Σχέδιο νόμου για Τεχνητή Νοημοσύνη, κυβερνοασφάλεια, διαδίκτυο των πραγμάτων, blockchain και 3D printing

Σε δημόσια διαβούλευση τέθηκε από τον Υπουργό Επικρατείας, κ. Κυριάκος Πιερρακάκη, το σχέδιο νόμου του Υπουργείου Ψηφιακής Διακυβέρνησης με τίτλο: «Αναδυόμενες τεχνολογίες πληροφορικής και επικοινωνιών, ενίσχυση της ψηφιακής διακυβέρνησης και άλλες διατάξεις»

Σύμφωνα με το αρμόδιο Υπουργείο, με το εν λόγω σχέδιο νόμου επιχειρείται:

α) η ψηφιακή αναβάθμιση της δημόσιας διοίκησης και η θεσμική της θωράκιση έναντι των νέων μορφών απειλών του κυβερνοχώρου (Μέρος Α’),

β) η εδραίωση της εμπιστοσύνης των πολιτών στις νέες τεχνολογίες μέσω της εισαγωγής θεσμικού πλαισίου για την ορθολογική και ασφαλή αξιοποίησή τους από φορείς του δημόσιου τομέα και από φορείς που δραστηριοποιούνται στο πλαίσιο λειτουργίας της ιδιωτικής αγοράς (Μέρος Β’) και

γ) ο εμπλουτισμός των δράσεων του Εθνικού Προγράμματος Απλούστευσης Διαδικασιών και η ενίσχυση της ψηφιακής διακυβέρνησης, μέσω της ρύθμισης ζητημάτων λειτουργίας του Υπουργείου Ψηφιακής Διακυβέρνησης και των εποπτευόμενων φορέων του και της περαιτέρω ανάπτυξης των ψηφιακών δεξιοτήτων των πολιτών (Μέρος Γ’).

Τεχνητή Νοημοσύνη, Κυβερνοασφάλεια και Διαδίκτυο των Πραγμάτων

Σύμφωνα με την αιτιολογική έκθεση, με το σχέδιο νόμου επιχειρείται, σε πρώτο στάδιο, η θέσπιση των απαραίτητων δικλείδων ασφαλείας, προκειμένου οι φορείς του δημοσίου τομέα να είναι σε θέση να αξιοποιήσουν τα οφέλη των τεχνολογιών τεχνητής νοημοσύνης και ιδίως τα οφέλη από τη χρήση συστημάτων αλγοριθμικής λήψης αποφάσεων, μέσω της διαμόρφωσης ενός πλαισίου διαφανούς ενημέρωσης και προστασίας των θεμελιωδών δικαιωμάτων που επηρεάζονται από τη χρήση των ανωτέρω συστημάτων.

Περαιτέρω, εισάγονται ρυθμίσεις με τις οποίες διασφαλίζεται ότι οι τεχνολογίες τεχνητής νοημοσύνης δεν πρόκειται να επιφέρουν ανεπιθύμητες συνέπειες δεοντολογικής φύσεως στον εργασιακό τομέα και αθέμιτες παρεμβάσεις σε θεμελιώδη δικαιώματα των εργαζομένων.

Τέλος, επιδιώκεται η θέσπιση κανονιστικού πλαισίου για την εφαρμογή της εθνικής στρατηγικής σχετικά με την ανάπτυξη της τεχνητής νοημοσύνης στην Ελλάδα μέσω της σύστασης ειδικών επιτροπών με αρμοδιότητα τη διαμόρφωση πολιτικών για τη βέλτιστη εφαρμογή της ανωτέρω στρατηγικής.

Παράλληλα, με το σχέδιο νόμου συμπληρώνεται, με συστηματικό και στοχευμένο τρόπο, το υφιστάμενο θεσμικό πλαίσιο για την κυβερνοασφάλεια.

Η συμπλήρωση στηρίζεται στους εξής δύο άξονες:

α) στη συμμόρφωση της χώρας με τις ενωσιακές της υποχρεώσεις (ορισμός εθνικής αρχής πιστοποίησης κυβερνοασφάλειας και εθνικού κέντρου συντονισμού) και

β) στη θωράκιση της δημόσιας διοίκησης ενόψει των σύγχρονων προκλήσεων της κυβερνοασφάλειας, μέσω της δημιουργίας νέων οργανωτικών δομών (Παρατηρητήριο Υβριδικών Απειλών) και θεσμικών ρόλων (Υπεύθυνοι Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών, Συντονιστές Ασφαλείας).

