Baggrund

Mere end lovgivning: AI-reguleringens treenighed


Kilde: iStock
Mark Sinclair Fleeton

Journalist

   Læsetid 10 minutter
Array

TLDR – Fire hovedpunkter:

  • Regulering er andet og mere end lovgivning.
  • Branchestandarder rækker kun et stykke af vejen
  • Digital dannelse skal sætte almindelige mennesker i stand til at forstå og bruge AI på en ansvarlig måde.
  • En holistisk tilgang til regulering kan muligvis skabe den nødvendige balance mellem beskyttelse og innovation.

Vi skal forvente at mange nye love bliver vedtaget i 2023, der strammer op på borgerens privatliv og skaber rammer for risici og krav til gennemgang af AI-systemer for data bias, privatlivskrænkelser og sikkerheds risici.” Sådan skriver Cindy Gordon på forbes.com.

Og når man ser lidt nærmere på hvordan stater mellem- og overstatslige organisationer arbejder med AI, så er der da også en del ny lovgivning under udvikling. Samtidigt raser der en hidsig debat nationalt og internationalt om hvordan lovgivning på AI-området skal udformes og om der overhovedet skal lovgives på området. 

Fra akademikere, politikere og visse dele af erhvervslivet lyder der krav om regulering og i nogle tilfælde stram regulering. I andre dele af erhvervslivet og fra dele af det akademiske miljø er man overbevist om, at regulering og særligt omfattende og hastevedtaget lovgivning vil begrænse innovationen og sætte industrien tilbage i udviklingen op imod fx Kina.

Men regulering er mange ting og behøver ikke bestå af restriktiv lovgivning.

For og imod lovgivning

samme artikel opsummerer Cindy Gordon hvad det er for risici, der er brug for regulering omkring. 

Vi har set store AI-risici indenfor rekruttering og ansættelsespraksis og indenfor kreditvurderinger, der reproducerer eksisterende uligheder eller inkluderer nye skadelig bias og diskrimination.” 

Groft skåret er det vi snakker om, når vi snakker risiko:

  • Arbejdsløshed pga. automatisering
  • Øget ulighed – de, der kontrollerer AI, kan opnå uforholdsmæssig magt og ressourcer
  • Ukontrollerbar AI
  • Sikkerhedsrisici – ifm. kritisk infrastruktur indenfor fx sundhedsvæsen, transport og national sikkerhed.
  • Våbenkapløb – militær anvendelse kan medføre et våbenkapløb og øge risikoen for konflikter.
  • AI-modeller har et stort ressourceforbrug og dermed et stort klimaaftryk

Dr Anil Fernando, der er professor ved Strathclyde University, udtalte i juli måned til The National, at: ”De store tech-virksomheder er drevet at konkurrencehensyn og profit. Derfor kan selv-regulering ikke sættes i stedet for handling fra regeringen. De kan lede til at man overser potentielle risici for at opnå en konkurrence-fordel.”

I den modsatte ende af spektret finder vi professor Jan Damsgaard fra CBS og digital vismand, der mener, at EU er i færd med at gentage fejltagelserne de gjorde i forbindelse med regulering af internettet.

Jeg synes ikke, at læren er, at EU kom for sent med lovgivningen. Tværtimod har EU fejlet ved at regulere for hårdt og for tidligt, når det gælder Internettet og andre digitale teknologier. Og nu er EU ved at gentage fejltagelsen med AI,” skriver Jan Damsgaard i et debatindlæg i Finans. 

Konsekvensen, som Jan Damsgaard ser den, at ingen af de 20 største internetvirksomheder er europæiske. Men måske behøver lovgivningen ikke være så stram og det vil give mening at tænke regulering bredere. 

Andre frygter at det vil blive stort set umuligt for startups og mindre virksomheder at udvikle AI-modeller fra bunden og at reguleringen vil lamme udviklingen indenfor den offentlige sektor og finanssektoren. 

Agil lovgivning

Det er stort set umuligt for lovgiverne at følge med udviklingen og derfor giver det mening, at have en lidt mere fleksibel indgang til lovgivningen. Det har ikke været EU Parlamentets tilgang til lovgivning og det har givet en række problemer for at følge med udviklingen på området. AI-Forordningen, som er det forslag til lovgivning Parlamentets har lagt frem, tager udgangspunkt i en risikovurdering af konkrete AI-modeller. Minimal, begrænset, høj-, og uacceptabel risiko er kategorierne Parlamentet har fundet frem til AI-Forordningen.

I danske erhvervskredse tænker man i mindre strenge baner, selvom mange efterlyser en eller anden form regulering DI og direktør Mikael Munk fra 2021.ai virksomheden, mener at  vi har brug for statslige sandkasse miljøer, hvor man kan teste ny teknologi skal være med til at afmontere nogle af risiciene ved ny teknologi. Samtidigt anbefaler man, at de danske lovgivere ikke bare venter på, at EU’s lovgivning træder i kraft. Det har digitaliseringsminister Marie Bjerre (V) dog ikke nogle planer oplyste hun i et samråd i begyndelsen af maj.

En tredje løsning er en form for certificeringsordning på linje med på medicinalområdet, hvor lægemidler først må frigives efter en godkendelsproces. Den ligger fint i tråd med den risikobaserede tilgang, der ligger i EU’s AI-forordning. 

