KUNSTIG INTELLIGENS

Hva skjer når ChatGPT møter GDPR?

Tilsynsmyndigheter med nye hjemler og fullmakter, og nytt og uklart lovverk, møter nå ny teknologi. Det vil ende i rettssalene, mener forfatterne av dette innlegget.

Utviklingen på AI-feltet vil også få regulatoriske og juridiske følger. Fra høyre: Petter Bjerke, Ørjan Salvesen Haukaas og Kjetil H. Johansen i DLA Piper Norway.
Utviklingen på AI-feltet vil også få regulatoriske og juridiske følger. Fra høyre: Petter Bjerke, Ørjan Salvesen Haukaas og Kjetil H. Johansen i DLA Piper Norway. Foto: DLA Piper Norway
Kjetil H. Johansen (managing partner), Ørjan Salvesen Haukaas (partner) og Petter Bjerke (partner) i DLA Piper Norway.
12. feb. 2023 - 17:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Europeiske tilsynsmyndigheter ga gigantiske bøter for brudd på personvernreglementet i 2022.

Facebook og Instagram fikk begge rekordbøter for brudd på EUs personvernforordning (GDPR). I Norge fikk Grindr en bot som var historisk høy. Det er et resultat av at bøtene skal være «virkningsfulle, proporsjonale og virke avskrekkende». For selskaper med en global omsetning i milliardklassen betyr særlig det siste at bøtene må svi.

Vi som privatpersoner gjør i praksis en byttehandel med selskapene bak sosiale medier.

Forenklet sagt: Vi får «gratis» tilgang til en digital tjeneste, mens den reelle betalingen er at de får tilgang til en ny markedsføringskanal hvor det kan pushes ut tilpasset reklame. Jo mer effektiv og målrettet reklamen er, jo mer penger kan aktørene tjene. Derfor gir vi dem også lov til å bruke aktiviteten vår på nett til å lære mest mulig om oss, slik at reklamene er mest mulig skreddersydd den enkelte brukers adferdsmønster.

Bakgrunnen for de store GDPR-bøtene er at plattformene ikke kan basere seg på at vi «gir dem lov» til å spore og tilpasse reklamen basert på at vi aksepterer brukervilkårene, og da i form av en «take it or leave it» løsning. Snarere krever GDPR at slik sporing skal være basert på et aktivt samtykke.

Rettssaker i kø

GDPR, og praksisen i de europeiske datatilsynene, har strammet inn på muligheten for dette.

Ny lovgivning strammer ytterligere inn på mulighetene. EUs Digital Markets Act – eller DMA – samt den nye digitalytelsesloven som trådte i kraft 1. januar 2023 er eksempler på det. Ny, og til dels uklar, lovgivning vet vi av erfaring at vil lede til rettstvister. Når cocktailen blandes opp med økt villighet til å håndheve strengt, er mixen klar; domstolskontroll blir nødvendig, og rettssakene blir mange.

Digitalytelsesloven er basert på EU-regler, hvor det bestemmes at dersom en forbruker oppgir personopplysninger (med mindre leverandøren behandler personopplysningene utelukkende for å kunne levere den digitale ytelsen eller overholde lovpålagte plikter), anses dette som vederlag. Dersom vederlag ytes, får forbruker også rettigheter.

Forbrukertilsynet og Markedsrådet skal føre kontroll med at Digitalytelsesloven overholdes og kan fatte vedtak om overtredelsesgebyr. Når moderniseringsdirektivet er implementert i Norge i løpet av 2023, vil vi trolig se at overtredelsesgebyrene vil øke, siden vi vil få et klarere rammeverk der bøtene kan måles ut etter omsetning, på samme måte som i GDPR.

Brukerne vil også kunne stille større krav til blant annet tjenestenivået og funksjonalitet.

Jussen er komplisert i utgangspunktet, særlig når lovreglene er nye og uprøvde. Dette blir ytterligere komplisert fordi nye teknologier støter på andre utfordringer med GDPR enn de vi nå ser i sosiale medier.

Kunstig intelligens vil reise nye problemstillinger.

Men ny juridisk mark vil nødvendigvis bli pløyd etter hvert som AI-tjenestene kommer enda tettere på oss alle.

Nye tjenester gir nye utfordringer

Samtaletjenesten ChatGPT er et godt eksempel på utfordringene som vil møte oss. Tjenesten ble åpnet for allmennheten i slutten av 2022 og ble umiddelbart en stor suksess. Selskapet bak, OpenAI, bruker per nå, ifølge dem selv, ikke tjenesten til å tjene penger.

På et eller annet tidspunkt vil dette naturligvis endre seg. Uten å spekulere for mye på hvordan det skal skje, forstår vi alle at kjernen i teknologien er analyse og anvendelse av informasjon, som både hentes fra og brukes av noen.

Slike tjenester reiser kompliserte utfordringer hvor ikke bare GDPR – som virksomheter etter hvert har fått en viss «kontroll» på – men også ny lovgivning vil komme inn, der ytterligere tilsynsmyndigheter er gitt håndhevingskompetanse og hvor flere brukere vil kunne stille rettslige krav til tjenestene.

Dette kommer til å utsette mange teknologivirksomheter for nye utfordringer både i møte med tilsynsmyndighetene og brukerne. Mange saker vil sikkert løses, men mange saker vil uunngåelig havne i rettssystemet og bli til årelang strid.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.