Fyrirhugað regluverk Evrópusambandsins um gervigreind

Flestir kannast við vélmennið HAL 9000 úr mynd Stanley Kubricks, 2001: A Space Odyssey, sem eftirminnilega neitaði að framfylgja skipun manneskju með orðunum: „I´m sorry Dave – I´m afraid I can´t do that“. Síðan myndin kom út árið 1968 hefur tækninni fleygt fram og ljóst að gervigreind er orðin óaðskiljanlegur hluti af lífi margra. Mikið hefur verið rætt um tækifærin en jafnframt áhættuna sem fylgir aukinni notkun gervigreindar, m.a. vegna hættu á hlutdrægni og mismunun vegna sögulegra gagna sem stuðst er við. Þetta er stundum nefnt „vandi svarta kassans“ (e. AI black box problem), þar sem ekki er hægt að svara því með nákvæmum hætti hvers vegna frálag kerfis er eins og það er hverju sinni.

Hver er líklegastur til að hljóta starf? Hvaða andlit þekkir forritið og hvaða andlit ekki? Auk þess hefur verið til umræðu að margir þeir sem koma að þróun á þekktum gervigreindarlausnum komi úr forréttindastéttum samfélaga og átta sig ef til vill ekki á þeirri miklu áhættu sem tengist sögulegri mismunun gagna o.fl. Því er kannski eðlilegt að velta því fyrir sér hvort ekki þurfi ákveðin siðferðis- og samfélagsleg viðmið við þróun gervigreindar.

Í apríl á síðasta ári birti framkvæmdastjórn Evrópusambandsins drög að reglugerð um notkun á gervigreind innan Evrópusambandsins. Markmið regluverksins er m.a. að hafa áhrif á þær aðferðir sem notast er við þegar fyrirtæki þróa, markaðssetja og nota stafræna tækni í hinum ýmsu formum. Ekki er ljóst að hvaða marki reglugerðin kemur til með að hafa áhrif hérlendis en EFTA-ríkin sem falla undir samninginn um Evrópska efnahagssvæðið, sem Ísland tilheyrir, hafa lýst yfir vilja til þátttöku. Regluverkið mun þó í öllum tilvikum teygja anga sína út fyrir Evrópu þar sem því er ætlað að taka til allra þeirra sem markaðssetja eða veita þjónustu á evrópskum markaði.

Til hverra taka fyrirhugaðar reglur?
Í reglugerðardrögunum er gervigreind skilgreind með víðtækum hætti og tekur til hugbúnaðar sem notast við víðtækar skilgreindar aðferðir og nálgun gervigreindar og skilar gögnum sem eru til þess fallin að hafa áhrif á umhverfið sem þau eiga í samskiptum við. ^[1]

Reglugerðardrögin ráðgera fyrst og fremst að kvaðir verði settar á þá sem þróa og markaðssetja slíkar vörur eða hugbúnað, en ákveðnar skyldur hvíla auk þess á innflytjendum slíks búnaðar, dreifingaraðilum og eftir atvikum notendum.

Þrepaskiptar reglur eftir áhættu
Í reglugerðardrögunum er kveðið á um þrepaskiptar reglur eftir áhættu slíkra kerfa.

Í fyrsta lagi er kveðið á um bann við notkun kerfa sem fela í sér óásættanlega áhættu. Á þetta t.d. við um kerfi sem ganga gegn grundvallarréttindum, s.s. á við þegar yfirvöld meta áhrif og tengsl einstaklinga í samfélaginu (e. social scoring). Óásættanleg áhætta samkvæmt framansögðu er talin geta raskað mannlegri hegðun með því að nýta sér veikleika fólks, t.a.m. vegna aldurs eða veikinda.

