KUNSTIG INTELLIGENS

Juridisk tåke hemmer bruken av KI

David Særsten Brambani, partner i advokatfirmaet Schjødt, skriver i kronikken at for å navigere i «tåken» er det til hjelp å se til personvernprinsipper som er særlig sentrale for bruk av kunstig intelligens.

David Særsten Brambani skriver her at om EU-kommisjonens vurdering legges til grunn, vil de fleste KI-systemer ikke pålegges nye krav i AI Act.
David Særsten Brambani skriver her at om EU-kommisjonens vurdering legges til grunn, vil de fleste KI-systemer ikke pålegges nye krav i AI Act. Foto: Pressefoto
David Særsten Brambani i advokatfirmaet Schjødt
19. jan. 2024 - 09:57

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Kun én av fire virksomheter bruker KI i dag, viser en spørreundersøkelse om mulighetene og barrierene knyttet til kunstig intelligens (KI/AI) som høsten 2023 ble utført av Samfunnsøkonomisk Analyse på oppdrag fra Næringslivets Hovedorganisasjon (NHO) med flere. I DNs artikkel av 7. januar 2024 uttaler Anniken Hauglie, viseadministrerende direktør i NHO, at tempoet må opp.

I rapporten fra Samfunnsøkonomisk Analyse pekes det på at:

«Det er også krevende for spesielt små virksomheter å sette seg tilstrekkelig inn i gjeldende lover og regler. […] Digital Norway [peker bl.a.] på hvordan en juridisk tåke senker seg over AI-satsingen, hvorpå det er svært krevende for norske virksomheter å bevege seg i slik tåke»

Sentrale personvernprinsipper

Forholdet til personvernreglene, herunder GDPR, og EUs AI Act står sentralt. Når tåken synes for tjukk, er det for GDPR til hjelp å se hen til personvernprinsipper som er særlig sentrale for bruk av KI:

  • Rettferdighet: Behandlingen av opplysningene, herunder innsamlingen av disse, skal foregå på en rettferdig måte for personen(e) opplysningene gjelder, det vil si «den registrerte». For bruk av KI er det særlig viktig at KI-algoritmene ikke fører til et diskriminerende resultat – for eksempel som følge av at treningsdataene ikke er adekvate/representative for virkeligheten.
  • Formålsbestemthet: Behandlingen av opplysningene må ha spesifiserte, uttrykkelig angitte og berettigede formål. Behandlingen må være nødvendig for å nå formålene. Senere behandling må ikke være uforenlig med disse formålene.
  • Dataminimering: Dataene som innhentes skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Opplysningene må med andre ord ha en nær og naturlig sammenheng med formålet de skal behandles for og dessuten være egnet for å bidra til at formålet oppnås. Anonymisering og begrensning av informasjonen som innhentes er blant tiltakene som må vurderes.
  • Gjennomsiktighet og retten til informasjon: De registrerte har blant annet krav på informasjon om hvordan opplysningene brukes. Det må gis informasjon om behandlingen som er forståelig, og behandlingen må være forutsigbar.

Hva gjelder EUs AI Act, ble det oppnådd politisk enighet om denne i EU 9. desember 2023. Den endelige teksten er i skrivende stund ikke klar, men overordnet kan det konkluderes med at AI Act skiller mellom KI-systemer og krav til disse basert på en risikotilnærming i fire kategorier. EU-kommisjonen legger til grunn at de fleste KI-systemer faller inn under kategorien «minimal risiko». Et eksempel er spamfiltre. AI Act stiller ikke konkrete krav til slike systemer.

I ferd med å lette

Legges EU-kommisjonens vurdering til grunn, vil de fleste KI-systemer ikke pålegges nye krav i AI Act.  

AI Act-tåken er dermed i ferd med å lette. De tre andre kategoriene KI-systemer er: 

  • Begrenset risiko: I denne kategorien faller KI-systemer med risiko for at brukerne ikke forstår at de bruker eller samhandler med en maskin. For eksempel såkalte «deep fakes». Typisk er kravene i AI Act her begrenset til at brukeren må informeres om at det aktuelle innholdet er KI-generert.
  • Høy risiko: KI-systemer som innebærer risiko for helse, sikkerhet og samfunn, faller i denne kategorien. Slike systemer vil pålegges å overholde strenge krav. Eksempler på systemer som kan falle i denne kategorien, er systemer til bruk innenfor kritisk infrastruktur, som vann, gass og elektrisitet, systemer for bruk ved ansettelser, biometrisk identifikasjon og følelsesgjenkjenningssystemer.
  • Uakseptabel risiko: KI-systemer som anses som en klar trussel mot grunnleggende prinsipper og rettigheter, vil bli forbudt. Eksempler er KI-systemer som manipulerer menneskelig atferd for å omgå brukernes frie vilje, systemer for opptak ved studier og rekruttering av ansatte, systemer som er utformet for sosial rangering, systemer for gjenkjennelse av følelser brukt på arbeidsplasser og i utdanningssammenheng, samt biometrisk fjerngjenkjenning i offentlige områder.

AI Act ventes å tre i kraft i 2026.

Amazon skal investere cirka 44 milliarder kroner i en av Open AIs argeste konkurrenter – Anthropic.  Her er Amazons toppsjef Andy Jassy.
Les også

Slik skal Amazon legge til rette for «neste generasjon» KI

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.