Byråkratene og politikerne i EU jobber for fullt med å lage nye lovverk for å regulere kunstig intelligens.
På fredag skal Europaparlamentets ledende komiteer stemme over AI Act, som har som mål å regulere kunstig intelligens basert på skadepotensial. Etter alt å dømme kan også AI Act ende opp med å bli norsk lov, som følge av Norges medlemskap i EØS.
- Det lovverket EU-parlamentet vedtar vil regulere norsk næringslivs bruk av AI. Og gitt erfaringene fra GDPR og Datatilsynet, er det vel ingen grunn til å tro at norske myndigheter kommer til å håndheve regelverket mer "liberalt" enn i EU, sier Christian Bendiksen, advokat i Brækhus, til kode24.
NSM advarer mot kunstig intelligens, deepfakes og virtuell virkelighet
Flere nye direktiver
Bendiksen forteller at AI Act bare er en av mange nye direktiver og forordninger som EU diskuterer for tiden, som vil påvirke maskinlæring og maskinlæringsbaserte systemer.
- Selv om AI Act forbyr visse former for bruk av kunstig intelligens, primært slike som kan brukes til masseovervåkning, "prediktivt politiarbeid" og tilsvarende, vil man nok i praksis ha størst omgang med de bestemmelsene som regulerer det som defineres som "høyrisiko" AI-systemer, sier han.
Dette vil si systemer som kan medføre risiko for person- eller tingsskade.
- Samt systemer som brukes i visse sektorer av næringslivet, sier Bendiksen.
Alle disse bildene er AI-genererte: - Mediene må bli tydeligere
Vil endre eksisterende databasevern
Bendiksen forteller at lovene også inneholder en rekke reguleringer av tilgang og bruk av treningsdata og lignende, som også vil påvirke europeiske bedrifters evne til å sette AI i produksjon.
- Eksempelvis har EU et utkast til en Data Act som i noen grad modifiserer eksisterende databasevern gjennom å gi både enkeltpersoner og kunder rett til å ta ut kopier av de data som de selv legger inn i et system.
Bendiksen tror loven er ment å gjøre det enklere å flytte historien sin fra Facebook til et nytt sosialt medium, eller fra en Apple- til en Samsung-telefon.
- Men regelen er helt generelt formulert og vil i utgangspunktet kunne medføre at du kan kreve å få dataene om kjøremønsteret til bilen din overført til et forsikringsselskap.
Foreløpig jobber EU med detaljene i Data Act, før den kan bli en lov.
IBM erstatter 7.800 ansatte med AI. Og det går hardest utover HR
Et stort problem med loven
Data Act skiller heller ikke på rettighetene til forbrukere eller bedrifter. Og den sier heller ikke noe om hva slags format man skal ha krav på å få disse dataene ut på.
- Problemet med det sistnevnte poenget er at bearbeidet, sortert og strukturert informasjon er en handelsvare for trening av AI, en vare som begynner å få stor verdi, særlig i USA. Hvis jeg har krav på å få ut mine data fra, eksempelvis, Apples servere, vil jeg også kunne se hvordan Apple har strukturert informasjonen de mottar – og det kan være en kommersielt svært lønnsom opplysning, sier Bendiksen.
Ifølge Bendiksen er det også nye forordninger på hva gjelder retten til tilgang til offentlig informasjon.
- Samt en Cyber Resilience Act, som endelig skal stille visse minstekrav til datasikkerhet for IoT-utstyr med nettilgang, sier han.
Cyber Resilience Act har skapt bekymring hos åpen kildekode-miljøet for at det juridiske ansvaret kan legges på den enkelte utvikleren, som kode24 har skrevet om tidligere.
Frykter nye lover om åpen kildekode: - Kommer til å bli smertefullt
Du bør gjøre deg klar nå
Bendiksen mener at norske utviklere allerede nå bør ha et begrep om hva den ferdig trente maskinlæringssekvensen skal brukes til når den settes i produksjon.
- Dersom den skal levere resultater definert som "høyrisiko" vil det ha konsekvenser for hvordan treningsdata skal selekteres, krav til "transparency by design" og en rekke andre momenter.
Han mener at man tilsvarende også bør tenke igjennom utviklingspotensialet i det som lages.
- Hvis det er mulig å skape ny funksjonalitet hvis systemet trenes på personopplysninger, vil man ha en grenseflate mot GDPR fra det tidspunktet man skaper denne funksjonaliteten – og da kan det være fornuftig å ha gjort seg noen tanker om "privacy by design" allerede i starten.
Nesten halvparten av nordmenn får noia av AI - flere kvinner enn menn
Kan bli kostbart
Bendiksen legger til at på samme måte kan det tenkes at systemet du har utviklet ikke er ment for høyrisiko-bruk, men kan utvikles til å generere input til slike tjenester. Dette kan være alt fra rekruttering til kontroll av sensitiv infrastruktur.
- Har man da startet utviklingen på en black-box modell, vil det kunne være mye kostbar utvikling som ikke kan brukes til å skape de resultatene som ellers ville vært tilgjengelig.
På den annen side, sier Bendiksen, er det ikke gitt at man bør bruke for mye utviklingsressurser i starten for å sikre en fleksibilitet som man kanskje aldri kommer til å trenge.
- Poenget er at man må ha en god forretningsmodell tidlig, for å sikre at man ikke lager en techstack som begrenser mulighetene til fremtidig utvikling, samtidig som man heller ikke bygger mer enn man trenger av redsel for å ikke være compliant med regelverk som uansett ikke vil bli aktuelt.
Reagerer på «ukritisk entusiasme» for AI laga med «sosial dumping og stjålne data»
Dypt skeptisk til reguleringer
- Er du fornøyd med reguleringene?
- La meg si det slik – det mangler i hvert fall ikke noe. Selv er jeg egentlig dypt skeptisk til om vi trenger dette, all den tid vi har en erstatningsrett, vi har et produktansvar og vi har en personopplysningslov og en åndsverkslov som sikrer databaser, sier Bendiksen.
Ifølge ham har diskusjonen handlet om behovet for å regulere en teoretisk risiko i forkant, satt opp mot å se hva som går galt:
- Og enten holde skadevolder ansvarlig etter eksisterende rett, eller tilpasse eksisterende rettsregler til den formen for skadevoldende adferd som praksis viser ikke treffes av reglene, sier Bendiksen.