības jomā.

__________________________________________________________________________

Ikvienam ir pieejas tiesības datiem, kas par viņu savākti, un tiesības ieviest labojumus šajos datos
__________________________________________________________________________

Saskaņā ar Mākslīgā intelekta akta 1.panta 1.daļu tā mērķis ir uzlabot iekšējā tirgus darbību un veicināt uz cilvēku orientēta un uzticama MI izmantošanu, vienlaikus nodrošinot augstu veselības, drošuma, Pamattiesību hartā nostiprināto pamattiesību, tostarp demokrātijas, tiesiskuma un vides aizsardzības līmeni pret MI sistēmu radītām kaitīgām sekām ES, kā arī atbalstīt inovācijas. Attiecīgi Mākslīgā intelekta akts norāda uz nepieciešamību pēc uzticama MI, kas neaizskar norādītās vērtības. Tās ietver arī fizisku personu datu aizsardzību, jo saskaņā ar Pamattiesību hartas 8.panta 1.daļu ikvienai personai ir tiesības uz savu personas datu aizsardzību. Atbilstoši šī panta 2.daļai šādi dati ir jāapstrādā godprātīgi, noteiktiem mērķiem un ar attiecīgās personas piekrišanu vai citu likumīgu pamatojumu, kas paredzēts tiesību aktos. Ikvienam ir pieejas tiesības datiem, kas par viņu savākti, un tiesības ieviest labojumus šajos datos.

Atbilstoši Mākslīgā intelekta akta 2.panta 7.daļai ar to netiek ierobežota Vispārīgās datu aizsardzības regulas piemērošana (izņemot Mākslīgā intelekta akta 10.panta 5.daļā un 59.pantā paredzētos noteikumus). Vienlaikus tas nosaka papildu pienākumus attiecībā uz MI sistēmām, tajā skaitā fizisku personu datu aizsardzībai. Īpaši atzīmējams Mākslīgā intelekta akta regulējums, nosakot aizliegtās MI prakses, kā arī paredzot virkni dažādu rīku risku mazināšanai attiecībā uz augsta riska MI sistēmām.

Svarīgi norādīt, ka ne visas MI sistēmas tiks regulētas ar Mākslīgā intelekta aktu. Pirmkārt, tā 2.pantā ir paredzēti izņēmuma gadījumi, kad tas netiek piemērots, otrkārt, tas regulē konkrēti definētas MI sistēmas, piemēram, augsta riska sistēmas, un tā mērķis nav regulēt jebkuru MI.

MI ietekme uz datiem

Ņemot vērā MI darbības principu, proti, ka tā darbību vispirms definē cilvēks, liela nozīme cilvēku pamattiesību aizsardzībai ir tieši nolūkam, kādam MI sistēma tiek veidota. Piemēram, MI var izmantot gan kiberdrošības veicināšanai, gan kiberdrošības uzbrukumu izstrādei. Būtiska nozīme ir arī MI sistēmu veidošanā ievērotajiem principiem un izmantotajiem paņēmieniem, tajā skaitā Vispārīgajā datu aizsardzības regulā un Mākslīgā intelekta aktā noteikto pienākumu pienācīgai izpildei.

Vispārīgās datu aizsardzības regulas prasību īstenošana lielā mērā ir atkarīga ne vien no izstrādātāju, bet arī fizisku personu un uzraudzības iestāžu aktivitātes. Jo vairāk tiks akcentēta nepieciešamība ievērot regulas prasības, sniegtas vadlīnijas un skaidrojumi to īstenošanā tieši MI kontekstā un jo vairāk uzraudzības iestādes vērtēs šādu sistēmu tiesiskumu, jo apzinīgāk varētu tikt pildītas Vispārīgās datu aizsardzības regulas prasības. Līdzīgs scenārijs varētu iestāties arī tad, kad papildus regulai MI tiks piemērotas arī Mākslīgā intelekta akta prasības. Atzinīgi vērtējams, ka Mākslīgā intelekta akts paredz Eiropas Komisijas tiesības pieņemt deleģētos aktus, lai laika gaitā pielāgotu tiesisko regulējumu faktiskajai situācijai un sekmētu akta mērķa sasniegšanu.

Ievērojot minēto, tas, vai MI ir bīstams datiem, nevar tikt vispārināts un katrs gadījums jāvērtē individuāli.

Vienlaikus tieši dati var radīt apdraudējumu MI drošai izmantošanai, jo tā nolūkam un tiesību normu prasībām atbilstoši izejas dati un to pienācīga izmantošana ir tiesiska MI radīšanas pamatā. Cerēsim, ka līdztekus ieguvumiem sabiedrībai, ko var sniegt MI, tā veidotāji pievērsīs nepieciešamo uzmanību gan kvalitatīvu izejas datu izmantošanai, gan citu regulējumu prasību pienācīgai ievērošanai, pēc iespējas mazinot riskus.