IT-Politisk Forening om AI: ’Reguleringsmæssige sandkasser’ kan føre til øget overvågning
AI-forordningen giver mulighed for såkaldte ”reguleringsmæssige sandkasser”, hvor systemer til kunstig intelligens kan udvikles. Det kan være en glidebane til øget aktivitet med at udvikle indgribende overvågningssystemer, skriver Jesper Lund.
Jesper Lund
Formand, IT-Politisk ForeningSom nævnt i mit første Altinget-indlæg har EU-Kommissionens forordningsforslag om kunstig intelligens mange gode elementer. Der er et vigtigt forbud mod de mest skadelige anvendelser af kunstig intelligens, og denne liste bliver forhåbentlig udvidet inden forordningen vedtages.
I april kom EU-Kommissionen med et forslag til, hvordan kunstig intelligens kan reguleres på verdensplan.
Ifølge Kommissionen selv, er det første gang nogensinde, der bliver foreslået en retlig ramme for kunstig intelligens.
Reglerne skal nu forhandles på plads mellem Europa-Parlamentet, Kommissionen og medlemslandene. Når det er sket, begynder en implementeringsperiode, hvorefter reglerne vil være gældende i hele EU.
Lovprocessen rejser dette grundlæggende spørgsmål: Hvordan skal vi udnytte kunstig intelligens?
Her er panelet
- Mikael Ekman, direktør for Politik og Strategi, Microsoft Danmark & Island
- Natasha Friis Saxberg, direktør, IT-Branchen
- Anders Kofod-Petersen, professor ved Norges Teknisk-Videnskabelige Universitet, Trondheim; afgående AI-forsker ved Alexandra Instituttet
- Jesper Lund, formand, IT-Politisk Forening
- Rikke Frank Jørgensen og Marya Akhtar, seniorforsker og specialkonsulent, Institut for Menneskerettigheder
- Niels Bertelsen, formand, Prosa
- Thomas Ploug, professor, Institut for Kommunikation og Psykologi, Aalborg Universitet
- Karen Melchior (R), medlem af Europa-Parlamentet
- Birgitte Arent Eiriksson, vicedirektør, Justitia
- Rikke Hougaard Zeberg, branchedirektør, DI Digital
- Nanna Bonde Thylstrup, lektor med speciale i kommunikation og digitale medier, CBS
- Christel Schaldemose (S), medlem af Europa-Parlamentet
- Janus Sandsgaard, digitaliseringspolitisk fagchef, Dansk Erhverv
For AI-systemer med høj risiko er der krav om en forudgående overensstemmelsesvurdering ud fra harmoniserede standarder.
Kritisk implementeringsarbejde
Disse noget tekniske procedurer tager udgangspunkt i EU-reguleringen af sikkerhedskomponenter for produkter, som søges overført til selvstændige IT-systemer med en liste af højrisiko-AI-systemer i Bilag III.
Det er eksempelvis biometrisk fjernidentifikation, rekruttering, bedømmelse af studerende, tildeling af offentlige ydelser, kreditvurdering, grænsekontrol og retshåndhævelse (blandt andet ’predictive policing’ som POL-INTEL).
Da denne type regulering af IT-systemer er ny, forestår der et særdeles kritisk implementeringsarbejde med at fastlægge relevante standarder og procedurer.
Der bør i denne proces være flere formelle krav om inddragelse af eksterne tredjeparter, så omfanget af interne vurderinger hos udbydere af højrisiko-AI-systemer mindskes
Samspil med GDPR bør formaliseres
Højrisiko-AI-systemer skal udover den nye AI-forordning naturligvis overholde de eksisterende krav om databeskyttelse i GDPR. Det samme gælder for AI-systemer, der ikke er klassificeret som højrisiko, og som kun i meget begrænset omfang reguleres af den nye forordning (primært med frivillige adfærdskodekser).
Ønskerne om adgang til store datamængder for at ’træne’ AI-algoritmer kan nemt komme i konflikt med GDPR’s centrale krav om dataminimering, formålsbegrænsning og databeskyttelse gennem design
Jesper Lund
Formand, IT-Politisk Forening
Det er ingen selvfølge, at AI-systemer overholder kravene i GDPR. Ønskerne om adgang til store datamængder for at ’træne’ AI-algoritmer kan nemt komme i konflikt med GDPR’s centrale krav om dataminimering, formålsbegrænsning og databeskyttelse gennem design.
Hvis kunstig intelligens bruges til automatiske afgørelser med retsvirkning eller tilsvarende betydning for borgeren, sætter GDPR også grænser for, hvad der er lovligt.
Den dataansvarlige under GDPR vil typisk være bruger af et AI-system, mens kravene i AI-forordningen primært er rettet mod udbydere af AI-systemer. Der vil være både et overlap og et samspil mellem konsekvensanalyser under GDPR (artikel 35-36), som den dataansvarlige skal stå for, og overensstemmelsesvurderinger i AI-forordningen.
Dette samspil bør formaliseres i AI-forordningens bestemmelser.
Det vil skabe de bedste rammebetingelser for, at alle relevante risici for borgernes rettigheder og frihedsrettigheder bliver identificeret og begrænset, inden AI-systemet tages i brug.
Kan være glidebane
For at fremme innovation giver AI-forordningen mulighed for såkaldte ”reguleringsmæssige sandkasser”, hvor systemer til kunstig intelligens kan udvikles.
Forholdet til GDPR i disse 'sandkasser' er ikke fuldstændigt klart, men der skabes konkret i AI-forordningens artikel 54 en hjemmel til at fravige formålsbegrænsningen i GDPR og viderebehandle personoplysninger til udvikling af AI-systemer.
Det forudsætter, at personoplysningerne behandles i et isoleret, teknisk miljø, og at behandlingen ikke bruges til foranstaltninger mod enkeltpersoner. Den sidstnævnte retsgaranti minder om dét, som gælder for viderebehandling til forskning og statistik under GDPR.
Overgangen fra udvikling til sagsbehandling hos offentlige myndigheder kan være ganske kort, når der er tale om AI-systemer
Jesper Lund
Formand, IT-Politisk Forening
Overgangen fra udvikling til sagsbehandling hos offentlige myndigheder kan imidlertid være ganske kort, når der er tale om AI-systemer.
Gladsaxe-modellen
En retsgaranti om, at personoplysninger i udviklingsprojektet ikke må bruges til sagsbehandling, har en begrænset beskyttelsesværdi, hvis personoplysningerne blot kan hentes igen fra de samme bagvedliggende databaser, og derefter anvendes sammen med de frembragte algoritmer fra udviklingsprojektet.
Det viser erfaringerne fra den omstridte Gladsaxe-model til opsporing af udsatte børn.
Angiveligt udnyttede Gladsaxe Kommune i første omgang de vide rammer for at bruge personoplysninger til statistiske analyser uanset det oprindelige formål med dataindsamlingen.
Ret hurtigt ville Gladsaxe Kommune imidlertid udvide brugen af de udviklede algoritmer fra statistisk analyse til egentlig sagsbehandling, hvilket kræver et særskilt, retligt grundlag for den omfattende behandling af personoplysninger til et nyt formål og den indgribende profilering af børnefamilier.
Reguleringsmæssige sandkasser kan danne grobund for en øget aktivitet med at udvikle indgribende overvågningssystemer i stil med Gladsaxe-modellen, som derefter søges ”lovliggjort” til sagsbehandling og myndighedsøvelse rettet mod borgerne.
I mange tilfælde vil en til formålet udstedt bekendtgørelse efter § 5, stk. 3 i databeskyttelsesloven være tilstrækkelig.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
