Rammeverk for den regulatoriske sandkassen

Rammeverk for Datatilsynets regulatoriske sandkasse for kunstig intelligens

Her har vi skissert et rammeverk for sandkassen der vi går gjennom målsettinger, regelverk, krav og annen relevant informasjon for de som ønsker å delta i prosjektet.

Mål og definisjoner

Den regulatoriske sandkassen skal tilby gratis veiledning til utvalgte private og offentlige virksomheter, av forskjellige typer og størrelser, på tvers av ulike sektorer.

Datatilsynet ønsker at sandkassen skal representere et bredt spekter av aktører, fra små oppstartsbedrifter til større offentlige virksomheter. Alle typer virksomheter og organisasjoner har derfor mulighet til å søke om å delta.

Informasjon om søknadsprossessen kommer etterhvert, men vi kommer til å ha flere søknadsrunder etter hvert som prosjekter avsluttes. Antall prosjekter som blir tatt opp vil avhenge av kapasiteten vår. 

Overordnet målsetting

Den overordnede målsetingen med den regulatoriske sandkassen i Datatilsynet er å stimulere til utvikling og bruk av etisk og ansvarlig kunstig intelligens (KI), fra et personvernperspektiv.

Målet er at sandkassen skal ha positive gevinster for virksomheter, Datatilsynet, enkeltpersoner og samfunnet som helhet:

  • For virksomheter skal den regulatoriske sandkassen bidra til å øke deres forståelse for de regulatoriske kravene, og hvordan KI-baserte produkter og tjenester kan ivareta kravene i personvernregelverket i praksis. Eksempler og erfaringer fra sandkassen skal kommuniseres for å komme andre virksomheter enn de som deltar til gode.
  • For Datatilsynet skal den regulatoriske sandkassen bidra til å øke vår forståelse for og kunnskap om bruk av kunstig intelligens i praksis. Denne kompetansen skal brukes til å styrke tilsynets veiledning, saksbehandling, tilsynsmetodikk og innspill til regelverk- og politikkutvikling innen KI og personvern.
  • Enkeltpersoner og samfunnet som helhet vil tjene på at utvikling og bruk av KI-baserte løsninger foregår innenfor en ramme som sikrer ansvarlighet og etterrettelighet og som ivaretar hensynet til enkeltmenneskets grunnleggende rettigheter. Dette legger grunnlaget for utvikling av tjenester som ivaretar kunders og innbyggeres tillit.

Hva er kunstig intelligens?

Sandkassen tar utgangspunkt i definisjonen av kunstig intelligens brukt i Nasjonal strategi for kunstig intelligens (regjeringen.no):

Kunstig intelligente systemer utfører handlinger, fysisk eller digitalt, basert på tolkning og behandling av strukturerte eller ustrukturerte data, i den hensikt å oppnå et gitt mål. Enkelte KI-systemer kan også tilpasse seg gjennom å analysere og ta hensyn til hvordan tidligere handlinger har påvirket omgivelsene.

- Hentet fra Nasjonal strategi for kunstig intelligens

Definisjonen omfatter kunstig intelligens innenfor en rekke disipliner:

  • maskinlæring, for eksempel dyplæring og forsterkende læring,
  • maskinresonnering, inkludert planlegging, søk og optimering
  • enkelte metoder innen robotikk (som kontroll, sensorer og integrasjon med andre teknologier i cyber-fysiske systemer).

Sandkassen omfatter både prosjekter som har til hensikt å utvikle KI og prosjekter som involverer bruk av allerede utviklede KI-løsninger.

Når er kunstig intelligens ansvarlig?

Sandkassen tar utgangspunkt i tre hovedprinsipper for ansvarlig kunstig intelligens:

  1. Lovlig - overholde alle gjeldende lover og bestemmelser.
  2. Etisk - overholde etiske prinsipper og verdier.
  3. Sikker - fra både et teknisk og et samfunnsmessig perspektiv.

Hovedprinsippene er hentet fra «Retningslinjer for pålitelig kunstig intelligens» som er utarbeidet av en ekspertgruppe oppnevnt av EU-kommisjonen.
Retningslinjene finner du i sin helhet på EU-kommisjonen sine nettsider (ec.europa.eu)

Når det gjelder prinsippet om at kunstig intelligens skal være lovlig, vil sandkassen fokusere på personvernlovgivningen. Les mer om dette i neste kapittel "Hvilket regelverk gjelder?"

Etisk

Når det gjelder det etiske, er det reflektert rundt endel krav i personvernregelverket. Dette gjelder for eksempel rettferdighet, som både er et etisk prinsipp og et prinsipp for behandling av personopplysninger i artikkel 5 i personvernforordningen. Også kravet til at kunstig intelligens skal være gjennomsiktig og forklarbar følger både av personvernforordningen artikkel 5 og etiske prinsipper for kunstig intelligens.

At beslutninger basert på kunstig intelligens, skal være sporbare, forklarbare og gjennomsiktige, betyr at den det gjelder skal ha mulighet til å få innsikt i hvorfor en beslutning om dem ble som den ble. Sporbarhet muliggjør både revisjon og forklaring. Gjennomsiktighet oppnås blant annet ved å gi informasjon om behandlingen til den det gjelder. Gjennomsiktighet handler også om at datasystemer ikke skal utgis for å være mennesker - mennesker skal ha rett til å få vite om de samhandler med et KI-system.

De etiske vurderingene er ofte en viktig del av avveiingen som gjøres for å tolke loven og går i noen tilfeller lengre enn loven. Selv om noe er lov, må virksomhetene spørre seg om det er etisk riktig å gjøre det. Et eksempel kan være bruk av informasjon om forsikringskunder. I dag er det mulig å samle inn mye informasjon om folk som forsikringskunder. Dette er nok til at et selskap ved bruk av KI kan gi enkeltpersoner en pris basert på hvordan akkurat den personen lever livet sitt. Dette er en slags oppførselsbasert prising. De lovmessige grensene for hvor langt et selskap kan gå i å segmentere kundene er ikke klare, og her kommer etikken inn: Hvor langt bør et selskap eller en bransje gå? Når slutter en forsikring å være en kollektiv ordning der 1000 mennesker betaler 100 kroner hver slik at den som blir syk får dekket operasjonen?

EU har nå startet en lovgivningsprosess om kunstig intelligens (europarl.europa.eu), som inkluderer et etisk rammeverk for kunstig intelligens. Den regulatoriske sandkassen vil følge dette arbeidet nøye.

Sikker

Det tredje hovedprinsippet i ansvarlig kunstig intelligens er som nevnt at den skal være sikker. Det innebærer at kunstig intelligens skal være bygget på systemer med teknisk robuste løsninger som forebygger risiko og som bidrar til at systemene fungerer slik de er tiltenkt. Risikoen for uintenderte og uventede skader skal minimeres. Teknisk robusthet er også viktig for systemenes nøyaktighet, pålitelighet og etterprøvbarhet.

Ansvarlig og pålitelig kunstig intelligens er nærmere omtalt i Nasjonal strategi for kunstig intelligens kapittel 5 (regjeringen.no).

Du kan også lese mer om temaet i nedlastbar PDF i ICDPPCs Declaration on Ethics and Data Protection in Artificial Intelligence (edps.europa.eu) og i rapporten fra EUs ekspertgruppe, som nevnt ovenfor.