En fjerede tilgang er den hændelsesbaserede tilgang, der svarer til det system, der i dag fungerer på luftfartsområdet. De internationale luftfartsmyndigheder har i dag mulighed for at forbyde brugen af en bestemt flytype, hvis der er konstateret fejl på typen. Som et eksempel kunne man forestille sig, at der blev nedlagt et forbud mod bestemte selvkørende biler, hvis de var skyld i for mange uheld.

Frygten bla. i IT-branchen er, at EU’s definition af AI bliver for bred og at lovgivningen dermed vil ramme for bredt og dermed hæmme udviklingen på området. Det kræver det, som man med et af de sidste års mest brugte buzzwords kalder en agil lovgivning, men hvad betyder det, at en lovgivning er agil. Erhvervsstyrelsen har forsøgt at opsætte en række kriterier for, hvordan man får en agil erhvervslovgivning. Den skal for det første muliggøre anvendelse af nye forretningsmodeller, den skal være enkelt og formålsbestemt, teknologineutral, helhedstænkende og sikre en brugervenlig digitalisering. 

Branchestandarder og selvregulering

Men lovgivning er ikke den eneste måde at regulere den voldsomme udvikling på AI-området. I takt med udviklingen har flere virksomheder forsøgt at opstille egne retningslinjer for deres arbejde med AI-modeller. Hos Google har man opstillet følgende etiske principper for deres brug af AI. Googles arbejde med AI skal være:

  1. Samfundsgavnlig
  2. Undgå at skabe eller forstærke unfair bias
  3. Være bygget og testet med sikkerhed for øje
  4. Være ansvarlige – modtage feedback, være forklarbar og være underlagt menneskelig kontrol
  5. Være bygget op for at beskytte personoplysninger
  6. Leve op til høje videnskabelige standarder

Microsofts principper på området ligner langt hen ad vejen.

  • Fairness
  • Pålidelighed og sikkerhed
  • Beskyttelse af personoplysninger og sikkerhed
  • Inkluderende
  • Gennemsigtighed
  • Ansvarlighed

Hvor Googles principper taler om samfundsgavn, så holder Microsoft sig tættere til jorden og taler om fairness, sikkerhed, gennemsigtighed og ansvarlighed.

Når man kigger på IBM’s etiske principper for udvikling af AI, så tegner der sig et billede af at giganternes principper udgør en række almindeligheder på området. Først opstiller IBM tre vejledende værdier for deres arbejde med etik på AI-området:

  • Formålet med AI er at udbygge menneskelig intelligens
  • Data og opdagelser tilhører deres skaber
  • Teknologi skal være gennemsigtig og forklarbar

Herefter opstiller de det, de kalder grundpiller i deres arbejde med etik indenfor AI:

  • Forklarbarhed
  • Fairness
  • Robusthed
  • Gennemsigtighed
  • Datasikkerhed

Og så går man direkte over til på samme side at præsentere watsonx.ai – virksomhedens store AI-projekt lige nu. Det er måske meget sigende for alle tre tilgange til etik indenfor AI-området. Det er holdt i generelle termer, der kan tilpasses udviklingen. 

Lignende principper er begyndt at finde frem til danske virksomheder i takt med, at de bevæger sig ind på AI-området. Novo Nordisks principper på området ligner til forveksling de ovenstående.

En undersøgelse fra Erhvervsstyrelsen af store danske virksomheders arbejde med dataetik fra september 2022 viser, at virksomhederne i høj grad ser dataetik som en compliance-øvelse i forhold til EU’s GDPR-regler. Hvor 63 % af store danske virksomheder har valgt at have en dateetisk politik, så har kun 5 % formuleret konkrete målsætninger og forankringstiltag i virksomheden.

Ikke-lovgivningsmæssige initiativer

Det tredje ben af regulering på AI-området er den ikke-lovgivningsmæssige del. Det handler først og fremmest om digital dannelse – altså uddannelse og oplysning om AI-området. Digital dannelse starter som al anden dannelse hjemme og i grundskolen. Fornuftige principper i omgangen med AI-modeller. Hvad kan de og hvad kan de ikke og hvad er risici ved brug af modellerne.

Udover statslige myndigheders overvågning af området, så kan NGO’er og tænketanke også spille en rolle i forhold til at overvåge og rapportere omkring AI’s anvendelse og dermed være med til at sikre, at virksomheder og regeringer handler ansvarligt.

Mens AI udbreder sig indenfor både den private og offentlige sektor er der også brug for en dialog mellem de forskellige interessenter og partnerskaber mellem sektorer for udvikling af AI.

En holistisk tilgang

Dr. Anil Fernando efterlyser en mere holistisk tilgang til regulering på AI-området.

En holistisk tilgang til AI regulering, der kombinerer samarbejde mellem industrien, det politiske niveau og involvering af befolkningen vil være essentielt for at opnå tilstrækkelig AI sikkerhed.” 

Det handler om balance: at beskytte befolkningen og bevare dens tillid til AI, samtidigt med, at man ikke kvæler innovationen og lysten til at udvikle nyt på området. En kombination af en så minimal lovgivning som mulig kombineret med branchestandarder og samarbejde mellem regering, industrien og NGO’er såvel som enkeltpersoner kan være vejen frem.

109 views