Nytteverdien av å bruke AI-systemer til å utvikle effektive og kraftfulle løsninger gir en fremtidsoptimisme, men vi kan ikke underslå risikoene og de mulige konsekvensene feil bruk av AI-systemer kan medføre. Det er flere forskjellige regelsett som påvirker om og i hvilken utstrekning bruk AI-systemer er lovlig. Det er samtidig viktig å være klar over at det er virksomheten som er ansvarlig dersom AI tas i bruk på feil måte.
Utfordringer ved bruk av AI
Personvern og AI
Forpliktelsene i personopplysningsloven gjelder dersom et AI-system behandler personopplysninger. I slike tilfeller må du sørge for at du har et gyldig behandlingsgrunnlag etter GDPR og at du ikke bryter konfidensialitetskravet i GDPR. Du må undersøke om leverandøren bruker personopplysningene dine til å trene modellene, fordi det kan være tvilsomt om du har tilstrekkelig behandlingsgrunnlag til å gi leverandøren slike muligheter. Du må også vurdere hvorvidt personopplysningene dine må ansees å bli brukt til markedsføring fordi det kan være i strid med både markedsføringsloven og GDPR. Dersom AI-systemet skal brukes til å foreta automatiserte beslutninger som påvirker individer, inkludert profilering, må det foreligge et behandlingsgrunnlag for denne behandlingen og bruken må gjøres i samsvar med vilkårene i GDPR artikkel 22.
Beskyttelse av bedriftens data
For enhver bedrift er det viktig å beskytte forretningshemmeligheter, overholde lovfestede taushets- og fortrolighetsplikter og kontraktsfestede konfidensialitetsforpliktelser. Om du skal bruke generativ AI må du forsikre deg om at bedriftens data er trygge. Du må undersøke om AI-modellen gir seg selv en rett til å trene og forbedre AI-modellen basert på bedriftens data. Enkelte leverandører har såkalte kommersielle databeskyttelsesgarantier. Hos noen leverandører kan du styre hvilken informasjon som AI-modellen får tilgang til, ettersom du selv velger hva slags informasjon du deler gjennom et brukergrensesnitt. I slike tilfeller vil det være innenfor bedriftens kontroll å hindre at AI-leverandøren får tilgang til konfidensiell informasjon. Nylig er det lansert flere verktøy der funksjoner for generativ AI er integrert i bedriftens standardprogramvare på en slik måte at dersom funksjonene tas i bruk vil AI-modellen få tilgang til alle data i bedriftens interne databaser som du selv har tilgang til. I slike tilfeller må du være trygg på at virksomheten har gode rutiner for sikring av tilgangskontroller internt i virksomheten, for på den måten å sikre at AI modellen bare får tilgang til data som du selv har et tjenstlig behov for å ha tilgang til.
Opphavsrett og generativ AI
Det er flere problemstillinger innen opphavsretten knyttet til generativ AI. Er AI-modellen blitt trent opp på opphavsrettslig beskyttet materiale? Er AI-generert innhold beskyttet av opphavsretten og hvem eier AI-generert innhold? Er AI-systemet beskyttet av opphavsretten? Hvem er det som er ansvarlig når AI-generert innhold krenker en tredjeparts opphavsrett? Dette er spørsmål du bør vurdere før og mens du bruker generativ AI. Sørg for å få på plass gode interne retningslinjer for hva som kan sendes inn som «input-data», og hvordan svarene, «output-data», kan anvendes og til hvilke formål.
Erstatningsrett og kontraktsrett
Virksomheter kan bli ansvarlig i henhold til en kontrakt eller lovregler, men også etter alminnelig ulovfestet erstatningsrett utenfor kontrakt, både objektivt ansvar og uaktsomhetsansvar. Leverandøren av AI-systemer vil ofte regulere ansvarsforholdene i kontrakt, og gjerne da begrense sitt eget ansvar der det er mulig. Vi ser imidlertid nå også eksempler på AI-leverandører som kommer med «Copyright Commitment», der leverandøren tar det fulle ansvaret dersom AI-modellens output krenker noen andres opphavsrett. Det er derfor svært viktig at kontraktsvilkårene gjennomgås grundig før et selskap implementerer et AI-verktøy i virksomheten. Gjennomgang av kontraktsvilkårene hos de ulike AI-leverandørene viser at det er store variasjoner fra leverandør til leverandør. Det er særlig viktig å sjekke om dataene dine er beskyttet, om det finnes bestemmelser som gir beskyttelse mot tredjepartskrav, og hvorvidt lisensvilkårene gir adgang til bruk av output materiale til kommersielle formål. Dersom leverandører gir deg garantier om at dataene dine er beskyttet, foreligger det som sagt ofte ansvarsbegrensningsklausuler som gjør at slike garantier får liten betydning. Derfor er det opp til deg å vurdere vilkårene basert på ditt formål og vurdere både de kommersielle, tekniske og juridiske risikoene knyttet til AI-systemet.
