Juridisk krönika: Behöver vi vara rädda för AI?
AI är inte något nytt. Vi använder det sedan länge i exempelvis Gmail för att sortera bort skräppost och genom tjänster som Google translate. Som ett led i EU:s digitala strategi har ett förslag till ny AI-förordning börjat nå sitt slutskede. Det som återstår är bland annat att komma överens om vilken typ av AI som ska förbjudas och vad som ska gälla brottsbekämpande myndigheter. Vad innebär det för oss?
Syftet med förordningen är att säkerställa bättre förutsättningar för utveckling och användning av ”AI-system”. Dessa system antas kunna generera bättre sjukvård, säkrare och renare transporter, effektivare tillverkning och billigare och mer hållbar energi. AI kan med andra ord hjälpa till på många vis till gagn för våra kommuners och regioners invånare. Enligt AI-förordningen ska olika typer av AI klassificeras utifrån vilken risk de utgör för användarna varpå de olika risknivåerna kommer att innebära mer eller mindre hård reglering.
En typ av AI som, bortsett vid ett fåtal undantagsfall, föreslås förbjudas helt och hållet är användning av biometrisk fjärridentifiering i realtid på allmänt tillgängliga platser för brottsbekämpningsändamål. Med biometrisk identifiering avses exempelvis bevakningskameror som sätts upp för att läsa av ögonrörelser och ansiktsuttryck för att identifiera fysiska personer (något som kan föra tankarna till dystopiska science-fictionthrillers).
Biometrisk fjärridentifiering utgör en typ av AI, och trots att vi inom EU snart är först i världen med att reglera AI så har unionen redan blivit omsprungen av såväl G7-länderna som sig själv. Redan med GDPR kom ett förbud mot att fatta rättsligt bindande beslut som enbart grundar sig på ”automatiserad behandling, inbegripet profilering” (den artikel i dataskyddsförordningen som sannolikt var svårast att begripa i början). Så vad handlar då detta om, EU, om inte AI?
För den lilla kommunen kan allt detta med AI, GDPR och cybersäkerhet upplevas överväldigande och det kan vara svårt att ställa rätt frågor. Ponera att en arbetsgivare tillhandahåller iPhones till personalstyrkan. Är det då arbetsgivaren som blir personuppgiftsansvarig för den behandling som Apple gör när den anställde väljer att logga in med Face ID? Om ja (vilket torde vara ett rimligt antagande) – är det då också arbetsgivarens ansvar att tillse att Apples (och dess samarbetspartners) behandling verkligen begränsas till enbart inloggning och inte även nyttjas för andra åtgärder, såsom automatiserade beslut eller brottsbekämpande AI-åtgärder i andra länder. Ja, kanske det. Och om så är fallet, vad gör ni åt det?
Olika perspektiv på biometrisk identifiering
Här på Adda har vi lite olika syn på biometrisk identifiering (såsom Face ID). För mig som bolagsjurist och dataskyddsombud, hemkommen från semester i ett land där ögon, ansiktsuttryck och fingrar scannades vid ankomst (utan information om hur uppgifterna behandlas) ligger det nära till hands att tillämpa försiktighetsprincipen. Var hamnar mina uppgifter och vad kan de användas till? Kommer Apple att träna generativ AI med hjälp av mina fingeravtryck? Avsaknaden av information och teknisk kompetens gör det lite läskigt. Därför frågade jag Smeden Svahn, Addas informationssäkerhetssamordnare som kan tekniken:
-Jag förstår att vissa människor känner oro för användningen av biometrik och hur det kan hota integritet, frihet och rättssäkerhet. Denna oro grundar sig ofta i bristande kunskap, vilket är förståeligt eftersom alla teknologier har potential att missbrukas, säger Smeden Svahn.
Smeden menar att biometrisk data för inloggning är ett av de mest praktiska och säkra sätten att verifiera identitet på nätet, eftersom den är unik för varje individ och kan mätas med hjälp av olika sensorer. Till exempel kan fingeravtryck, iris, röst eller ansiktet användas för att låsa upp en enhet eller för att logga in på olika tjänster, vilket är bättre än att använda lösenord, som kan glömmas bort, tappas, gissas eller stjälas.
- När du registrerar dig för ett system som använder biometrisk data för inloggning, till exempel Windows Hello eller Apple Face ID, skannar du din biometriska data med hjälp av en kamera eller en sensor på din enhet. Denna data omvandlas sedan till en matematisk representation, som kallas en biometrisk mall. Denna mall lagras sedan lokalt på din enhet och krypteras med en nyckel som bara du har tillgång till. När du sedan vill logga in skannar du din biometriska data igen, och systemet jämför den med den biometriska mallen som finns på din enhet. Om de matchar får du tillgång till din enhet eller tjänst. Om de inte matchar får du inte tillgång.
- Det är viktigt att förstå att din biometriska data inte skickas upp i molnet eller delas med någon annan. Den lagras lokalt på din enhet och kan bara användas för att verifiera din identitet, inte för att identifiera dig. Ingen annan kan se din biometriska data eller använda den för att låsa upp din enhet eller för att logga in på andra tjänster. Du behöver inte oroa dig för att Microsoft eller Apple stjäl din biometrik, eller att någon annan kan hacka den.
Med Smedens svar i bagaget skulle jag våga hävda att personuppgiftsansvaret för behandling av medarbetarens biometri i iPhone kan begränsas till just inloggningen. Så skriv om ni vågar in i era registerförteckningar att ändamålet med behandlingen är just det och att den rättsliga grunden exempelvis är allmänt intresse. Jag förstår nu varför det ofta blir konflikt mellan en organisations utvecklings- IT eller innovationsavdelningar i förhållande till juridik och dataskydd. Vi har helt olika perspektiv.
I Sverige gillar vi att ligga i framkant men vi har hamnat på efterkälken när det gäller AI. Kanske beror det på att digitaliseringsbegreppet har rört ihop teknik, juridik, dataskydd och säkerhet i en enda röra. För att komma framåt behöver vi samarbeta och skilja äpplen från päron. Men skynda fort och ta hjälp av duktiga jurister redan i projekteringsfasen!
AI aktualiserar många frågor och informations- och IT-säkerhet är en. Juridiskt handlar det om ansvar (straffrättsligt och skadeståndsrättsligt), om immateriella rättigheter (upphovsrätt och företagshemligheter), om dataskydd och integritet, riskfördelning och om avtalsrätt. Det kan även vara fråga om konkurrens och produktsäkerhet eller etiska krav och principer.
Så var inte rädda för att använda AI för att det verkar krångligt eller läskigt. Se istället till att lära er mer! Lär av varann, lär av varandras misstag och glöm inte att lyfta blicken ut till de andra kompetenser som ryms inom eller utanför er egen organisation.
/Liv Zettergren och Smeden Svahn
Liknande nyheter
- Stöd i att avropa bokning- och bidragslösningar 19 december 2024
- Juridisk krönika: Nya upphandlingsregler ska stärka EU:s inre marknad 16 december 2024
- "Addas stöd var en framgångsfaktor när vi upphandlade lösning för Säker digital kommunikation" 13 december 2024