NO
NO EN DE
Tilbake til nyheter

IT-Gruk 18/2023: AI – hvordan regulere fremtiden?  

15. september, 2023
Onsdag 13. september varslet flere medier at de store IT-selskapenes ledere hadde blitt invitert til et møte med den amerikanske Kongressen for å diskutere behovet for å regulere kunstig intelligens (AI). Møtet ble referert til som «AI Insight Forum». Alt fra Elon Musk (X), Mark Zuckerberg (Meta/Facebook), Sam Altman (ChatGPT), lederne av Palantir, Microsoft, Nvidia, Google og IBM til amerikanske arbeidstakerorganisasjoner som AFL-CIO og fagforeningen for manusforfattere var invitert til et lukket møte. Basert på rapporter fra møtet var et av innspillene at det var viktig å få regulert AI før AI tok kontroll, men uten å hindre innovasjon. Så hva skal reguleres?

 

CNN kunne rapportere at Elon Musk ved møtets slutt hadde uttalt at det er en sjanse, mer enn null, for at AI vil kunne ta livet av menneskeheten. Han bad derfor om en pause i utviklingen. En noe mørk tilnærming, men likevel et klart uttrykk for at det er behov for en regulatorisk kontroll. Mitt spørsmål er hvordan regulerer vi en teknologisk utvikling, eller til og med, bør vi sette noen absolutte grenser for hvor langt mennesket bør gå?

Spørsmålet er reist i mang en science fiction tv-serie som Star Trek eller filmer som Terminator. Maskinen tar over og forsøker å utrydde mennesket. I noen tilfeller ender vi opp med å slåss mot maskinene, mens det i andre tilfeller ender med at avansert teknologi skal avskaffes. Den enkle tanken er alltid å gå til ytterpunktene, mens det vanskelige er å finne en god balanse. Samtidig fremstår det å sette en absolutt grense for teknologisk utvikling rimelig utopisk. Det er menneskets evne til utvikling og nysgjerrighet som har brakt oss dit vi er i dag på de 300 000 årene vår art har eksistert på jorden. Hvis ikke, hadde vi kanskje fortsatt levd i huler og hatt svært begrenset levetid på jorden, og aldri opplevd Mozart, Picasso og da Vinci.

AI-forordningen er på vei. Den ble vedtatt av EU-parlamentet i juni, men vi venter nå på resultatet av trilogforhandlingene med EU-kommisjonen, -parlamentet og -rådet. Endringer kan fortsatt komme, men vi forventer at den blir endelig vedtatt en gang før årsskiftet 2023/2024. Den gir en konkret regulering som inneholder litt av alt, som en form for kompromiss:

  • Forbud
    På en side er det et forbudsregelverk for de mest risikofylte typene AI-løsninger, men forbudet har en viss kunstighet ved at militær bruk og militær etterretning ligger utenfor regelverket. Statene vil dermed kunne fortsatt utvikle avanserte AI-løsninger som er til skade for mennesket og kanskje mest av alt så skjer det uten innsikt og kontroll.

 

  • Risikobasert tilnærming
    På den andre siden, gir forslaget til regelverk begrensede plikter til virksomheter som tilbyr, videreselger eller bruker slike løsninger, gjennom en risikobasert tilnærming og krav om vurdering. Her er det fire risikokategorier: lav, begrenset, høy og uakseptabel risiko.

Det mest interessante er likevel hvilken type regler som gjelder for AI-løsninger som ikke er forbudt, som da vil både gi virksomheter plikter og kunne virke som en beskyttelse for samfunnet. De sentrale pliktene som primært gjelder høy-risiko AI-løsninger er:

  • Merking
    Krav til CE-merking av høy-risiko AI-løsninger for å oppfylle krav til sikkerhet, helse og miljøvern for AI-løsninger som innebærer høy risiko for personers helse, sikkerhet og grunnleggende rettigheter. Spørsmålet er om løsninger med mindre risiko også burde kunne sertifiseres eller merkes på annet vis for å sikre at de er innforstått med krav etter regelverk. Det ville kunne skape mer forutsigbarhet og bevissthet.

 

  • Informasjonssikkerhet og risikostyring:
    Høy-risiko AI-løsninger må ha et risikostyringssystem for å kontrollere risiko og kunne redusere risiko gjennom tiltak.

 

  • Informasjonsplikt og innsyn:
    Ved siden av merking har AI-løsninger en informasjonsplikt for hvordan løsningen fungere og skal brukes, samt gi informasjon om at en IT-løsning innehar AI-funksjonalitet. Dette innebærer også krav til teknisk dokumentasjon. Informasjonsplikten vil være viktig for virksomheter å orientere om i form av policyer eller erklæringer på nettsider, på samme måte som personvernerklæringer for GDPR.

 

  • Menneskelig tilsyn:
    Dette er kanskje en av de viktigste pliktene for virksomheter som bruker AI ved at de ikke kan tillate at AI-løsninger fungerer uten at det er en eller annen form for menneskelig medvirkning og overordnet kontroll. Det er i praksis en sikkerhetsventil.

 

  • Datasikring:
    Høy-risiko AI-løsninger må også ha kvalitetskriterier for bruk av sine treningsdata og system for sikre at data ikke inneholder feil og at de er fullstendige. Dette innebærer også kvalitetssikring for å ivareta personvern og andre fundamentale rettigheter, slik som for eksempel diskriminering.