Etiske problemstillinger – hvordan hindre bias og diskriminering
Når algoritmene er satt opp etter tidligere mønstre, vil AI-modellen også trenes opp på datagrunnlag som inneholder fordommer og diskriminerende adferd. Kan du egentlig stole på at algoritmene er satt opp på en slik måte at resultatet ikke vil være et brudd på kravene til likestilling? Du bør derfor være oppmerksomme på at AI-systemet kan føre til diskriminerende resultater som du må kunne korrigere for. Selv om det eksisterer «etiske filtre» er det også et spørsmål om vi kan stole på disse? For å identifisere skjevheter og bias generert av AI er det derfor behov for å få på plass en AI governance, med tilhørende retningslinjer og prosesser for å vurdere, overvåke og håndtere etiske utfordringer og å avdekke potensielle skjevheter der AI benyttes som et beslutningsstøtteverktøy.
Ansvarlighet
Det er viktig å huske på at virksomheten er ansvarlig for bruken og gjengivelse av resultater som AI-modeller genererer. Du er ansvarlig for å påse at informasjonen er korrekt og nøyaktig. Skal du eksempelvis bruke AI-generert innhold til markedsføring må innholdet overholde forbrukerlovgivning, eksempelvis at markedsføringen ikke må være villedende eller i strid med god forretningsskikk. Som et overordnet viktig prinsipp bør virksomheter mappe all bruk av AI og dets formål for å få en oversikt over gjeldende regelverk og etiske utfordringer som kan treffe den konkrete AI-bruken.
Oversikt over internasjonale regler og retningslinjer
EUs horisontale regulering av kunstig intelligens
Det var stor spenning knyttet til om EU ville bli å bli enige om en lovtekst knyttet til en felleseuropeisk regulering av kunstig intelligens, («AI Act») før jul. Kommisjonenes utkast til AI Act ble publisert 21. april 2021. I over to år har arbeidet i lovgivningsprosessen pågått. Fredag 6. desember 2023 ble det politisk enighet om AI Act etter tre dager med intense forhandlinger mellom EU-kommisjonen, Rådet og Parlamentet.
Målsettingen med arbeidet med AI Act har vært å etablere et regelverk som fremmer sikkerhet, åpenhet, etterprøvbarhet, diskrimineringsvern og miljøbevissthet rundt systemer for kunstig intelligens. EU ønsker å utnytte de mulighetene og gevinstene AI-systemer kan gi for enkeltindivider og samfunnet, samtidig som det er et ønske om å hindre AI-systemenes negative konsekvenser. Det har vært vanskelig for medlemslandene å bli enige om hva som er den riktige balansen for å fremme innovasjon og la medlemslandene i EU ha eget spillerom, versus det å ha et mer rigid og likt regelsett med strenge reguleringer og høye administrative kostnader for virksomheter som blir underlagt regelverket.
At forhandlingene har vist seg å bli mer krevende enn antatt skyldes også den raske teknologiske utviklingen innen AI det siste året. Lanseringen av store språkmodeller der OpenAIs ChatGPT var først ute, førte til at EU måtte revurdere AI-forordningens nedslagsfelt. Partene har nå blitt enige om at det skal være regler for generativ AI, men at det skal være ulike regler for ulik klassifisering.
Reguleringene i AI Act legger opp til inndeling av AI-systemer ut fra graden av risiko som AI-systemene innebærer overfor brukere og andre. Den risikobaserte tilnærmingen viser seg i form av en firestegs pyramide.
AI-systemer med uakseptabel grad av risiko
Enkelte AI-systemer anses som så risikable at de forbys. Eksempler er AI-systemer som innebærer former for sosial rangering ut fra sosioøkonomisk status og adferd («social scoring»), profilering og utnyttelse av sårbare grupper, bruk av kognitiv adferdsmanipulasjon og bruk av sanntids biometrisk identifikasjonssystemer i offentlige tilgjengelige rom på generelt grunnlag, men med unntak for enkelte tilfeller.
AI-systemer med høy grad av risiko
Et AI-system klassifiseres som høy risiko AI dersom systemet kan utgjøre skade for helse, sikkerhet og grunnleggende rettigheter. De fleste av forpliktelsen i regelverket pålegges AI-systemer innenfor denne kategorien. AI-systemer som skal benyttes i deler av samfunnet hvor det er særlig høy risiko og skadepotensiale for liv, helse, miljø og sikkerhet er eksempler på høy risiko AI. Det vil blant annet gjelde AI-systemer til bruk i kritisk infrastruktur, som sikkerhetskomponent i produkter, i helsesektoren, og AI-systemer som benyttes som beslutningsstøtteverktøy for å rangere kandidater ved ansettelser eller ved utføring av individuell kredittrating. AI-systemer som skal benyttes til utføring av enkelte av offentlige myndigheters oppgaver innen innvandring, rettsvesen og politi vil også utgjøre høyrisiko AI.
