Kun én av fire virksomheter bruker KI i dag, viser en spørreundersøkelse om mulighetene og barrierene knyttet til kunstig intelligens (KI/AI) som høsten 2023 ble utført av Samfunnsøkonomisk Analyse på oppdrag fra Næringslivets Hovedorganisasjon (NHO) med flere. I DNs artikkel av 7. januar 2024 uttaler Anniken Hauglie, viseadministrerende direktør i NHO, at tempoet må opp.
I rapporten fra Samfunnsøkonomisk Analyse pekes det på at:
«Det er også krevende for spesielt små virksomheter å sette seg tilstrekkelig inn i gjeldende lover og regler. […] Digital Norway [peker bl.a.] på hvordan en juridisk tåke senker seg over AI-satsingen, hvorpå det er svært krevende for norske virksomheter å bevege seg i slik tåke»
Sentrale personvernprinsipper
Forholdet til personvernreglene, herunder GDPR, og EUs AI Act står sentralt. Når tåken synes for tjukk, er det for GDPR til hjelp å se hen til personvernprinsipper som er særlig sentrale for bruk av KI:
- Rettferdighet: Behandlingen av opplysningene, herunder innsamlingen av disse, skal foregå på en rettferdig måte for personen(e) opplysningene gjelder, det vil si «den registrerte». For bruk av KI er det særlig viktig at KI-algoritmene ikke fører til et diskriminerende resultat – for eksempel som følge av at treningsdataene ikke er adekvate/representative for virkeligheten.
- Formålsbestemthet: Behandlingen av opplysningene må ha spesifiserte, uttrykkelig angitte og berettigede formål. Behandlingen må være nødvendig for å nå formålene. Senere behandling må ikke være uforenlig med disse formålene.
- Dataminimering: Dataene som innhentes skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Opplysningene må med andre ord ha en nær og naturlig sammenheng med formålet de skal behandles for og dessuten være egnet for å bidra til at formålet oppnås. Anonymisering og begrensning av informasjonen som innhentes er blant tiltakene som må vurderes.
- Gjennomsiktighet og retten til informasjon: De registrerte har blant annet krav på informasjon om hvordan opplysningene brukes. Det må gis informasjon om behandlingen som er forståelig, og behandlingen må være forutsigbar.
Hva gjelder EUs AI Act, ble det oppnådd politisk enighet om denne i EU 9. desember 2023. Den endelige teksten er i skrivende stund ikke klar, men overordnet kan det konkluderes med at AI Act skiller mellom KI-systemer og krav til disse basert på en risikotilnærming i fire kategorier. EU-kommisjonen legger til grunn at de fleste KI-systemer faller inn under kategorien «minimal risiko». Et eksempel er spamfiltre. AI Act stiller ikke konkrete krav til slike systemer.
I ferd med å lette
Legges EU-kommisjonens vurdering til grunn, vil de fleste KI-systemer ikke pålegges nye krav i AI Act.
AI Act-tåken er dermed i ferd med å lette. De tre andre kategoriene KI-systemer er:
- Begrenset risiko: I denne kategorien faller KI-systemer med risiko for at brukerne ikke forstår at de bruker eller samhandler med en maskin. For eksempel såkalte «deep fakes». Typisk er kravene i AI Act her begrenset til at brukeren må informeres om at det aktuelle innholdet er KI-generert.
- Høy risiko: KI-systemer som innebærer risiko for helse, sikkerhet og samfunn, faller i denne kategorien. Slike systemer vil pålegges å overholde strenge krav. Eksempler på systemer som kan falle i denne kategorien, er systemer til bruk innenfor kritisk infrastruktur, som vann, gass og elektrisitet, systemer for bruk ved ansettelser, biometrisk identifikasjon og følelsesgjenkjenningssystemer.
- Uakseptabel risiko: KI-systemer som anses som en klar trussel mot grunnleggende prinsipper og rettigheter, vil bli forbudt. Eksempler er KI-systemer som manipulerer menneskelig atferd for å omgå brukernes frie vilje, systemer for opptak ved studier og rekruttering av ansatte, systemer som er utformet for sosial rangering, systemer for gjenkjennelse av følelser brukt på arbeidsplasser og i utdanningssammenheng, samt biometrisk fjerngjenkjenning i offentlige områder.
AI Act ventes å tre i kraft i 2026.
KI: Norge står ved en kritisk korsvei
