Kunstig intelligens er et begreb for computerprogrammer og andre maskiner, som kan “tænke selv” og udføre opgaver, som normalt kræver menneskelig intelligens. Denne teknologi er navnlig baseret på såkaldt machine learning, hvorved et program kan finde sammenhæng og mønstre i store mængder af data ved at lave matematiske algoritmer/ modeller uden programmering. Systemet skal først “lære” af oplysningerne i en stor database (“træningsdata”) og kan herefter med tiden selv tage stilling til komplicerede problemstillinger.
Kunstig intelligens kan anvendes til mange forskellige formål, som f.eks. billed- og talegenkendelse, chatbots, sikring af at mails til en organisation havner i den rette sagsbehandlers indbakke, automatiske opslag i forskellige registre, automatisk generering af svarbreve, optimering af vedligeholdelsesarbejdet på infrastruktur eller at opdage udsatte børn tidligst muligt på baggrund af digital profilering med henblik på hurtig iværksættelse af indsats.
Dataene, som anvendes af computerprogrammer og maskiner ved kunstig intelligens, vil ofte indeholde personoplysninger; dvs. relatere sig til en identificerbar fysisk person. På den baggrund skal der være særligt fokus på overholdelse af de persondataretlige regler.
De aspekter ved kunstig intelligens-teknologien, som er særligt relevante i en persondataretlig sammenhæng, er:
- at teknologien anvender store mængder “træningsdata”, som ofte indeholder personoplysninger
- at teknologien selv kan komme frem til/træffe afgørelser
- at det kan være uklart, hvordan teknologien kommer frem til den enkelte beslutning (det såkaldte “black box-problem”).
De væsentligste persondataretlige overvejelser i forhold til kunstig intelligens drøftes nedenfor.
Dataminimering
Brugen af kunstig intelligens er baseret på en stor mængde “træningsdata”, som programmet/systemet “lærer af”. Princippet om dataminimering – at der ikke må behandles flere personoplysninger end nødvendigt i forhold til de formål, hvortil de behandles – indebærer, at nødvendigheden af de oplysninger, som programmet “fodres” med, skal vurderes konkret. Et alternativ kan f.eks. være at anonymisere oplysningerne.
Formålsbestemthed
Princippet om formålsbestemthed indebærer, at formålet med behandlingen af personoplysningerne skal være tydeligt angivet og fastsat, når oplysningerne indsamles – og at senere behandling ikke må være uforenelig med dette første formål, som oplysningerne er indsamlet til. Princippet skal sikre, at oplysninger, der er indhentet til ét bestemt formål, ikke bliver anvendt til andre, medmindre der er den fornødne hjemmel.
Kunstig intelligens er skabt til at “tænke selv”, hvilket er problematisk, hvis den på egen hånd behandler oplysninger til formål, som ikke er forenelige med det formål, oplysningerne oprindeligt er indsamlet til. Ligeledes kan det være problematisk at anvende data fra tredjeparter indsamlet til andre formål. Indgår der f.eks. data indsamlet fra Facebook i en offentlig myndigheds profilering af lediges jobmuligheder, vil det formentlig ikke være i overensstemmelse med det oprindelige formål, som oplysningerne er indsamlet til.
Automatiske afgørelser
Kunstig intelligens kan bl.a. anvendes til at træffe automatiserede afgørelser. Efter databeskyttelsesforordningen er der som udgangspunkt et forbud mod automatiseret afgørelse, herunder profilering, som har retsvirkninger for en fysisk person, eller på tilsvarende vis betydeligt påvirker den registrerede. Det følger også af Datatilsynets vejledning, at afgørelsen eller profileringen skal indebære en evaluering af den registreredes personlige forhold.
Automatiserede afgørelser må dog i visse situationer træffes, herunder hvis det følger af lovgivningen, og denne fastsætter passende foranstaltninger til beskyttelse af den registreredes rettigheder mv.