Kravene til leverandører av høy risiko AI vil omfatte blant annet krav til risikovurderinger og governancestrukturer, datakvalitet, dokumentasjon og åpenhet, menneskelig overoppsyn, informasjonssikkerhet, sporbarhet og nøyaktighet. Det vil videre bli stilt krav om at den som benytter høy risiko AI etablerer rutiner, foretar konformitets- og risikovurdering, menneskelig overvåkning og hendelsesrapportering.
Systemer med begrenset grad av risiko
Leverandører og brukere av AI-systemer med begrenset risiko vil ha betydelig færre forpliktelser. De skal imidlertid overholde forpliktelsen som gjelder for alle AI-systemene ved å innrette løsningene og bruken på en slik måte at de som samhandler med et AI-system forstår at det er det de gjør og at de blir informert om at innhold er AI-generert.
Systemer med minimal grad av risiko
Leverandører og brukere av slike systemer vil trolig ikke bli underlagt noen forpliktelser, men blir anbefalt å følge generelle prinsipper og Code og Conduct på frivilling basis.
AI Act legger opp til at ansvar for å sikre etterlevelse av regelverket skal kunne rettes mot aktørene i alle ledd fra utvikling til tilbud av tjeneste, alt fra produktprodusenten, leverandør, importør, distributør, bruker og andre tredjeparter. AI Act gjelder for tilbydere og brukere av AI-systemer innenfor EU. Regelverket vil ha grenseoverskridende effekt ved at aktører som er etablert utenfor EU er omfattet, dersom tilbydere og brukere av AI-systemet er lokalisert i EU, og etter hvert EØS. Det er et unntak for formål forankret i nasjonalsikkerhet og for enkelte produkter som omfattes av spesifikk EU-lovgivning.
Regelverket er komplekst. Den endelige lovteksten er ikke utformet og vedtatt formelt ennå, selv om rammeverket er klart. Vi kommer tilbake til konkrete detaljer når den endelige teksten publiseres og det er klart hva som blir det endelige resultatet etter triologiforhandlingene. AI-forordningen må formelt vedtas og den vil ikke tre i kraft før tidligst 2026. I Norge kan man forvente at AI-forordningen implementeres gjennom EØS-avtalen, men det vil ta noe lenger tid før loven gjelder i Norge.
Oversikt over regelverk i Kina og retningslinjer i USA og Storbritannia.
Kina har vedtatt en rekke lover. Dette inkluderer regler knyttet til generativ AI, anbefalinger om hva slags informasjon og innhold som kan spres, samt. regler knyttet til utvikling og styring av algoritmer der utviklere må registrere informasjon og hvordan algoritmene er trent i et algoritmeregister. I USA og Storbritannia har det kommet retningslinjer i form av «Whitepaper». Retningslinjene er ikke er rettslig bindende. Den amerikanske retningslinjen «Blueprint for an AI Bill of Rights» inneholder fem prinsipper med retningslinjer til sikkert og effektivt system, beskyttelse mot diskriminerende algoritmer, beskyttelse av personvern, varsel overfor brukere om at AI er benyttet, åpenhet og transparens, samt retningslinjer vedrørende menneskelig overvåkning. Storbritannia har også publisert retningslinjer som inneholder mange av de samme prinsippene, i tillegg krav til rettferdighet, ansvarlighet og governance, åpenhet og adgang til å kreve kompensasjon.
Konkrete tips til virksomheter som ønsker å implementere AI
- Du må vite hva du skal bruke AI til og avklare hvilke lover som kan gjelde den konkrete bruken
- Skal du kjøpe AI-tjenester må du undersøke hvilke muligheter og begrensninger leverandøren av AI-systemet angir i kontraktsvilkårene. Deretter bør du etablere rutiner for å sørge for at du overholder vilkårene.
- Etabler et AI governance rammeverk på samme måte som du har rammeverk for IT-systemer, med fokus på de særlige risikomomentene som er aktuelle for den typiske bruken.
- Etabler risikomitigerende tiltak basert på risikoanalyser og konkrete brukercaser for å sikre at du er compliant og overvåker AI-systemene fra et juridisk, compliance, risk, finans og informasjonssikkerhetsperspektiv.
- Dokumenter prosessen og revider dokumentasjonen jevnlig ut i fra risikoen som erfares.
- Hold deg orienter på det skiftende landskapet med lover og regler som stadig er i endring.
- Forbered deg på AI-forordningen, dersom det er sannsynlig at du bli truffet av regelverket.
Artikkelen er skrevet av Jostein Ramse, Camilla Gjersem og Nora Ellingsen.