Personvernbloggen

Dette innlegget, signert direktør Line Coll og seksjonssjef Tobias Judin, sto på trykk i Aftenposten 29. januar 2024.

EU finpusser verdens første kunstig intelligens(KI)-lov, og en lekket versjon begynte å sirkulere på nett denne uken. Hvilke utfordringer vil reglene løse, og hvilke gjenstår?

Førsteamanuensis og Aftenposten-spaltist Inga Strümke skriver med rette at vi trenger EUs KI-forordning for å regulere KI. Samtidig er vi ikke helt enige i at reglene rydder opp i paragrafjungelen.

Forordningen samler ikke KI-regler på ett sted, men kommer i tillegg til andre lover som regulerer KI, slik som GDPR (personvernforordningen). Det er også mange KI-systemer som ikke er omfattet av forordningen.

Strümke har også rett i at Norge må jobbe godt med å få reglene inn i norsk rett. Utfordringen er å innføre reglene på en måte som tar ned kompleksiteten for virksomheter og samtidig ivaretar verdiene i samfunnet.

Forbud og samspill

Forordningen inneholder flere forbud og vil tilrettelegge for KI som vi kan stole på, og som ivaretar menneskerettigheter og demokrati. For eksempel forbys manipulativ KI som forårsaker vesentlig skade.

Imidlertid forbys ikke KI som bare fører til medium skade. Det skaper uklarhet og rom for omgåelse. Spørsmålet er da hvor effektive reglene vil være. Dette er et av mange eksempler på at forordningen må suppleres, helst av klare nasjonale regler. I det minste av etikk og fornuft.

Reglene oppstiller også plikter for høyrisiko-KI. Eksempler er KI som brukes til rekruttering eller avgjørelser om trygdeytelser. Det stilles krav til risikovurdering, gode treningsdata, testing, dokumentasjon og involvering av mennesker. Algoritmene må være nøyaktige og sikre nok.

Mange av pliktene overlapper med GDPR. Det er derfor både viktig og ressursbesparende å se de to lovene i sammenheng, av hensyn til gode helhetsvurderinger og for å unngå dobbeltarbeid.

De fleste av de nye pliktene gjelder tilbyderne. Samtidig reguleres hele verdikjeden, også de som skal bruke KI, som får en huskeliste: Følg bruksanvisningen, husk opplæring, bruk representative data og meld avvik.

Generativ KI

Forordningen vil også regulere KI-modeller som kan brukes til ulike formål, som generativ KI.

Tilbyderne må dokumentere modellenes evner og begrensninger, tenke opphavsrett samt publisere oversikt over treningsdata. De mest kompliserte modellene må ha risikoreduserende tiltak.

Det blir EU-kommisjonen som skal håndheve akkurat disse reglene.

Tilsyn

Hva gjelder tilsyn med de øvrige reglene, peker forordningen i ulike retninger: til datatilsynene for justissektoren og til finanstilsynene for finanssektoren. Ut over det må hvert land velge sin(e) tilsynsmyndighet(er).

Spørsmålet nå er om vi ønsker å legge mest mulig ett sted, eller om vi ønsker en sektorvis og fragmentert tilnærming.

Tilsynsmyndighetene skal imidlertid ikke bare sanksjonere, men også støtte ansvarlig innovasjon gjennom regulatoriske sandkasser, slik Datatilsynet tilbyr.

KI-forordningen løser ikke alt. Det er smutthull, mange former for KI er ikke omfattet, vi må unngå dobbeltarbeid, og vi må lage et godt system for tilsyn.

Hvordan vi løser dette, vil avgjøre om Norge lykkes med KI.