Í öðru lagi er kveðið á um kröfur fyrir notkun gervigreindar sem felur í sér mikla áhættu og teljast til svokallaðra hááhættukerfa. Hér undir falla margvísleg kerfi sem notast t.d. við gervigreind við framkvæmd öryggiseiginleika tiltekinna vara, t.d. í farsímum, leikföngum og lækningatækjum, sem þegar gilda sérstakar reglur um innan Evrópusambandsins og EES. Einnig falla hér undir svokölluð hááhættukerfi með tiltekna notkunareiginleika. Þar er til dæmis átt við kerfi sem greina lífkenni og flokka einstaklinga, kerfi sem notuð eru til að tryggja öryggi og framkvæmd nauðsynlegra innviða (s.s. vega eða hita-, vatns- og rafmagnsveitna), eða til að greina forgang neyðarþjónustu á borð við sjúkrabíla og slökkviliðs. Þá falla hér undir kerfi sem nota á við ákvörðun um aðgang að menntastofnunum eða við ráðningarferli fyrirtækja og mat á starfsframgangi. Önnur hááhættukerfi samkvæmt framansögðu eru svo dæmi séu tekin kerfi sem meta lánstraust eða áreiðanleika einstaklinga og hvort þeir séu eftir atvikum hæfir til að njóta opinberrar aðstoðar; kerfi sem vinna og greina beiðnir um atvinnuleyfi eða hæli innan Evrópusambandsins eða til að greina áreiðanleika ferðagagna. Að endingu má nefna kerfi sem ætlað er að aðstoða dómara með því að greina og túlka málsatvik og lög, og heimfæra lagaákvæði á tiltekin málsatvik.

Afar ríkar kröfur eru gerðar til vottunar framangreindra hááhættukerfa, þ.á.m. um að tryggt sé að gögnin sem notast sé við, séu ekki hlutdræg. Þá er gerð krafa um gagnsæi, upplýsingagjöf til notenda, örugga gagnastjórnun auk þess sem skylt er að eiga þess kost að geta yfirfarið öll söguleg frálagsgögn kerfisins. Þá er nauðsynlegt að útlista tæknileg skilyrði áður en hugbúnaður fer á markað til að tryggja að hann uppfylli raunverulega kröfur reglnanna.

Þá er gerð krafa um svokallað innbyggt siðferði sem slík kerfi skulu hafa, svo sem að tryggja skuli jafnrétti og rétt til mannlegrar íhlutunar. Þannig þurfa kerfin að vera þróuð á þann veg að þau geti, að því marki sem unnt er, tryggt nákvæmni, traust og öryggi. Þá þarf að eiga sér stað ákveðið vottunarferli og skráning kerfisins í sérstakan samevrópskan gagnagrunn.

Í þriðja lagi er kveðið á um ákveðin gagnsæisskilyrði þegar notast er við gervigreind sem felur í sér takmarkaða áhættu. Hér undir falla t.a.m. kerfi sem eiga í samskiptum við einstaklinga. Gagnsæiskröfurnar eru svipaðar þeim sem eru nú í persónuverndarlögum og felast m.a. í skyldum til að upplýsa notendur um tilurð og eiginleika kerfisins auk sérstakra upplýsinga ef verið er að notast við persónuupplýsingar til að flokka einstaklinga eða mæla út væntanlega hegðun.

Þá er að endingu fjallað um þau kerfi sem styðjast við gervigreind og hafa minniháttar áhættu í för með sér fyrir einstaklinga, en hér undir falla langflest þau kerfi sem notast er við í daglegu lífi, s.s. tölvuleikir, rusl-síur o.fl. Reglugerðardrögin mæla ekki fyrir um miklar breytingar hvað þessi kerfi varðar, en þeir sem selja og markaðssetja slík kerfi eru hvattir til að setja sér valkvæðar hátternisreglur.

Sandkassaumhverfi
Evrópskt regluumhverfi hefur á síðustu misserum sætt talsverðri gagnrýni fyrir að vera of strangt sem leiði til veikari samkeppnisstöðu aðildarríkja ESB þegar kemur að tækniþróun. Því vekur það athygli að reglugerðardrögin fyrirhuga að svonefnt sandkassaumhverfi (e. regulatory sandbox) verði heimilað, þar sem hægt verði að þróa áfram gervigreindarlausnir og vinna með persónuupplýsingar með einfaldari hætti, í þróunartilgangi undir eftirliti viðeigandi stjórnvalds áður en þjónusta eða vara er sett á markað.

