Utviklingen av kunstig intelligens og betydningen av data

I november 2022 lanserte teknologigiganten OpenAI språkmodellen ChatGPT, en lansering som på rekordtid endret verdens oppfatning av kunstig intelligens (AI). Nå er AI et «verktøy» alle tar i bruk, og stadig flere virksomheter implementerer ulike AI-verktøy for å effektivisere og forbedre de ansattes arbeidshverdag.

Mange forbinder AI-modeller med ChatGPT, Claude AI, DeepSeek AI eller Gemini AI. Dette er generative AI-modeller – altså AI som skaper innhold som tekst, bilde eller video – og det er disse vi fokuserer på i denne artikkelen. AI-verktøy benytter en eller flere AI-modeller som er trent opp på data, men hvor data også kan benyttes som input i AI-verktøyet. Begrepet kan dermed brukes som en samlebetegnelse på verktøyene som sådan og på de underliggende modellene de består av. Gjennom verktøyet bearbeides input, og det gis en output basert på mønstre AI-verktøyet har lært fra data modellen har tilgjengelig eller er trent på om man vil. Data er derfor helt avgjørende og brukes i alle ledd: til utvikling, trening, testing og ved selve bruken. Verktøyene bygger på analyser av enorme mengder data, og det er kvaliteten, mengden og relevansen av disse dataene som avgjør hvor gode verktøyene blir. Gode datasett gir presise og mer treffsikre resultater, mens dårlige datasett kan føre til feil eller unøyaktigheter.

Med andre ord; uten data ville kunstig intelligens ikke vært mulig. Data er derfor av stor verdi. Eier man data, eller har man en rett til å bruke data, har man et fortrinn i markedet. Enkelte har derfor omtalt data som den nye oljen. Men dersom data er så verdifullt – hvorfor deler vi den så enkelt med AI-verktøyene? For hva skjer egentlig med de dataene du deler, for eksempel e-posten du sender til ChatGPT med spørsmål om AI-en kan forbedre teksten eller oversette den til engelsk?

I denne artikkelen skal vi se nærmere på nettopp dette. Vi skal først avklare hva som egentlig menes med «data», og hvordan man oppnår eierskap til data. Deretter skal vi redegjøre for de juridiske rammene rundt bruken av AI-verktøy, rettighetene til data som du legger inn i AI-verktøyene (input) og rettighetene til data som du får ut av AI-verktøyene (output). Vi skal også forsøke å gi deg noen gode tips på veien til hvordan du kan sørge for tryggere bruk av AI i din virksomhet.

Hva menes med «data»?

Data kan defineres på flere måter. I EUs dataforordning artikkel 2 er data definert som «any digital representation of acts, facts or information and any compilation of such acts, facts or information, including in the form of sound, visual or audio-visual recording». Data kan dermed være alle former for informasjon, herunder rene tall, ord, tekst, bokstavsammensetninger, bilder og videoer, så lenge denne informasjonen manifesterer seg på et medium. For eksempel kan tall i et regneark utgjøre data fordi informasjonen – bestående av tallverdier og tekst – er fysisk representert i et dokument.

Hvem eier data?

Bør man begrense deling av data med AI-verktøy?

Bruken av store datamengder er kjernen i utviklingen av AI-verktøy. Ved å analysere og lære av omfattende datasett kan verktøyene gjenkjenne mønstre, fatte beslutninger og skape innhold av høy kvalitet. Samtidig reiser denne teknologien viktige spørsmål om hvorvidt det bør settes grenser for hvilke og hvor mye data som deles med AI-verktøy.

Som omtalt over, skiller man mellom eierskap og bruksrett til data. Dersom man er eier av data, er det klare utgangspunktet at dataene kan deles med tredjeparter. Dette gjelder uavhengig av om dataene deles med fysiske personer eller med et AI-verktøy. Deles data med tredjeparter, risikerer man likevel å miste kontrollen over dataene, og dermed også eierskapet. Bakgrunnen for dette er at AI-verktøy, avhengig av hvordan vilkårene er utformet, vil kunne tilegne seg rettighetene til input, f.eks. for opptreningsformål. For eksempel følger det av OpenAI sine vilkår for ChatGPT at brukeren beholder eiendomsrett til både input og output, men at OpenAI kan:

«bruke innholdet ditt over hele verden for å levere, vedlikeholde, utvikle og forbedre tjenestene våre, overholde gjeldende lover, håndheve våre vilkår og retningslinjer og holde tjenestene våre trygge.»

OpenAI kan med andre ord bruke dataene du legger inn i AI-verktøyet som treningsdata. Med dette gir man fra seg eierskapet og kontrollen over dataene. Man bør derfor ha et bevisst forhold til hvilke data man deler med hvilke AI-verktøy. Dette gjelder enten man deler dataene via en «prompt» (tekstinstruks) eller komplette filer.

