Personvernbloggen

Dette innlegget ble holdt på fremleggelsen av regjeringens strategi for kunstig intelligens den 15. januar 2020.

Personvern er svært viktig når vi skal utvikle gode løsninger for kunstig intelligens. Innsatsfaktoren i mange av de løsningene som de neste årene vil bli utviklet, er vanlige opplysninger, om helt vanlige folk: Helseopplysninger, opplysninger om utdannelse, inntekt eller trygd, om vi har barn, hvor stort lån vi har eller om vi har mange inkassosaker mot oss. Slike opplysninger kan brukes til å gi oss bedre helsehjelp, raskere behandling av en lånesøknad og kanskje får vi tildelt flere tjenester før vi har søkt om dem, ja, kanskje til og med uten at vi vet at vi har krav på dem.

Men fallgruvene er åpenbare. Kunstig intelligens (KI) kan bidra til å avgjøre utfallet av politiske valg, til feilaktig diagnostisering, til å skape eller forsterke fordommer, eller til at vi urettmessig får avslag på en søknad om lån.

KI innebærer behandling av enorme datamengder, ofte, eller faktisk nær sagt aldri, vet vi som forbrukere eller borgere hvilke opplysninger om oss som inngår i et KI-system. Dette utfordrer både prinsippet om dataminimalisering, og ikke minst prinsippet om transparens. Hvordan skal vi kunne vite hva som skjer med dataene våre, og hvorfor resultatet blir som det blir, når hele behandlingen forgår inne i en svart boks – en maskin som gir oss svar, men ingen forklaring?

Med all den informasjonen som finnes om oss forbrukere og borgere i dag, kan feil bruk av kunstig intelligens ødelegge den grunnlovbestemte retten vi har til privatliv. I Global Risk Report 2017 betegner World Economic Forum kunstig intelligens som en av de fremvoksende teknologiene med størst nytteverdi, men også med størst skadepotensial. Det er ikke vanskelig å være enig i dette. Tre år er gått, og nå er vi der. 

Med dette som bakteppe, er det slett ingen selvfølge at en som jobber med personvern blir invitert til å holde innlegg på fremleggelsen av regjeringens strategi for kunstig intelligens, og slett ingen selvfølge at vi i Datatilsynet er veldig positiv til den strategien som nå fremlegges. Men det er vi altså, og grunnen til det er at viktigheten av personvern, og en etikk som ligger som et skall rundt personveregelene, har fått en viktig plass i denne strategien. Dessuten må vi erkjenne at tiden da personopplysninger ikke skulle brukes, deles eller omformes til beslutninger, behandlingstilbud eller personrettet markedsføring er forbi. Med nytt personvernregelverk er det viktigere enn noen gang å gjøre dette riktig, å gi forbrukerne de rettighetene de har krav på, og ikke minst sørge for at den enkelte kan treffe riktige og informerte beslutninger om hvordan opplysningene deres blir brukt.  

Det store spørsmålet er selvsagt hvordan dette skal bli noe mer enn ord. Personvernregelverket skal møte den utviklingen vi har fått beskrevet her i dag. Alle selskap, private og offentlige, som vil utvikle og ta i bruk KI der personopplysninger inngår, må forholde seg til dette regelverket. Personvernregleverket vil med andre ord sette avgjørende rammer for utviklingen av kunstig intelligens fremover. Regelverket legger større plikter på virksomhetene, gir forbrukerne bedre rettigheter, legger opp til tettere samarbeid mellom tilsynsmyndighetene i Europa og innfører betydelige sanksjoner for de som bryter reglene.

Jeg vil særlig trekke fram to viktige, nye plikter. Det første gjelder kravet om å gjennomføre personvernkonsekvensutredninger. Dette er en risikovurdering med mennesket i sentrum, og virksomhetene må her gå dypere enn kun å vurdere risiko og konsekvens. De må for eksempel vurdere hva det betyr for meg som borger at de automatiserer en saksbehandlingsprosess ved hjelp av KI. Kan det sette mine grunnleggende verdier i fare? Kan det føre til forskjellsbehandling? Til økonomiske eller sosiale ulemper? Kan det frata meg retten til innsyn eller til muligheten til å imøtegå eller etterprøve beslutningen? Dette er svært relevante spørsmål å stille når vi vurderer bruk av KI.

Den andre er plikten til innebygget personvern. Dette betyr, som sikkert veldig mange vet, at personvernet bygges inn i teknologien. Datatilsynet har ledet arbeidet med en veileder for innebygd personvern i Personvernrådet, som er det viktigste EU-organet på personvernområdet, og jeg må innrømme at vi er ganske stolte av dette. Vi mener at mange viktige spørsmål kan finne sin løsning i nettopp innebygd personvern. 