 

I tillegg kommer plikter som registrering og potensiale for høye overtredelsesgebyr ved brudd. For AI-løsninger som ikke er høy-risiko eller forbudt er pliktene i stor grad begrenset til krav om innsyn og da spesielt plikten til å vite for brukerne at IT-løsningen som brukes innehar AI-funksjonalitet. Generative AI-løsninger skal også ha en informasjonsplikt om at det som skapes (genereres) er skapt ved bruk av AI.

Så hva må du forholde deg til hvis du tenker å bruke AI-løsninger i din virksomhet:

  • Overholdelse av eksisterende regler.
    Det er allerede regler i dag som gjelder uavhengig av om det er AI eller ikke i en IKT-løsning. Dette gjelder eksempelvis risikovurderinger knyttet til bruk av personopplysninger, som ofte er aktuelt med en AI-løsning. Derfor må du overholde GDPR. Et annet eksempel er innen helsesektoren. Her er det sektorspesifikke reguleringer som vil være aktuelle å måtte følge ved implementering av en ny løsning, herunder kan det også være aktuelt med CE-merking allerede i dag.

 

  • Respekter de immaterielle rettighetene og taushetsplikt
    Det er kanskje åpenbart, men det å trene en AI-løsning kan innebære bruk av data du ikke nødvendigvis har rett til. Det kan være at du ikke har bruksrett til slik data etter åndsverkloven eller avtale, eller at det finnes taushetsplikt. Advokater har eksempelvis lovpålagt taushetsplikt. Da må det sikres at data ikke blir delt med tredjeparter.

 

  • Lag retningslinjer for bruk av AI i din virksomhet
    Selv om det ikke er direkte pålagt, så er det rimelig å anta at mange ansatte har startet å bruke ChatGPT. Lag retningslinjer for hvordan det er lov til å bruke og hvilke begrensninger som finnes. Overfor kunder, lag en AI-erklæring eller oppdater andre brukererklæringer på nett om hvordan du bruker AI – for å oppfylle krav til informasjonsplikt og innsyn. Trenger du en mal å starte med; ta kontakt og vi deler!

 

Så er det resterende spørsmålet om dagens utkast til AI-regulering er utfyllende og er det andre plikter som kan vurderes uten at det forhindrer innovasjon og fremskritt? Vel, det er et vanskelig spørsmål. En åpenbar tanke er om ikke enkelte av pliktene, som informasjonsplikt, innsyn, dokumentasjonsplikt, krav til datasikkerhet og datakvalitet også burde gjelde overfor alle AI-løsninger som ikke er forbudt. Det ville kunne fungere forutsatt at kravene ikke innebærer vesentlige kostandsdrevne tiltak, slik som GDPR kan fremstå i forhold til «compliance», blant annet ved at det ikke automatisk innebærer potensiale for vesentlige bøter for lav-risiko AI-løsninger.

Vi må heller ikke glemme at EU-kommisjonen jobber med et AI-ansvarsdirektiv. Det kunne også vært aktuelt å legge ansvarsdirektivet inn i forordningen. Hvis man har andre forslag til regulering av plikter og rettigheter ved bruk av AI, så del gjerne!

Et lite sidespor er spørsmålet om hvordan lovgivere burde samarbeide med teknologibransjen for å følge med i den teknologiske utviklingen. Møtet i Kongressen ble også sett på som en viktig arena for å sørge for at amerikanske senatorer faktisk fikk mer innsikt i hvordan de store teknologigigantene tenkte om fremtiden. Hvordan sikrer vi at europeiske lovgivere har god teknologiforståelse ved regulering av løsninger sjelden har sitt utspring i Europa, men kun er mottagere av AI-løsninger? Like viktig som etablering av AI-tilsyn (tilsvarende Datatilsynet) vil være etableringen av arenaer for god samhandling og meningsutveksling mellom lovgiver, tilsynsmyndighet, brukere og IKT/AI-bransjen.

Til slutt en lite IT-Gruk-refleksjon til ettertanke: En av artiklene om møtet i Kongressen hadde overskriften «The who’s who of the tech world meet with senators to debate plan to regulate AI». Den oppmerksomme leser vil merke seg at alle selskapene som var invitert naturlig nok var amerikanske. Det er de som regnes for å være de som betyr noe innen IT-verden. Ingen av selskapene er europeiske. Palantir er eksempelvis et selskap som har spesialisert seg på analyse av «big data» og har løsninger for nærmest enhver etterretning. Selskapet vil mest sannsynlig falle utenfor AI-forordningen i mange tilfeller. Stusser du over navnet? Det finner det igjen i Ringenes herres og er referert til som dets synesteiner (‘det som skuer i det fjerne’). Pippin hadde ikke helt godt av å se inn i palantiren.

 

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE:
Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du sende en e-post til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.

 

Flere nyheter

Lagmannsretten: Utested har rett til å fastsette høyere aldersgrenser enn minstekravene i alkoholloven
Les mer
Påminnelse om nye lovendringer fra 1. juli 2024
Les mer
Lagmannsretten: Oppsigelse av arbeidstaker som hadde fått innvilget permisjon for å ta etterutdanning, men i realiteten sonet en straffedom, var gyldig
Les mer
Gå til
  • Spisskompetanse
  • Mennesker
  • Cases
  • Kurs