AI-regelverk: Hvordan regulere en robot?

AI-regelverk: Hvordan regulere en robot?

Publisert: 25. mai 2023

De fleste har fått med seg innen nå at kunstig intelligens (AI) har tatt mange bransjer med storm. Alle fra grafiske designere til advokater og dataingeniører er ikke bare kjent med de nyeste systemene, men bruker dem nå aktivt i hverdagen. Såpass aktivt at en tredjedel av de spurte i en ny undersøkelse fra PwC oppgir å være redd for å miste jobben sin til teknologien. Til og med de som utvikler teknologien, ber nå om at utviklingen stoppes slik at resten av verden kan forstå hva det er som skjer.

Frykten er kanskje ikke helt uberettiget, da Goldman Sachs anslår at to tredjedeler av dagens jobber i alle fall delvis kan automatiseres med den nye teknologien. For å unngå å bli erstattet, må derfor mange forvente å ta del i den store omstillingen vi ser nå. Uansett hva du gjør på dagtid, kan vi derfor med høy sikkerhet si at AI kommer inn i verktøykassen din. Da kommer spørsmål om rettigheter og plikter fort inn i bildet.

Selv om din planlagte bruk av AI vil være «lavrisiko» etter Artificial Intelligence Act (AIA), er regelverket du blir nødt til å følge fremdeles omfattende. Blir utkastet vedtatt, vil forordningen være på lengde med GDPR, som altså vil gjelde i tillegg.

Alle regler som gjald da, gjelder fortsatt

Mens vi venter på nytt regelverk å forholde oss til, renner det inn med spørsmål til både oss om hvordan bruke AI i tråd med reglene som allerede finnes. Noen gjengangere er:

  • Hva vet ChatGPT om meg, og hvordan? 
  • Hvis jeg gir videre feil råd som jeg har fått av en AI, kan jeg bli ansvarlig?
  • Hvordan vet jeg at AI-tjenesten jeg har kjøpt tilgang til, faktisk fungerer? 
  • Hvem eier det en AI lager? 

Hva vet ChatGPT om meg, og hvordan?

Dette lurte det italienske datatilsynet også på. Mange av problemstillingene som oppstår i møtet med AI, handler om personvern. De som driver AI-modellene har plikter etter personvernregelverket, og vi alle har rettigheter som personer. En virksomhet som bruker ChatGPT har en grad av selvstendig ansvar for hvordan personopplysningene behandles når de bruker AI-tjenesten. GDPR krever blant annet at den som behandler personopplysninger, kan forklare hvor de er hentet inn, hvordan de er behandlet, og hvilken oppgave som gjør det strengt nødvendig å behandle dem. Spesielt her ser vi at bruk av AI kan være utfordrende. Vet du hva som skjer med personopplysninger du deler med AI-modellene du bruker?

Hvis jeg gir videre feil råd som jeg har fått av en AI, kan jeg bli ansvarlig?

Grensen mellom når ansvaret ligger på AI-leverandøren og når det ligger på AI-brukeren, går i dag etter de gamle reglene om erstatning. Vi alle må derfor anvende erstatningsregler som rett og slett ikke er skapt med AI i tankene. OpenAI har forsøkt å skrive fra seg alt ansvar i brukervilkårene til ChatGPT [OpenAI, «terms of use», pkt. 7 Indemnification] men også etter gjeldende regelverk skal det veldig mye til før en leverandør av AI-tjenester kan bli ansvarlig for skade som er forårsaket av tjenester som er utviklet ved hjelp av AI. Særlig IT-virksomheter som bruker tjenester som Copilot, bør være oppmerksomme på dette.

Hvordan vet jeg at AI-tjenesten jeg har kjøpt tilgang til, faktisk fungerer?

I Norge sier vi i korte trekk at når varer og tjenester ikke er av «alminnelig god» kvalitet, er den mangelfull. Her gjelder kontraktsretten, som har grunnprinsipper som har eksistert siden antikken. Den nye digitalytelsesloven er til noe hjelp, men gjelder ikke hvis du kjøper tjenester som bedrift. Hvor dårlige svar må en AI-modell gi før du krever pengene tilbake?

Hvem eier det en AI lager?