Set i sammenhæng med den digitalisering, som foregår i den offentlige sektor, tilfører databeskyttelsesreglerne dermed, at der – ud over det almindelige krav om hjemmel til at træffe afgørelser over for borgere – skal være passende “beskyttelsesregler” i forhold til anvendelsen af personoplysninger, når der træffes myndighedsafgørelser via automatiserede processer.
De registreredes rettigheder og samtykke
Den dataansvarlige har efter forordningen pligt til at give en række oplysninger til den registrerede – både ved direkte og indirekte indsamling af personoplysninger. Anvendes der automatiserede afgørelser, herunder ved brug af kunstig intelligens, gælder der endvidere en udvidet oplysningspligt, hvor den dataansvarlige meningsfuldt – i et klart og enkelt sprog – skal forklare logikken, betydning og de forventede konsekvenser for den registrerede.
Dette kan volde problemer for den dataansvarlige, da de algoritmer, som den kunstige intelligens er baseret på, kan være svære at forstå og forklare i et enkelt sprog, ligesom der kan være en “black box” i forhold til, hvad systemet har “lært” sig selv.
Rimelig og gennemsigtig behandling
Det er et grundlæggende princip inden for persondataretten, at oplysningerne skal behandles rimeligt. Dette betyder, at oplysninger så vidt muligt ikke må lede til diskriminerende, usaglige eller direkte forkerte beslutninger. Man kan anspores til at tænke, at netop en kunstig intelligens vil kunne træffe mere objektivt korrekte afgørelser end en fysisk person, der kan påvirkes af forhold som fordomme, venskabelige relationer eller andre uvedkommende forhold. Den kunstige intelligens er dog ikke mere objektiv end den database af oplysninger, den er baseret på. Hvis databasen ikke giver et retvisende billede af virkeligheden, kan det føre til urigtige eller direkte diskriminerende afgørelser.
Konsekvensanalyse og sikkerhed
Den dataansvarliges sikkerhedsniveau afhænger efter forordningen af den risikoanalyse, som den dataansvarlige skal foretage af sin databehandling. Såfremt kunstig intelligens anvendes, skal det klart fremgå af den dataansvarliges risikoanalyse og derved tilsvarende i det fastsatte sikkerhedsniveau. Kunstig intelligens-løsninger
vil formentlig ofte blive omfattet af forordningens betegnelse “nye teknologier” samt opfylde de øvrige krav for, at den dataansvarlige skal foretage en konsekvensanalyse – en udvidet risikovurdering af et konkret system eller behandling – af sin påtænkte anvendelse af teknologien.
“Privacy by design” og “privacy by default”
Forordningen introducerer to nye principper i “privacy by design” og “privacy by default”. Efter disse skal der allerede under udviklingen tænkes persondatabeskyttelse ind i systemer og andre teknologier. Det norske datatilsyn har allerede udtalt en række forhold, som de mener, udviklerne af kunstig intelligens bør tænke ind i deres udviklingsproces, heriblandt reduceringen af behovet for træningsdata i systemet, metoder, der kan sikre persondatabeskyttelsen uden at reducere datagrundlaget, og en metode, der kan undgå black box-problematikken.
Forvaltningsretlige regler
Ud over databeskyttelsesreglerne skal offentlige aktører ved brug af kunstig intelligens være særligt opmærksomme på at overholde øvrige regler, herunder særligt de forvaltningsretlige regler. Af relevans er her – afhængig af den konkrete løsning - særligt forbuddet mod forskelsbehandling/diskrimination, forvaltningslovens krav om begrundelse ved afgørelser, herunder angivelse af hovedhensyn, høringsregler, reglerne om videregivelse af ikke-personhenførbare data mellem offentlige myndigheder samt reglerne om databasebeskrivelser.
ETIK
Dataetik er i stigende fokus - også i forhold til kunstig intelligens. Særligt kan henvises til “Declaration on Ethics and Data Protection in Artificial Intelligence” fra oktober 2018, som indeholder seks overordnede “guiding principles” om databeskyttelse og etik i kunstig intelligens, herunder med særligt fokus på bl.a. overholdelse af menneskerettighederne, “ethics by design”, systemtransparens og konsekvenser for individer og samfundet som helhed ved brugen af kunstig intelligens.