9. juni arrangerte IKT-Norge et frokostmøte med Kommunal og moderniseringsdepartementet, hvor våre medlemmer ga innspill til EUs nye forslag om regulering av kunstig intelligens.
IKT-Norge er grunnleggende positive til forslaget som er fremlagt fra EU-kommisjonen. Det vil være viktig for næringslivet at man opererer med tydelige og like spilleregler, slik at man sikrer tillit i befolkningen og forutsigbarhet i markedet.
IKT-Norge har følgende innspill til reguleringsforslaget:
EU-kommisjonen bruker i forslaget en risikobasert tilnærming til anvendelsen av kunstig intelligens. Dette mener vi er en fornuftig tilnærming, samtidig som det vil være viktig å få enda mer klarhet i hva høyrisiko-kategoriene faktisk innebærer.
Vi anser kategorien høyrisiko som den mest kontroversielle av kategoriene, da denne vil kreve svært tydelige avgrensninger og definisjoner for å fungere optimalt. Slik dagens forslag foreligger, åpner tilnærmingen for tolkning, noe som vil være problematisk for en harmonisert forståelse av regelverket.
Vi stiller spørsmål ved definering av enkelte områder som høyrisiko, herunder fagområdet HR (Human Resources). Derimot er ikke sosiale medier eller algoritmer brukt i påvirkning av politiske valg trukket frem. Vi mener også at forslaget savner fokus og konkret rammeverk for bruken av biometrisk kjennetegn, slik som ansiktsgjenkjenning, i offentlig rom.
Samtidig er det viktig å presisere at løsninger basert på kunstig intelligens vil kunne endre karakter, uavhengig av intensjon. Eksempelvis vil en chatbot, med underliggende KI-løsninger, bygget med underholdningsøyemed og dermed ha liten negativ risiko, potensielt kunne endre karakter og bli trakasserende, og dermed medføre økt risiko for skade. KI-løsninger vil på så måte ikke nødvendigvis bli statisk værende i samme risikokategori, men potensielt bevege seg mellom disse, noe forslaget i liten grad adresserer.
Tillit er helt avgjørende for at man skal kunne ha en levedyktig IKT-næring. Forbrukere skal ha tillit til teknologiene som er i markedet. Av den grunn, anser vi en felles EU/EØS-tilnærming til dette gjennom EU-kommisjonens reguleringsforslag som et svært positivt bidrag for å sikre nettopp dette. Man vil også potensielt se en selvforsterkende effekt, der tillit til KI-baserte løsninger øker i takt med bruken, og flere mennesker blir eksponert for løsninger basert på KI.
For å til enhver tid sikre tillit, må avgjørelser og prediksjoner som tas basert på kunstig intelligens, være verifiserbare og dokumenterbare. Forbrukere skal aldri være i tvil om at KI-baserte løsninger har vært involvert.
Definisjonen som brukes om kunstig intelligens i forslaget slik det står i dag, er bred og teknologinøytral. Det er riktignok svært mye programvare som vil falle innenfor denne definisjonen, noe som bør presiseres ytterligere.
Det vil også være viktig å se hvordan elementer av kunstig intelligens vurderes med annen teknologi, i de tilfeller hvor KI kun utgjør én del av en større løsning. Det vil derfor være viktig at forslaget også ser på hvordan andre typer teknologier potensielt kan bli omfattet av dette reguleringsforslaget.
I tillegg, vil enkelte systemer være generiske, gjerne også skybaserte, og bli brukt på ulike måter avhengig av sektor. Eksempelvis kan NLP engines (Natural Language Processing) være en generisk tjeneste, med svært ulike anvendelsesområder innenfor så og si alle domene der det finnes tekst.
Det vil være viktig å presisere ytterligere hvordan man skiller mellom ulike typer anvendelse, samt om det skal være enda tydeligere hvordan regelverket skiller mellom akademiske- og/eller næringslivsformål.
Reguleringsforslaget stiller krav til datakvalitet. Det nevnes blant annet feilfrie data. Man kan her stille spørsmål ved hva dette faktisk innebærer, og hvordan man skal kunne sikre at data er feilfrie. Samme datasett vil kunne ansees som å ha høy kvalitet innenfor ett domene og som mangelfullt innenfor et annet. Vi stiller derfor spørsmål ved hvordan det er tiltenkt at man kan sikre data av god kvalitet. Dersom leverandører opererer med kunders data, hvem vil i så fall være ansvarlig for å sikre kvalitet. Vil dette aspektet være knyttet til dataeierskap, osv?