Συγχρόνως εισάγονται ρυθμίσεις που στοχεύουν στην αποτελεσματικότερη άσκηση των καθηκόντων των υπεύθυνων προστασίας δεδομένων (μητρώο υπεύθυνων προστασίας δεδομένων, επιτροπή υπεύθυνων προστασίας δεδομένων)

Παράλληλα, με το σχέδιο νόμου εισάγεται για πρώτη φορά ρυθμιστικό πλαίσιο για την ασφαλή αξιοποίηση συσκευών τεχνολογίας Δικτύου των Πραγμάτων (ΔτΠ) από φορείς κρίσιμων υποδομών του δημόσιου και του ιδιωτικού τομέα και από τους ο.τ.α..

Επιπλέον, θεσπίζεται ρυθμιστικό πλαίσιο για την παροχή ταχυδρομικών υπηρεσιών μέσω συστημάτων μη επανδρωμένων αεροσκαφών («ΣμηΕΑ») και εισάγεται πρόβλεψη ώστε, κατά την κατάρτιση του Εθνικού Κανονισμού Κατανομής Ζωνών Συχνοτήτων, να λαμβάνονται υπόψιν οι ιδιαιτερότητες των ΣμηΕΑ για τον καθορισμό των γενικών αρχών εναρμονισμένης χρήσης του ραδιοφάσματος.

Με το ίδιο σχέδιο νόμου εισάγεται ένα βασικό πλέγμα διατάξεων για την ρύθμιση ζητημάτων εφαρμογών της τεχνολογίας κατανεμημένου καθολικού (Τ.Κ.Κ.).

Ειδικότερα:

α) προσδιορίζονται οι προϋποθέσεις εγκυρότητας εγγραφής μιας συναλλαγής σε αλυσίδα συστοιχιών (blockchain) ή άλλη βάση δεδομένων Τ.Κ.Κ. και ρυθμίζονται ζητήματα απόδειξης αυτής και

β) ρυθμίζονται  ζητήματα κατάρτισης, κύρους, ισχύος και απόδειξης των έξυπνων συμβολαίων (smart contracts), με αναφορά των διατάξεων του Αστικού Κώδικα και του Κώδικα Πολιτικής Δικονομίας που τυγχάνουν εφαρμογής.

Στο πλαίσιο, τέλος, της αξιοποίησης των τεχνολογιών κατανεμημένου καθολικού (Τ.Κ.Κ.), προβλέπεται η δυνατότητα αξιοποίησης αυτών για την τήρηση του Ενιαίου Μητρώου Ανελκυστήρων της Γενικής Γραμματείας Βιομηχανίας του Υπουργείου Ανάπτυξης και Επενδύσεων.

Τέλος, με το σχέδιο νόμου εισάγεται ρυθμιστικό πλαίσιο για τον καθορισμό: α) του πλαισίου προστασίας δικαιωμάτων πνευματικής και βιομηχανικής ιδιοκτησίας που αναφύονται στο πλαίσιο της διαδικασίας τρισδιάστατης εκτύπωσης και β) της ευθύνης των προσώπων που συμμετέχουν στη διαδικασία τρισδιάστατης εκτύπωσης και στον διαμοιρασμό ψηφιακών μοντέλων ή αρχείων σχετικών με αυτήν.

Μεταξύ άλλων το σχέδιο νόμου προβλέπει:

Άρθρο 5 Αλγοριθμική εκτίμηση αντικτύπου

1. Κάθε φορέας του δημόσιου τομέα που χρησιμοποιεί σύστημα αλγοριθμικής λήψης αποφάσεων, πριν από την έναρξη λειτουργίας του συστήματος, εκπονεί αλγοριθμική εκτίμηση αντικτύπου.

2. Η αλγοριθμική εκτίμηση αντικτύπου περιλαμβάνει, ιδίως, τις ακόλουθες πληροφορίες:

α) βασικές πληροφορίες του συστήματος, όπως η ονομασία, η έκδοση και η επωνυμία του κατασκευαστή,

β) τις παραμέτρους λειτουργίας,

γ) την περιγραφή του επιδιωκόμενου σκοπού, συμπεριλαμβανομένου του δημόσιου συμφέροντος που εξυπηρετείται με τη χρήση του συστήματος,

δ) τις κατηγορίες αποφάσεων που λαμβάνονται με τη συμμετοχή του συστήματος,

ε) τις κατηγορίες δεδομένων που συλλέγονται, τυγχάνουν επεξεργασίας ή παράγονται από το σύστημα,

στ) την αξιολόγηση των κινδύνων που ενδέχεται να προκύψουν για τα δικαιώματα και τις ελευθερίες των φυσικών ή νομικών προσώπων, στα οποία αφορά η λήψη της απόφασης και

ζ) τον προσδιορισμό και την ανάλυση του προσδοκώμενου οφέλους που απορρέει από τη χρήση του συστήματος σε συνάρτηση με τις ενδεχόμενες δυσμενείς συνέπειες.

