IT-Gruk 5/2023: Bør vi være redd AI? Noen rettslige problemstillinger

Personvern og AI

I noen tilfeller vil eksisterende regler kunne anvendes på ny teknologi, men det i noen tilfeller vil kreves tilpasning i regelverket for at det kan anvendes. Det kan også komme tilfeller hvor det vil være behov for å sette begrensninger. Kanskje er det av frykt for hva AI kan gjøre med oss. Det italienske datatilsynet har gått til det midlertidige skritt å forby bruk av ChatGPT.

Basert på GDPR, som også gjelder i Norge, har datatilsynet i Italia kommet til at OpenAI, som utviklet og administrerer plattformen ChatGPT, ikke kan bruke data fra italienske brukere ettersom ChatGPT ikke etterlever GDPR. Datatilsynet i Italia har i vurderingen lagt vekt på mangelen på informasjon til brukere og alle interesserte parter hvis data samles inn av OpenAI. I tillegg kommer fraværet av et rettslig grunnlag som rettferdiggjør masseinnsamling og lagring av personopplysninger, med det formål «trene» algoritmene som ligger til grunn for driften av plattformen.

Et annet element som er trukket frem er at selv om tjenesten i henhold til vilkårene publisert av OpenAI, er rettet mot personer over 13 år, så finnes ikke et filter for å verifisere alderen på brukere og utsetter dermed mindreårige for absolutt uegnede svar sammenlignet med deres grad av utvikling og selvinnsikt.

Det vil bli interessant å se om andre europeiske datatilsyn vil følge samme rasjonale og forby bruk av ChatGPT med personopplysninger for det enkelte land. Deretter er spørsmålet om andre AI-løsninger, som AI for Snapchat vil følge etter.

AIA – en forordning for å regulere AI

AI-teknologi kan være et gode for menneskeheten, men bruk av AI kan også negative sider som skaper bekymring. Til og med i det normalt liberale USA har det blitt stilt spørsmål om behovet for å regulere AI-teknologi. Her har EU kommet lenger. EU-kommisjonen presenterte et utkast til AI-regulering (AIA) allerede i april 2021, og forutsatt at trilogforhandlingene mellom EU-kommisjonen, parlamentet og rådet lykkes, så tilsier signalene at AIA kan bli vedtatt allerede til sommeren 2023. Deretter kommer en implementeringsperiode på 24-36 måneder.

Hva ligger i denne reguleringen? Bak AIA ligger et grunnleggende behov for et fungerende indre marked, samtidig som det skal sikre grunnleggende rettigheter og friheter for borgerne. Regelverket skal dermed bidra til å sikre sikker utvikling av, og en pålitelig og menneskesentrert AI. Hvordan dette skal skjer er ikke like enkelt å forstå. På enkelte punkter kan AIA ligne på GDPR med en risikobasert tilnærming for å sikre rettigheter og friheter.

Den risikobasert tilnærming for AI stiller krav til spesielt leverandører, utviklere og brukere av AI-teknologi. De foreslåtte reglene innebærer at de AI-løsninger som utgjør økt risiko ved bruk, og dermed en potensiell trussel mot samfunnet og enkeltpersoner, reguleres strengere (og for de mest risikable AI-løsninger vil det innebære et forbud). Inndelingen er basert på følgende:

• Lav risiko-AI (minimal risk, art. 69); slik som spam filtre og dataspill.
• Begrenset risiko-AI (limited risk, art. 52); slik som chatbots, deep fake, løsninger som oppfatter følelser.
• Høyrisiko-AI (high risk, art. 6 flg); slik som AI-løsninger i utdanning, rekruttering, kritisk infrastruktur og innvandring.
• Uakseptabel høy risiko-AI (unacceptable risk); slik som ansiktsgjenkjenning, manipulering, dark-pattern.

De sentrale konsekvensene er at AI-løsninger med uakseptabel risiko vil være forbudt, høyrisiko-AI vil kunne ha krav om sertifisering eller CE-merking, AI med begrenset risiko vil kreve åpenhet og AI-løsninger med lavrisiko vil kreve retningslinjer (code of conduct).

AIA vil også inneha potensialer for bøter som kan ligne på GDPR. Spørsmålet om dette vil innebære tilsvarende behov for implementering som GDPR hvis de fleste IT-løsninger tar i bruk «noe» som kan kvalifisere som AI? Og så får vi se hva myndigheter til slutt velger av rammer – kanskje noen får assosiasjoner til Skynet og Terminator?

AI og opphavsrett

En annen, og kanskje mer spennende, diskusjon omkring AI er spørsmålet om AI kan skape åndsverk? Spørsmålet er ikke konkret avklart etter norsk opphavsrett, men mye tyder på hvis dette skulle komme på spissen så ville den naturlige løsningen etter vår rettstradisjon være at bruk av en AI-løsning ikke kan føre til et rent AI-skapt åndsverk. Åndsverkloven § 2 annet ledd lyder her: «Med åndsverk forstås i denne loven litterære eller kunstneriske verk av enhver art, som er uttrykk for original og individuell skapende åndsinnsats». Dette innebærer at et åndsverk må gi uttrykk for opphavspersonens individuelle skapende innsats. Et menneske må derfor sette et estetisk uttrykk på verket. Det hindrer ikke bruk av teknologi for å skape kunst, som bilder og musikk, men da som et hjelpemiddel for menneskets skapende og villede innsats. I kjernen av den europeiske opphavsretten ligger et ønske om å understøtte skapelse av åndsverk i lys av at intet kommer fra intet, og dermed også skal kunne innebære deling.

Her kommer vi til det som kan være eller bli en utfordring i en stadig mer global hverdag og bruk av globale plattformer. Spørsmålet er om en amerikansk tilnærming til eierskap av åndsverk med større fokus på beskyttelse av eiendom vil innebære at amerikansk rett i større grad vil kunne akseptere AI-skapte åndsverk. Kan vi da se for oss at en AI-plattform kan skape en milliard bilder av «elg-i-solnedgang» kun begrenset av regnekapasiteten? Dette vil dermed potensielt medføre at ved tilgjengeliggjøring for allmenheten av disse bildene vil kunne hindre andre i å bruke eller frembringe tilsvarende bilder. Bruk av AI vil da kunne hindre individuelt skapende arbeid. Vi får håpe det ikke skjer.

Til slutt et kort innspill om AI og opphavsrett. Alle AI-plattformer trenger i dag et datagrunnlag for å læres opp. Ved kommersialisering av en AI-løsning vil bruk av store datasett kunne innebære bruk av andres åndsverk og dermed snylte på andres rettigheter. Sørg for at du har rett til å bruke datasett til læring.

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du sende en mail til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.