Som en del av strategien for å sikre EUs fremtidige konkurransekraft, påpeker EU-kommisjonen at den etiske anvendelsen av kunstig intelligens vil være en svært viktig komponent. Vi anerkjenner at etisk KI vil kunne øke konkurransekraften, også utenfor det indre EU-markedet, men påpeker viktigheten av å balansere dette opp mot innovasjonskraft og verdiskapning.
Aspektet med diskriminering er viktig, ettersom reguleringsforslaget omtaler diskriminering av enkeltgrupper som forbudt. Samtidig, omtaler ikke forslaget i tilstrekkelig grad utfordringene knyttet til diskriminering som først oppstår når man kombinerer ulike grupper og parametre. Det vil av den grunn være fordelaktig om forslaget utbroderer disse utfordringene i enda større grad enn det som foreligger, og at man ser en enda bredere tilnæring enn det subsettet som nevnes nå.
Det henvises forøvrig også til Europarådets arbeid med kunstig intelligens. Dette vil ha svært stor betydning for Europa, da dette omhandler hele 47 medlemsland, inkludert Norge.
For å sikre videre tydelige rammer for forskning og akademia, er det avgjørende at dagens reguleringsforslag i større grad beskriver hvordan disse kravene skal implementeres i tekniske løsninger. Når det kreves at løsninger kan forklares, hvordan definerer man hva som er en tilstrekkelig forklaring? Og hvordan skal et system forklare hva det har funnet og hvordan?
På dette området er dagens forslag utydelig og vil kreve ytterligere presiseringer.
Innenfor kunstig intelligens finnes det mange små og mellomstore bedrifter (SMBer), og man ser at det for disse potensielt vil kunne bli svært ressurskrevende å møte omfattende krav gjennom regulering. Konsekvensene av dette kan bli at mindre aktører stenges utenfor markedet, og at man bremser tilfanget av nye løsninger og systemer.
Det vil derfor være helt avgjørende at man legger opp til en løsning hvor SMBer vil kunne få veiledning og kompetanse om hvordan man forholder seg til et endelig regelverk.
I likhet med GDPR, må mulighetene for ulike nasjonale tolkninger av regelverket minimeres, slik at man unngår et fragmentert indre marked i EU. Det vil være helt avgjørende at regelverket er fullstendig harmonisert.
Det vil være behov for å jevnlig oppdatere regelverket, samtidig som det må være enkelt for leverandører å få tilgang på kompetanse og veiledning. Flere regulatoriske sandkasser, som gjerne også fungerer på tvers av sektorer, vil potensielt kunne bidra til dette. Samtidig er dette ressurskrevende prosesser, slik at vi anbefaler å etablere flere “lavterskeltilbud” som kan bistå med veiledning. Forutsigbarhet er svært viktig for å stimulere til økt verdiskapning.
Det vil også bli et spørsmål om i hvilken grad reguleringsforslaget omfatter hele verdikjeder, og hvordan ansvarsfordelingen blir mellom de ulike leddene og aktørene. Verdikjeder kan potensielt bli svært komplekse og uoversiktlige, noe som vil kreve ytterligere presiseringer i reguleringsforslaget hva gjelder ansvarsfordeling.
På mange måter blir dette første gang vi forlater området hvor mennesker har oversikt. Spørsmålet blir dermed hvem og hvordan løsninger basert på kunstig intelligens skal vurderes? Det bør undersøkes i hvilken grad automatisert løsninger kan brukes. I tillegg, ønsker EU-kommisjonen å opprette et sentralt tilsynsorgan i EU. IKT-Norge oppfordrer Norge til å ta en aktiv rolle for å sikre norsk deltakelse på en denne arenaen.
Tilstedeværelse i den felleseuropeiske debatten er viktig. Gitt Norges nære tilknytning til EU på både politisk og kommersielt plan, vil aktiv deltakelse i de prosesser som er tilgjengelige for Norge, være av avgjørende betydning. Det europeiske fellesskapet utgjør en vesentlig stemme på den globale arena, og Norge vil således tjene på aktiv deltakelse.
Kunstig intelligens vil forandre måten samfunnet opererer, og det er helt avgjørende at regulering av et slikt område er harmonisert og basert på grunnleggende menneskerettigheter.