Άρθρο 6 Υποχρεώσεις διαφάνειας

1. Κάθε φορέας του δημόσιου τομέα που χρησιμοποιεί σύστημα αλγοριθμικής λήψης αποφάσεων παρέχει πλήρη και επαρκή ενημέρωση σε κάθε φυσικό ή νομικό πρόσωπο στο οποίο αφορά η λήψη της απόφασης σχετικά με τη χρήση του συστήματος και, ιδίως, πληροφορίες σχετικά με:

α) τον χρόνο έναρξης λειτουργίας του συστήματος,

β) τις βασικές πληροφορίες του συστήματος, όπως η ονομασία, η έκδοση και η επωνυμία του κατασκευαστή και

γ) τις κατηγορίες αποφάσεων που λαμβάνονται με τη συμμετοχή του συστήματος και αφορούν το φυσικό ή νομικό πρόσωπο.

2. Κάθε φορέας του δημόσιου τομέα που χρησιμοποιεί σύστημα αλγοριθμικής λήψης αποφάσεων διασφαλίζει ότι το φυσικό ή νομικό πρόσωπο στο οποίο αφορά η λήψη της απόφασης δύναται να λαμβάνει γνώση για τις παραμέτρους στις οποίες στηρίχθηκε η λήψη της απόφασης σε κατανοητή και εύκολα προσβάσιμη μορφή.

Άρθρο 7 Υποχρεώσεις αναδόχων συστημάτων τεχνητής νοημοσύνης

1. Με την επιφύλαξη των διατάξεων για την προστασία του στρατιωτικού, του εμπορικού ή του βιομηχανικού απορρήτου, σε κάθε προκήρυξη ή πρόσκληση εκδήλωσης ενδιαφέροντος με τις οποίες εκκινεί διαγωνιστική ή άλλη διαδικασία ανάθεσης δημόσιας σύμβασης που σχετίζεται με τον σχεδιασμό ή την ανάπτυξη συστήματος τεχνητής νοημοσύνης, περιλαμβάνεται όρος για την υποχρέωση του αναδόχου να παρέχει προς τον φορέα του δημόσιου τομέα τις πληροφορίες των περ. β΄ και γ΄ της παρ. 1 και της παρ. 2 του άρθρου 6, συμπεριλαμβανομένης της υποχρέωσης παραίτησης αυτού από την άσκηση αξιώσεων που ενδέχεται να θέσουν σε κίνδυνο το δικαίωμα των φυσικών ή νομικών προσώπων για πλήρη και επαρκή ενημέρωση σύμφωνα με την παρ. 1 του άρθρου 6.

2. Στη σύμβαση προμήθειας ή παροχής υπηρεσιών που συνάπτεται σύμφωνα με την παρ. 1, προβλέπεται υποχρεωτικά όρος, ότι το σύστημα τεχνητής νοημοσύνης που σχεδιάζεται ή αναπτύσσεται παραδίδεται στον φορέα του δημόσιου τομέα με όρους, ώστε ο φορέας να δύναται να μελετά τον τρόπο λειτουργίας του συστήματος και τις παραμέτρους που, ενόψει του επιδιωκόμενου σκοπού, λαμβάνονται υπόψη για τη λήψη αποφάσεων, να βελτιώνει το σύστημα και να δημοσιεύει ή να διαθέτει με οποιονδήποτε τρόπο τις βελτιώσεις αυτές.

Άρθρο 8 Μητρώο συστημάτων αλγοριθμικής λήψης αποφάσεων

1. Κάθε φορέας του δημόσιου τομέα υποχρεούται να τηρεί μητρώο με τα συστήματα αλγοριθμικής λήψης αποφάσεων που χρησιμοποιεί, το οποίο επικαιροποιεί μέχρι την 1η Μαρτίου κάθε έτους, και, σε κάθε περίπτωση, όταν θέτει σε λειτουργία νέο σύστημα αλγοριθμικής λήψης αποφάσεων.

2. Στο μητρώο της παρ. 1 περιλαμβάνονται πληροφορίες σχετικά με:

α) τις βασικές πληροφορίες του συστήματος, όπως η ονομασία, η έκδοση και η επωνυμία του κατασκευαστή,

β) τον χρόνο έναρξης λειτουργίας του συστήματος,

γ) τις παραμέτρους λειτουργίας και

δ) τον επιδιωκόμενο σκοπό, συμπεριλαμβανομένου του δημόσιου συμφέροντος που εξυπηρετείται με τη χρήση του συστήματος.

