På besøg i Norges AI-sandkasse: Vi har valgt projekter, der prøver grænser af
AI-regulatoriske sandkasser er et af nøgleelementerne i EU-kommissionens plan om at få sat fart på brugen af AI på kontinentet.
Mens danske virksomheder venter i spænding åbnede Norge allerede i år op til leg i en sandkasse, som sidste år blev vedtaget som en del af landets nationale AI-strategi.
Hos Datatilsynet, der står bag projektet, er man allerede begejstret for metoden, og kigger på at gøre det til en fast del af arbejdet, fortæller projektleder Kari Laumann.
»Det er en interessant måde at arbejde på, som er meget anderledes, end hvad vi gør normalt,« siger hun.
Hvis man har fået lov til at komme med i Norges AI-sandkasse, betyder det hverken at projektet er garanteret en blåstempling, eller at virksomheder bliver undtaget reglerne, understreger Kari Laumann.
Men frem for at møde Datatilsynet, når systemet er færdigbygget og myndigheden banker på med bødeblokken i hånden, kan de udvalgte projekter få hjælp og støtte af tilsynet til fra starten at indrette deres projekter på en måde, så de ikke komme i karambolage med reglerne.
»Reguleringen er stadig den samme. Det vi gør i sandkassen er at udforske rammerne inden for reguleringen, og hvad det betyder i praksis,« siger Kari Laumann.
Prøver grænser af
De første fire projekter til den første runde af den norske sandkasse blev udvalgt blandt 25 ansøgere i starten af marts, og de repræsenterer en blanding af offentlige og private selskaber samt AI-systemer, der er mere og mindre modne.
Bredden af de udvalgte projekter er vigtig, understreger Kari Laumann, for arbejdet er ressourcekrævende og skal gerne ende med at hjælpe andre virksomheder foruden de fire udvalgte. Derofr vil tilsynet dele både de endelige resultater, men også de løbende diskussioner og evalueringer.
»Forhåbentlig kan det hjælpe andre som kæmper med de samme problemer, og de kan se både nogle use cases som fungerer, og nogle grænser vi trækker i de områder, vor loven ikke er helt sort-hvid,« siger Kari Laumann.
Samtidig er det for det meste projekter som prøver grænserne i lovgivningen af.
»Vi har valgt projekter med indbygget risiko, og det er er en del af sandbox-metoden. Vi skal udfordre os selv og udforske de her emner. Målet er også, at vi som myndighed lære, hvordan vi skal håndtere det, når selskaber vil etablere denne type løsninger.«
Kontroversielle sandkager
De fire projekter tæller startup-selskabet Age Labs, som kombinerer machine learning og biobanker for at prædiktere diagnoser på baggrund af epigenetikken. De har en oplevelse af, at persondatalovgivning spænder ben for det projekt.
Mere penibelt bliver det med Secure Practice, et it-sikkerhedsfirma, der gerne vil profilere ansatte i virksomheder for at afgøre, hvor der skal sættes ind med træning og fokus på sikkerhed. Noget som udenlandske aktører allerede bryster sig af, men som kan være svært at forene med europæisk lov.
Norges svar på Kommunernes Landsforening - KS - er med i sandkassen for at finde frem til, hvor langt man kan gå med profilering af skoleelever. Projektet samler data fra forskellige læringsværktøjer for at hjælpe lærer med at vurdere elevens niveau, men det rejser en række spørgsmål om dataejerskab med mere.
Den mest kontroversielle sandkage kommer fra NAV, Arbeids- og velferdsetaten, som er den norske myndighed, der har ansvar for udbetaling af dagpenge med mere. Her vil man gerne bruge AI til at prædiktere, hvor længe sygemeldte personer forbliver syge. Planen er at undgå at bruge kræfter på at planlægge og afholde obligatoriske møder i tilfælde, hvor personer allerede er på vej tilbage fra sygesengen. Men det er selvsagt en hvepserede af følsom persondata, som man skal tage hul på i den forbindelse.
