Hvordan risikovurderingene som må foretas etter GDPR og AI Act samspiller og hvilke konsekvenser uklarheter og manglende harmonisering vil kunne få
Master thesis
Permanent lenke
https://hdl.handle.net/11250/3086903Utgivelsesdato
2023-05-10Metadata
Vis full innførselSamlinger
- Faculty of Law [2626]
Sammendrag
I februar 2023 uttalte Bill Gates at ChatGPT vil endre verden fundamentalt. ChatGPT er en språkmodell og er kun ett eksempel på hvordan kunstig intelligens (heretter «KI») kan brukes. Den siste tiden har KI også blitt brukt til å generere kunst og Ukraina har brukt teknologien til å identifisere døde soldater. For noen år siden var det utenkelig at KI kunne brukes på slike måter, men med en enorm utviklingshastighet øker mulighetene for hver dag som går. Dermed er det også umulig å forutse hvordan kunstig intelligens vil kunne brukes i fremtiden. Selv om det ikke er tvil om at KI kan være nyttig, kan teknologien også utgjøre en stor risiko for menneskene som er utsatt for den. For å minimere risikoen forbundet med utvikling og bruk av KI, er det behov for rettslige avklaringer og begrensninger. Allerede i april 2018 uttalte Europakommisjonen (heretter «Kommisjonen») at det er behov for en koordinert tilnærming til utvikling og bruk av kunstig intelligens i EU. Dette er nødvendig for å få mest ut av mulighetene teknologien tilbyr, og for å møte de nye utfordringene som den medfører. Videre uttalte de at EU bør være en pådriver av utviklingen for at den skal gagne alle og samtidig bygge på EU sine verdier og styrker. På bakgrunn av dette ble det den 21. april 2021 lagt frem et forslag til en AI Act (heretter «Kommisjonens forslag»). Forslaget har vært ute på offentlig høring og 6. desember 2022 publiserte Rådet for Den europeiske union (heretter «Rådet») et endringsforslag som er et kompromiss mellom de uttalte uenighetene som fremkom i den offentlige høringen (heretter «Rådets forslag»). AI Act er verdens første forslag til et juridisk rammeverk som regulerer KI spesifikt. Når KI behandler personopplysninger innenfor EU eller om personer bosatt i EU, faller behandlingen imidlertid samtidig under personvernforordningen (heretter «GDPR»). At automatisert behandling av personopplysninger ved bruk av KI faller inn under GDPR, fremgår av GDPR artikkel 4 nr. 2. Bestemmelsen definerer behandling av personopplysninger som «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke». Når AI Act vedtas vil det følgelig være to regelverk som regulerer bruk av KI. Dette reiser spørsmål om samspillet mellom GDPR og fremtidens AI Act, og hvor godt regelverkene er harmonisert. Oppgaven tar for seg en sentral problemstilling i forbindelse med dette. Denne problemstillingen er hvordan risikovurderingene i forslaget til AI Act samspiller med risikovurderingene som allerede må foretas etter GDPR. Det skal videre belyses hvilke konsekvenser eventuelle uklarheter og manglende harmonisering får for hovedaktørene under de to regelverkene.