Datatilsynets nye rapport, «Kunstig intelligens og personvern», ble i dag lagt fram under et arrangement i regi av Dataforeningen.
Presentasjonen ble innledet av direktør i Datatilsynet, Bjørn Erik Thon, som fortalte at når slik som finanstjenester, selvkjørende kjøretøyer og medisin blir stadig mer persontilpasset, så avhenger dette av bruken av maskinlæring med datasett med personopplysninger om hver enkelt av oss.
Dette, kombinert med at Datatilsynet har som mål av å ligge i forkant av de store endringene som skjer i samfunnet, har vært med på å legge grunnlaget for den nye rapporten. Sentralt er også GDPR, personvernforordningen som Thon mener det er på tide å kalles for den nye personopplysningsloven i Norge, noe den vil være når den trer i kraft den 25. mai.
Utfordrer grunnleggende prinsipper
Selve rapporten var det Christine Dalebø Gjerdevik som presenterte. Hun er juridisk rådgiver i Datatilsynet.
– Kunstig intelligens er kort fortalt datasystemer som kan analysere informasjon og ta beslutninger på bakgrunn av denne informasjonen. For å lære å analysere og ta beslutninger, må systemet trenes med relevante opplysninger. Skal systemet diagnostisere sykdom, så må det kanskje lese noen tusen pasientjournaler og vitenskapelige artikler, fortalte hun.
– Dette betyr at kunstig intelligens ofte trenger store mengder personopplysninger for å bli smart. Det er spådd at kunstig intelligens vil gi oss enorme samfunnsgevinster i tiden som kommer, sa Gjerdevik.
Men hun la til at det er noen utfordringer med denne teknologien, sett opp mot GDPR og grunnleggende prinsipper for behandling av personopplysninger.
Gjerdevik beskrev en håndfull av disse grunnleggende prinsippene, som samlet sett sier at personopplysninger skal brukes på en lovlig, rettferdig og gjennomsiktig måte.
Deretter fortalte hun at det spesielt er tre av de grunnleggende prinsippene som blir utfordret av kunstig intelligens.
Ikke fritt fram med mest mulig data
Det ene er prinsippet om dataminimering,
– Kunstig intelligens trenger mye mer info for å lære enn det mennesker trenger. Dette har ført til et mantra om jo mer data, desto bedre læring. Men det er ikke fritt frem å gjøre dette. Prinsippet om dataminimering krever at utviklere må vurdere hvilke opplysninger som er relevante og nødvendige for å lære opp systemet. Man må altså begrense seg, sa Gjerdevik.
Hun la dessuten til at irrelevante opplysninger også kan føre til å systemet finner tilfeldige sammenhenger som det ikke er ønskelig at det legger vekt på.
Saken fortsetter under bildet.
Utfordret blir også prinsippet om gjennomsiktig behandling. Dette krever at den som det blir behandlet opplysninger om, skal få informasjon om denne bruken. Dette er ifølge Gjerdevik nødvendig for at disse personene skal kunne ivareta sine egne rettigheter i henhold til personvernforordningen.
– Kunstig intelligens utfordrer dette prinsippet dels fordi det er vanskelig å forklare hvordan disse systemene bruker personopplysningene, dels fordi det også kan være vanskelig å forklare hvordan systemet kommer fram til et gitt resultat. Men selv om det er vanskelig å forklare, så må man prøve. For de som det behandles opplysninger om, skal få forståelig informasjon, og i noen tilfeller også en begrunnelse for hvorfor resultatet ble som det ble, fortalte Gjerdevik.
Balansert og representativt datagrunnlag
Det tredje prinsippet som utfordres, handler om rettferdig behandling.
– Behandling av personopplysninger skal ikke føre til diskriminering eller usaklig forskjellsbehandling. Prinsippet utfordres fordi kunstig intelligens ikke er mer objektivt enn de opplysningene det lærer av, sa Gjerdevik.
Hun viste til en chatbot fra Microsoft, Tay, som våren 2016 ble tatt i bruk på Twitter.
– Etter bare noen timer var den blitt både rasist, nazist og Trump-tilhenger. Den lærte bare av andre Twitter-brukere, fortalte Gjerdevik.
– Systemer må læres opp til å ta objektive beslutninger, og de må trenes med et balansert og representativt datagrunnlag, fortsatte hun.
Ingen undergang
For Datatilsynet er det likevel viktig å ikke bare være problemfokuserte.
– Vi tror ikke at kunstig intelligens blir personvernets undergang. Vi vet at det finnes teknologiske løsninger som kan bidra til å ta vare på personvernet også når kunstig intelligens utvikles og brukes, sa Gjerdevik.
Noen av disse teknologiene omtales i rapporten. Gjerdevik trakk fra Explainable AI som et eksempel.
– Denne teknologien vil gi en forklaring av resultatet, sammen med resultatet. For eksempel vil den si at «dette er et bilde av en katt fordi objektet har ører, hale og værhår», fortalte hun.
Hun understreket samtidig at dersom personvernet skal ivaretas, må disse teknologiene tas i bruk.
– Det må også forskes mer på denne typen løsninger. For å sørge for dette, må de som kjøper og bruker disse systemene, stille krav om at systemene oppfyller de kravene som er i personvernforordningen. Et system om ikke oppfyller disse kravene, er et verdiløst system, avsluttet Gjerdevik.
Arrangementet fortsatte minst en time etter Gjerdeviks foredrag, blant annet med paneldebatter om rapporten. Digi.no hadde dessverre ikke anledning til å følge disse, men videoopptak av arrangementet vil trolig bli lagt ut på Dataforeningens nettsted i etterkant.