Ábyrgð og eftirfylgni
Um er að ræða drög sem enn eiga eftir að fara í gegnum lögformlegt ferli innan Evrópusambandsins og má því hugsanlega enn gera ráð fyrir einhverjum breytingum. Ef reglugerðardrögin verða samþykkt, sem líklegt má telja, verða þau fyrsta regluverk sinnar tegundar í heiminum og fyrirséð, ef litið er til áhrifa persónuverndarreglugerðarinnar, að fleiri ríki utan Evrópu muni fylgja í kjölfarið. Reglugerðardrögin mæla fyrir um háar sektarfjárhæðir gegn brotum, svo ljóst er að afar mikilvægt er að fyrirtæki tryggi framfylgni við regluverkið frá upphafi.

Þess ber að geta að 28. september sl., birti framkvæmdastjórn Evrópusambandsins jafnframt drög að tilskipun sem hefur að geyma ábyrgðarreglur þegar kemur að gervigreindarlausnum, sem og breytingar á skaðsemisregluverki innan EES svæðisins til að taka á breyttu landslagi sökum gervigreindar.^[2] Áhugavert er að skoða samspil þessara fyrirhuguðu reglna, þ.e. reglugerðar um gervigreind, svo og tilskipunarinnar. Samkvæmt tilskipunardrögunum er sönnunarbyrði vegna tjóns að ákveðnu marki velt yfir á þá sem koma að þróun, markaðssetningu og dreifingu gervigreindarlausna sem gerir bæði einstaklingum og fyrirtækjum auðveldara að leita réttar síns telji þeir sig hafa orðið fyrir tjóni vegna notkunar á gervigreindarlausnum. Í stað þess að þurfa að bera ríka sönnunarbyrði vegna meints tjóns af völdum gervigreindar, geta einstaklingar og fyrirtæki þess í stað e.t.v. fært sönnur fyrir því að ekki hafi verið farið eftir fyrirmælum reglugerðarinnar, sem vikið er að hér í greininni, og velt sönnunarbyrðinni þar með yfir á þann sem þróar eða kemur að gervigreindinni, sem þarf þar með að sýna fram á að tjónið verði ekki rakið til gervigreindarinnar.

Þau fyrirtæki sem koma að þróun á gervigreindarlausnum, innflutningi og/eða markaðssetningu þeirra, þurfa að fylgjast vel með þessum fyrirhuguðu reglum - en markmiðið er að reglugerðin öðlist gildi innan tveggja ára frá setningu hennar. Þau fyrirtæki sem koma að þróun á gervigreindarlausnum í dag, sérstaklega þeirra lausna sem fallið geta undir hááhættukerfi samkvæmt framansögðu, þurfa að kanna til hlítar hvort kerfin sem verið er að þróa taki mið af fyrirhuguðu regluverki. Þannig er nauðsynlegt að hefja fyrr en síðar kortlagningu að leiðum til eftirfylgni við fyrirhugaðar reglur, þótt einhver útfærsluatriði kunni að taka breytingum þegar fram líða stundir.

Höfundur: Lára Herborg Ólafsdóttir, lögmaður og eigandi á LEX lögmannsstofu

 ^[1] Í grein 3(1) í reglugerðardrögunum er gervigreind skilgreind með eftirfarandi hætti: „Software that is developed with one or more of the techniques and approaches listed in Annex I and can, for a given set of human-defined objectives, generate outputs such as content, predictions, recommendations, or decisions influencing the environments they interact with.“

^[2] Um er að ræða drög að svokallaðri AI liability Directive. Aðgengileg hér: https://ec.europa.eu/info/sites/default/files/1_1_197605_prop_dir_ai_en.pdf