Άρθρο 18 Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών

1. Σε κάθε φορέα κεντρικής Κυβέρνησης κατά την έννοια της περ. γ’ της παρ. 1 του άρθρου 14 του ν. 4270/2014 (Α’ 143) ορίζεται, με απόφαση του αρμόδιου Υπουργού ή του οργάνου διοίκησης του φορέα, ένας (1) υπάλληλος κατηγορίας ΠΕ ως Υπεύθυνος Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών (Υ.Α.Σ.Π.Ε.) με τον αναπληρωτή του. Ο Υ.Α.Σ.Π.Ε. ορίζεται βάσει της εμπειρίας που διαθέτει στον τομέα της κυβερνοασφάλειας.

2. Ο ορισμός του Υ.Α.Σ.Π.Ε. είναι ασυμβίβαστος με τη θέση του Υπευθύνου Προστασίας Δεδομένων (Υ.Π.Δ.) του άρθρου 37 του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ [Γενικός Κανονισμός για την Προστασία Δεδομένων – Γ.Κ.Π.Δ., L 119]) και των άρθρων 7 και 8 του ν. 4624/2019 (Α’ 137). Ο Υ.Α.Σ.Π.Ε. δύναται να αναλαμβάνει και άλλα υπαλληλικά καθήκοντα, εφόσον η τήρηση των καθηκόντων αυτών δεν συνεπάγεται σύγκρουση συμφερόντων.

3. Από το πεδίο εφαρμογής του παρόντος εξαιρούνται οι υπηρεσίες της Ε.Υ.Π..

Άρθρο 19 Καθήκοντα Υπεύθυνου Ασφάλειας Συστημάτων Πληροφορικής και Επικοινωνιών

1. Τα καθήκοντα του Υ.Α.Σ.Π.Ε. είναι, ιδίως:
α) η διαρκής μέριμνα για την ασφάλεια των συστημάτων δικτύου και πληροφοριών του φορέα κατά την έννοια της περ. 2 του άρθρου 3 του ν. 4577/2018 (Α’ 199),

β) η συνεργασία με τους αρμόδιους φορείς στον τομέα της κυβερνοασφάλειας και η μέριμνα για την εφαρμογή των κατευθυντήριων οδηγιών, απαιτήσεων και μέτρων ασφαλείας που εκδίδουν,

γ) η τήρηση μητρώου του φορέα με τις υποδομές πληροφορικής και επικοινωνιών, το λογισμικό και τα πληροφοριακά αγαθά (information assets),

δ) η συμμετοχή στη διενέργεια ελέγχων σε συστήματα πληροφορικής και επικοινωνιών του φορέα για τη διακρίβωση του υφιστάμενου επιπέδου ασφάλειας,

ε) η εποπτεία της τήρησης της πολιτικής ασφάλειας συστημάτων πληροφορικής και επικοινωνιών του φορέα,

στ) η παρακολούθηση και αξιοποίηση νέων τεχνολογιών και εργαλείων ασφάλειας συστημάτων πληροφορικής και επικοινωνιών για την ενίσχυση του επιπέδου κυβερνοασφάλειας του φορέα και

ζ) η διενέργεια αξιολογήσεων του επιπέδου κυβερνοασφάλειας του φορέα σε συνεργασία με τις κατά περίπτωση αρμόδιες αρχές.

2. Ο Υ.Α.Σ.Π.Ε. δεσμεύεται, κατά την εκτέλεση των καθηκόντων του, από την τήρηση της εμπιστευτικότητας και του απορρήτου που προβλέπεται από ειδικές διατάξεις της εθνικής και της ενωσιακής νομοθεσίας.3. Ο Υ.Α.Σ.Π.Ε. παρακολουθεί υποχρεωτικά ειδικό πρόγραμμα επιμόρφωσης που υλοποιείται από το Ε.Κ.Δ.Δ.Α., το αργότερο εντός έξι (6) μηνών από την

ανάληψη των καθηκόντων του.

4. Ο Υ.Α.Σ.Π.Ε. λογοδοτεί απευθείας στο ανώτατο επίπεδο διοίκησης του φορέα και δύναται να υποστηρίζεται στην άσκηση των καθηκόντων του από ομάδα εργασίας που συγκροτείται από το αρμόδιο όργανο διοίκησης του οικείου φορέα ή τον κατά περίπτωση αρμόδιο Υπουργό ή από οργανική μονάδα του φορέα που συστήνεται για τον σκοπό αυτό.

5. Από το πεδίο εφαρμογής του παρόντος εξαιρούνται οι υπηρεσίες της Ε.Υ.Π..

Δείτε αναλυτικά το σχέδιο νόμου στο opengov.gr