Reglene for opphavsrett, eller «copyright» som de sier i utlandet, er også under press. For når, og eventuelt hvordan, skal man kunne hevde at man har skapt noe ved å be en AI-generator lage noe? Er det mulig å eie slike bilder, musikkstykker, tekst eller filmer, og hvem eier det i så fall? Nylig kunne man lese om en sak fra USA hvor en skaper av en tegneserie ikke fikk rettighetene til illustrasjonene i tegneserien fordi de var skapt ved hjelp av AI. Etter hvert som AI får mer plass i kreative yrker forventer vi å se en rettslig avklaring, men akkurat nå strides de lærde.

Myndighetene deltar også i omstillingen.

Datatilsynene i Italia, Østerrike og Frankrike har allerede slått ned på leverandører av AI-tjenester. Italienernes vedtak mot OpenAI tidligere i våres skapte overskrifter da de satte en stopp for bruk av ChatGPT i landet. Nå er tjenesten oppe og går igjen for italienerne, men det er neppe den første gangen vi ser rettslige skritt tatt mot populære AI-tjenester. Datatilsynet oppgir at de følger med, og at jobbes med GDPR og AI i en arbeidsgruppe på europeisk nivå.

På EU-nivå jobbes det også med en AI-forordning som skal sørge for at teknologien fortsetter å utvikle seg, så lenge det ikke skjer på bekostning av rettighetene våre. Den såkalte «Artificial Intelligence Act» (AIA) er en av et helt sett med regelverk som skal sikre dette, og beskrives som «den første AI-loven».

Utkastet til AIA deler bruken av AI inn i følgende risikokategorier:

  • Uakseptabel risiko. Denne typen bruk av AI-teknologi innebærer en risiko for brukerne, gjerne av en type de selv ikke kan forutse selv. Bruk av AI til psykologisk manipulasjon eller ansiktsgjenkjenning faller inn i denne kategorien, og blir forbudt.
  • Høy risiko. Bruk som regnes som høyrisikabel etter regelverket, har strenge krav til bruk og vil blant annet kreve et eget og strengt risikostyringsregime. Dette vil gjelde bl.a. bruk av AI til bruk for offentlig saksbehandling innenfor innvandring, samferdsel og utdanning.
  • Begrenset risiko. Systemer som ikke faller inn i en høyere risikokategori, men skal samhandle direkte med mennesker, kan falle inn under denne kategorien. Dette er blant annet tjenester som skal etterlikne ekte mennesker («deepfakes»), eller gjenkjenne mennesker på følelser eller uttrykk.
  • Lav risiko. Mer uproblematisk bruk av AI havner i lavrisikokategorien, og da gjelder de vanlige kravene etter regelverket. Dette kan være AI-modellen du spiller dataspill mot, eller den som hjelper deg med å holde styr på lagerstatus i en butikk.

Selv om din planlagte bruk av AI vil være «lavrisiko» etter AIA, er regelverket du blir nødt til å følge fremdeles omfattende. Blir utkastet vedtatt, vil forordningen være på lengde med GDPR, som altså vil gjelde i tillegg. Dette kan virke omfattende, men kanskje det likevel er bedre enn at teknologien begynner å kontrollere oss mennesker. De fleste vil nok i alle fall foretrekke at det er omvendt.

Vi må med andre ord aldri lete etter de juridiske problemstillingene, for de får vi servert. Det er derimot opp til oss å finne svarene på spørsmålene deres i et evig skiftende juridisk bilde.

Oppgavene vi har møtt på så langt kan variere i vanskelighetsgrad, men blir aldri kjedelige.

Ta kontakt

AI-teamet i Vaar

Thor Beke

Daglig leder, Partner

+47 922 31 690
thor@vaar.law

Per Anders Vaagenes

Partner

+47 982 22 674
per@vaar.law

Du er kanskje også interessert i

Relaterte nyheter

Vaar utvider teamet med Johanne Fürst Mustad

Med en fersk mastergrad fra Universitetet i Bergen og en L.LM i Information and Communication Technology Law fra Universitetet i Oslo, er Johanne godt rustet for å håndtere utfordringer innen...

Vaar er ranket i Legal500

Legal 500 har nå publisert rangeringen for EMEA 2024. Rangeringen baseres på undersøkelser og intervjuer Legal 500 har foretatt blant klienter.

Marianne H. Dragsten ranket i Chambers 2024

Chambers & Partners har denne uken publisert sin årlige ranking av Europas ledende advokatfirmaer. Marianne H. Dragsten, partner i Vaar Advokat, er toppranket innen kategorien Competition/Antitrust: Public procurement.