av Göran Gren, avdelningschef Företagsjuridik och Carolina Brånby, jurist och policyansvarig, båda på Svenskt Näringsliv.
Dataskyddsförordningen (GDPR) försvårar nödvändig och önskvärd data- och AI-användning. AI-teknik har potential att lösa många stora samhällsutmaningar som vi står inför. Därför behöver företag som deltar i utvecklingen och användningen av nya AI-lösningar få ett rimligare regelverk att förhålla sig till.
Den är ingen överdrift att påstå att svensk konkurrenskraft är beroende av att företag kan utveckla och utnyttja AI, exempelvis för produktutveckling och analys, stärkt säkerhet samt effektiviseringar. För företag som inte själva ligger i framkanten av den tekniska utvecklingen är möjligheten att använda AI-lösningar som andra utvecklat en avgörande framgångsfaktor.
Men som bland annat regeringens AI-kommission har konstaterat finns det flera utmaningar för företag som vill använda sig av de nya möjligheterna. Det gäller inte minst utmaningarna förknippade med den rättsliga regleringen på området. För att Europa ska vara konkurrenskraftiga inom AI krävs flera åtgärder, där några är särskilt angelägna:
• Förenkla möjligheterna att använda personuppgifter för att lära upp och anpassa AI-system och träna AI-modeller under förutsättning att riskbegränsande åtgärder samtidigt vidtas. Tillgång till stora mängder data av hög kvalitet är helt avgörande för att skapa korrekta AI-modeller och AI-system. Ofta föreligger det ett behov av att använda personuppgifter, även om syftet med upplärningsarbetet inte är att få information om personer, utan att använda dessa uppgifter för att träna modeller och system. Vägledning som dataskyddsmyndigheterna kommit med illustrerar att GDPR i många fall hindrar eller kraftigt försvårar framtagandet av AI-lösningar, trots att riskerna för enskilda är begränsade om rätt åtgärder vidtas i samband med upplärningen.
• Stäng inte dörren för automatiserat beslutsfattande. GDPR:s regler kring automatiserat beslutsfattande med personuppgifter är så strikta att de kraftigt begränsar företagens användningen av AI i beslut till kunder. Självklart finns det särskilda risker med att låta AI-system fatta automatiserade beslut och sådant beslutsfattande är inte lämpliga i alla sammanhang, men den nuvarande regleringen är omotiverat restriktiv och tar inte fullt ut hänsyn till fördelarna och riskerna i det enskilda fallet.
• Ta bort överlappande reglering och gör regleringen mer riskbaserad. Lagar om nya digitala företeelser byggs ofta på i lager, vilket skapar ett snårigt regelverk som i praktiken bromsar näringslivet. En lösning på problemet som beskrevs i föregående punkt skulle vara att ta bort GDPR:s reglering av automatiserade beslut och låta de fullt ut regleras utifrån risknivå i AI-förordningen.
• Det behövs en generell genomgång av AI-förordningen med syfte att förenkla regleringen. Ambitionen att skapa en riskbaserad reglering var helt rätt, men den slutliga förordningen har i många hänseendet blivit ett ohanterligt och byråkratiskt regelverk.
AI är inte, och har aldrig varit, oreglerat. Tvärtom omfattas AI-utveckling och användning redan av flera rättsområden som till exempel produktsäkerhet, skadestånd och diskriminering. Särskilt viktiga är de strikta reglerna om behandling av personuppgifter som finns i GDPR. Under förra året antogs även en ny omfattande AI-förordning. Förordningen ställer inte bara långtgående krav på de företag som utvecklar nya AI-system och nya AI-modeller, utan även på dem som använder AI-system i sin verksamhet.
Det är givetvis helt i sin ordning att rättsliga krav, till exempel när det gäller hantering av personuppgifter, också gäller i samband med framtagandet och användningen av AI. Eftersom användningen av AI är förknippad med särskilda risker kan det också vara motiverat med viss specifik AI-reglering. Men den samlade regelbördan, liksom reglernas otydlighet och omotiverade restriktivitet i vissa hänseende skapar stora utmaningar för ansvarstagande svenska företags AI-satsningar.
Under många år har det inom EU ansetts politiskt handlingskraftigt att anta massiva regelpaket kopplade till nya digitala företeelser (AI-förordningen, Dataförordningen, Förordningen om digitala tjänster m.fl.). Dessa regleringsinitiativ grundas ofta på en korrekt problemanalys, men den praktiska utformningen skapar problem för seriösa företag att följa alla regelverk. Till det kan läggas att det har funnits en ovilja att vårda redan genomförda rättsliga reformer, till exempel GDPR, även när det behövs för att undvika omotiverade hinder för exempelvis AI-användning. Resultatet blir att Europa halkar efter i den globala teknikutvecklingen – medan USA och Kina rusar vidare.
Efter Mario Draghis rapport om EU:s konkurrenskraftutmaningar förra året blåser nya vindar och behovet av en mer rimlig regelbörda diskuteras på allvar. Diskussion är givetvis välkommen, men måste för att göra nytta för näringslivet följas av konkreta åtgärder, inte minst gäller det förutsättningarna för AI-användningen.
Att genomföra de nya ambitionerna att lätta på företags regelbörda är helt nödvändigt för ett framgångsrikt och väl rustat Sverige och Europa.