Transparens og fairness i praksis
Selvom de udvalgte projekter - og de 21 øvrige ansøgere - spænder bredt er der problemstillinger der går igen. Generelt er udfordringen, hvordan lovens principper oversættes til praktiske tekniske løsninger, fortæller Kari Laumann.
Når Artikel 5 i GDPR f.eks. kræver gennemsigtighed, hvad betyder det så for, hvor mange detaljer skal man give brugeren om, og hvor åben den sorte boks skal være.
»Det vil være rigtig interessant at få undersøgt i den her sandkasse. Og det bliver rigtig interessant at involvere brugere, og spørge dem, hvilke krav de har til transparens og explainability,« siger Kari Laumann.
Et andet emne er fairness. Fair brug af data er et af hovedprincipperne i GDPR, men hvad det betyder i praksis kan være forskellige i forskellige sammenhænge.
»Hvis vi ser på projektet fra KS, der involverer analyse af børns data, så et af spørgsmålene hvilken form for data ville være fair at inkludere i sådan en analyse. Er der risiko for unfair behandling eller bias mod børnene, hvis de f.eks. har et andet modersmål end norsk,« siger Kari Laumann.
Endnu et udfordrende emne er dataminimering. AI kræver notorisk meget data for at være effektiv og præcis. men i reguleringen findes princippet om, at man kun skal bruge den strengt nødvendige data til et formål.
»Så hvordan går de to elementer sammen? Vores mål er at vise, at det er muligt opnå sit mål med AI og samtidig have dataminimering,« siger Kari Laumann.
Test-inspektion træner tilsynet
Når først projekter er udvalgt til sandkassen kan de få hjælp til at identificere specifikke juridiske problemer og løse dem. De kan gå i dialog om fortolkninger eller få støtte til benarbejdet i compliance. Den konkrete hjælp afhænger meget af det enkelte projekt, siger Kari Laumann.
»Nogle har meget specifikke spørgsmål til AI, mens andre er mere usikre på, hvad de har brug for hjælp til, og så er det mere et spørgsmål om at scope projektet korrekt,« forklarer hun.
»Startup-selskabet har ikke nogen juridisk afdeling, hvilket gælder for mange startups. Så de kæmper med nogle af de basale ting som f.eks. en konsekvensanalyse. I de mere modne projekter har de mere brug for at vi laver et kvalitetstjek på det arbejde, de har lavet.«
I et af projekterne planlægger Datatilsynet at lave et uformelt inspektionsbesøg, som en test på, hvad man kan opleve uden for sandkassens fire vægge.
»En prøve-inspektion kan vise selskabet, hvad vi rent faktisk leder efter og spørger ind til. Og vi kan også bruge det til at træne os selv i at lave inspektioner af algoritmer og modeller og teste vores egen metodik,« siger Kari Laumann.
Indtil videre har Datatilsynet fået midler til at drive sandkassen til og med 2022. Myndigheden forventer, at man kan tage et nyt hold ombord til efteråret.
Kari Laumann er projektleder for AI-sandkassen hos Datatilynet i Norge. Hun ledte arbejdet, da Datatilsynet udgav sin første rapport om AI og privacy i 2018. Kari Laumann har tidligere været VP for Telenor og rådgivet det norske parlament om teknologiudvikling.
DataTech har fået økonomisk støtte fra Europa-Nævnet til at sætte journalistisk fokus på arbejdet med at regulere AI
EU-Kommissionen har i år fremlagt et forslag til, hvordan AI skal tøjles. Forude venter således en afgørende offentlig debat, som skal være med til at sikre, at den endelige lovtekst rammer den rigtige blanding af sikkerheder og muligheder. Et fejlskud mod den ene af disse poler kan have alvorlige konsekvenser for Europas evne til succesfuldt at udnytte AI i dette årti.
DataTech vil i en artikelserie gå i dybden med, hvordan EU konkret vil regulere AI, hvor der er behov for regulering, ligesom vi undersøger, hvordan de specifikke regler rammer ned i det praktiske arbejde med AI i europæiske virksomheder.