Men KI er mye mer enn juss og teknologi. Det er behov for en egen etikk for KI, som et skall som ligger rundt lovverket. For selv om noe er lov, må vi alltid stille spørsmål om det er etisk riktig å gjøre det. La meg ta et eksempel: I dag er det mulig å samle inn enormt mye informasjon om oss som forsikringskunder, nok til at et selskap ved bruk av KI kan gi deg en pris basert på hvordan akkurat du lever livet ditt. Dette er en slags oppførselsbasert prising. De lovmessige grensene for hvor langt et selskap kan gå i å segmentere kundene er på ingen måte klar, og her kommer etikken inn: Hvor langt bør et selskap eller en bransje gå? Når er ikke en forsikring lenger en kollektiv ordning der 1000 mennesker betaler 100 kroner hver slik at den som blir syk får dekket operasjonen? Her trenger vi en etisk diskusjon, som et skall rundt loven.

EU-kommisjonen har utarbeidet syv etiske prinsipper for pålitelig kunstig intelligens. Jeg vil trekke fram tre stykker som jeg synes er spesielt viktige:

• KI-baserte løsninger skal respektere menneskets selvbestemmelse og kontroll. Dette betyr at KI skal bidra til å fremme våre grunnleggende friheter og rettigheter. Mennesket skal være inne i beslutningsprosessene for å sikre at det er vi mennesker som kontrollerer maskinene og ikke omvendt. På engelsk presist omtalt som prinsippet om human-in-the loop.
  
• KI skal ta hensyn til personvernet. Jeg utdyper ikke dette nærmere, men ut fra det jeg har sagt så langt, er dette selvsagt helt vesentlig.
  
• KI-systemer skal legge til rette for inkludering, mangfold og likebehandling. Her er det viktig å være på vakt – eksemplene er mange på at  KI-systemer ikke alltid oppfyller disse prinsippene: Menn får i større grad tilbud om høyinntektsjobber enn kvinner, folk med dårlig råd får reklame for kreditt og Cambridge Analytica-saken viste hvor galt det kan gå.

Skal vi klare å utvikle en etisk, pålitelig og lovlig KI må vi jobbe bredt, og vi må jobbe sammen. Datatilsynet er tilsynsmyndighet med KI-systemer, vi kan derfor kalles Norges algoritmetilsyn. Og tilsyn vil utvilsomt være viktig for å kontrollere regelverket, både for å sanksjonere brudd, og for å hindre at de samme feilene skjer igjen, noe som i parentes bemerket ofte er en lite kommunisert del av tilsynsvirksomheten. På denne måten vil tilsynsvirksomhet være viktig for å ivareta og å bygge tillit til fremtidens KI-baserte systemer.

Men vi må ha flere enn én tanke i hodet. Vi må også bidra til at det utvikles sikre og robuste KI-baserte systemer, for å sitere en av de syv etiske retningslinjene fra EU. Jeg registrerer med stor begeistring at ett av tiltakene i strategien er å etablere en regulatorisk sandkasse under Datatilsynets myndighetsområde. For litt siden var vi på et meget inspirerende studiebesøk hos det britiske datatilsynet. De er, så vidt oss bekjent, det eneste datatilsynet som så langt har etablert en slik sandkasse. Vi ser frem til å etablere noe lignende hos oss. Tanken er at private og offentlige selskaper kan søke om deltagelse i sandkassen, med innovative og nyttige løsninger bygd på KI. Løsninger som kan utvikles i tett samarbeid med Datatilsynets eksperter. De kan teste løsninger uten at eventuelle lovbrudd vil medføre sanksjoner, og forsøke på nytt, til det «sitter» som det skal. Dette vil korte ned fasen fra idé til utrulling, føre til læring for virksomhetene og for oss, som blant annet. kan brukes til at vi kan utvikle veiledningsmateriell, og virksomhetene kan utvikle bransjenormer for egen sektor. Det britiske datatilsynet jobber sammen med Heathrow flyplass for å utvikle en personvernvennlig, innovativ ansiktsbiometri som kan gi en helt sømløs flyplassopplevelse, der ansiktet er billett på flytoget, boardingpass, alderskontroll på taxfree og pass. 

Erfaringene ICO gjør seg blir spennende å følge med på. Bruk av kunstig intelligens er i bunn og grunn et stort eksperiment, og noe av det som står på spill er borgernes personlige data. Det er viktig at utprøving og testing skjer i et trygt miljø, og i tett samarbeid med blant annet personvernmyndighetene. Da kan vi skape de vinn-vinn-situasjonene vi hele tiden leter etter. Å etablere en regulatorisk sandkasse er nybrottsarbeid, og kanskje en sjanse å ta, men vi tar den med åpne armer.