Regulering: EU-lovgivning på kollisionskurs med kunstig intelligens

Den teknologiske revolution overhaler EU-lovgivning om beskyttelse af persondata allerede inden den er trådt i kraft.

Den 25. maj 2018 træder en ny EU-forordning om beskyttelse af persondata i kraft.

Forordningen får umiddelbar retsvirkning i alle medlemslande, og får derfor samme virkning som en national lov.

Persondataforordningen giver borgere i EU-landene verdens bedste beskyttelse mod misbrug af deres personlige data.

Men lovgivningen er samtidig et eksempel på, hvor vanskeligt det er at lovgive inden for det digitale felt.

Lovgivning på EU-niveau kræver årelange forhandlinger, og det er derfor vanskeligt at holde trit med det opskruede tempo i den digitale produktudvikling.

Fra flere sider peges der nu på, at EU’s persondataforordning kan være forældet allerede inden, den træder i kraft.

Udfordringerne knytter sig blandt andet til udviklingen inden for kunstig intelligens, der er på direkte kollisionskurs med EU-forordningen.

Persondataforordningen bygger på et princip om, at borgerne skal give deres samtykke til, at deres persondata bliver anvendt i forskellige sammenhænge.

Desuden skal det være tydeligt og forståeligt for almindelige borgerne, hvordan deres persondata vil blive anvendt.

MIT Technology Review skriver i sit seneste nummer, at det i mange tilfælde vil kunne vise sig umuligt at leve op til forordningens krav.

Det gælder blandt andet for apps og websider, der anvender kunstig intelligens til at vise annoncer eller anbefale musiknumre.

For flere af disse løsninger kan det være umuligt at redegøre for, hvordan brugernes data bliver anvendt.

“Den type løsninger er udviklet ved, at kunstig intelligens har programmeret sig selv, og det sker på en måde, som vi ikke forstår. Selv de ingeniører, der bygger disse løsninger, kan ikke helt forklare systemernes adfærd”, skriver MIT.

Det samme spørgsmål er emnet for en ledende artikel i det seneste nummer af det britiske magasin, International Data Privacy Law, der udgives af Oxford University Press.

Her rejses blandt andet spørgsmålet om, hvordan man skal kunne opnå “informeret samtykke” i relation til en proces, der i sagens natur er uigennemskuelig, fordi den kunstige intelligens i praksis er en sort boks.

Selv hvis en proces, der anvender kunstig intelligens, i teorien ville kunne forklares på et abstrakt matematisk niveau, vil det kunne være umuligt at forklare det på en måde, der er forståelig for en almindelig borger.

Desuden åbner lovteksten for en uoverskuelig administrativ proces.

“Forordningens krav om, at formålet med anvendelsen af persondata er præcist ‘specificeret’, vil kunne medføre krav om en særskilt tilladelse til hver enkelt situation, hvor persondata skal bearbejdes med anvendelse af automatiseret beslutningstagning, for eksempel inden for områder, der vedrører borgernes beskæftigelse og deres økonomiske eller medicinske forhold”, skriver forfatterne til artiklen i International Data Privacy Law.

Dilemmaerne i forbindelse med anvendelse af kunstig intelligens kommer også til udtryk inden for sundhedssektoren.

Her anvendes kunstig intelligens til at finde mønstre i millioner af patientdata, og systemerne kan på den måde hjælpe lægerne med at stille mere præcise diagnoser.

Men systemerne er uigennemskuelige, og det er uklart for mennesker, hvordan maskinerne når frem til deres resultater.

Det er derfor et spørgsmål, om systemerne er lovlige, fordi man ikke kan forklare patienterne, hvad deres data bliver brugt til.

Man kan derfor ikke opnå “informeret samtykke” i forordningens forstand.

På den måde kan lovgivningen komme til at stå i vejen for en af de største landvindinger inden for det medicinske felt i årtier.

EU-Parlamentet har foreslået, at der oprettes et europæisk agentur for robotteknologi og kunstig intelligens, “med henblik på at tilvejebringe teknisk, etisk og lovgivningsmæssig ekspertise (…) som led i bestræbelserne for at sikre en rettidig, etisk og velinformeret respons på de nye muligheder og udfordringer.”

Men indtil videre fortsætter nedtællingen frem mod den 25. maj 2018, hvor persondataforordningen træder i kraft og omgående kommer på tværs af stribevis af løsninger, der anvendes i dagligdagen af millioner af EU-borgere.

Desuden vil forordningen kunne komme til at udgøre en bremse på forskning og udvikling inden for nogle af de mest lovende områder af det digitale marked i Europa.

Henvisninger og baggrund: 12.06.2017