Dersom man kun har en bruksrett til data, må man utvise særlig varsomhet. Mange virksomheter har for eksempel kun rett til å bruke kunders data for å utføre bestemte tjenester. Som revisor har man gjerne inngått en avtale med kunden om bruk av kundens tallgrunnlag for å sette opp kvartalsrapporter eller gjennomføre revisjon. Slike avtaler inneholder gjerne konfidensialitetsklausuler som pålegger revisor en forpliktelse til blant annet å holde tallmateriale konfidensielt. Avhengig av hvordan avtalen er formulert, vil det for slike tilfeller kunne foreligge et brudd på avtalen dersom revisor for eksempel deler tallmaterialet inn i åpne AI-verktøy, dvs. AI-verktøy som forbeholder seg retten til å bruke input for andre formål.

Dersom det ikke er inngått noen avtale med kunden, vil begrensninger kunne følge av lovgivningen. For revisorer inneholder for eksempel revisorloven § 10-1 en plikt for revisor til å «hindre at uvedkommende får adgang eller kjennskap til opplysninger som mottas i forbindelse med foretakets virksomhet, med mindre revisor i eller i medhold av lov er gitt plikt eller adgang til å gi taushetsbelagte opplysninger». Revisor er følgelig underlagt en generell taushetsplikt. Denne kan kun fravikes dersom ett av unntakene i § 10-1 (2) er oppfylt, for eksempel dersom revisor har innhentet samtykke fra kunden. Ukritisk deling av data med åpne AI-verktøy vil dermed kunne være i strid med revisorlovens taushetsbestemmelser.

Skal man dele data man ønsker å verne om med AI-verktøy, er det derfor viktig å benytte en lukket AI-løsning som i henhold til vilkårene ikke kan benytte input for andre formål enn å levere tjenesten, for eksempel AI-løsninger som man installerer på egen server.

Hvem eier svarene til AI-verktøyene, og hvordan kan disse brukes?

Flere AI-verktøy baserer output på tidligere erfaringer. Når AI-verktøyet får en instruks, benytter den erfaring til å forutsi det svaret som mest sannsynlig bør komme, basert på instruksjonen fra brukeren og treningsdataene AI-verktøyet er trent på. Hvis AI-verktøyet får spørsmålet «hva er hovedstaden i Frankrike», vil verktøyene analysere spørsmålet og søke etter mønster i treningsdataene som ligner på denne typen spørsmål. Verktøyet vil så finne ut at det sannsynlige svaret er Paris, da dette oftest følger etter slike spørsmål i tekst den har sett. Tilsvarende vil verktøy som er trent opp til å ha generell kunnskap om revisjonsfaget, basere svaret sitt på hva den har erfart at er relevante og riktige svar på lignende spørsmål i treningsmaterialet.

Utgangspunktet er at data brukeren får ut av AI-verktøyet, kan brukes fritt, med mindre brukervilkårene sier noe annet. Dersom AI-verktøyet er trent på data som er beskyttet av opphavsretten, risikerer man imidlertid at verktøyet produserer output som helt eller delvis består av opphavsrettslig beskyttede data. Bruk av slikt materiale vil følgelig kunne være i strid med åndsverkloven, enten det er kopiering for bruk internt eller videredeling til andre, uten samtykke fra opphaveren. I praksis er det imidlertid vanskelig å foreta slike vurderinger fra gang til gang, men det er en problemstilling man uansett bør være bevisst på, og forsøke å unngå gjennom instruksene som gis til AI-verktøyet.

Også andre immaterialrettslover som varemerkeloven, designloven, markedsføringsloven og patentloven kan krenkes dersom brukeren anvender output på en måte som er i strid med andres rettigheter. For eksempel kan output være en etterligning i strid med etterligningsvernet i markedsføringsloven §§ 25 og 30 eller en krenkelse av andres varemerkerettigheter etter varemerkeloven. Bruker man AI-verktøyet til å generere forslag til logoer til bruk i varemerker, er det for eksempel viktig at man gjør egne undersøkelser før man tar i bruk varemerket, for å sørge for at bruken ikke krenker andres rettigheter.

Hvordan verne om egne og kunders data når AI brukes?

Selv om bruken av AI-verktøy kan gi betydelige effektiviseringsgevinster, innebærer det også en risiko knyttet til både eierskap, konfidensialitet og sikkerhet for egne og andres data. Disse utfordringene innebærer ikke at man ikke skal ta i bruk AI-verktøy, men at man bør ha en kritisk tilnærming både til verktøyene man benytter, og til måten data behandles på, og man bør ta enkelte forholdsregler for å sikre godt vern av data når AI benyttes – enten det gjelder egne forretningsdata eller informasjon virksomheten forvalter på vegne av kunder.

Sentralt for vurderingen står vilkårene som regulerer bruken av AI-verktøyet, samt hvilke sikkerhetsmekanismer AI-verktøyet bygger på. For eksempel bør man lese grundig gjennom vilkårene til AI-verktøyet og sørge for at man forstår disse før man legger inn data i AI-verktøyene. Dette er særlig viktig dersom man benytter seg av data som ikke skal deles med tredjeparter.

Ønsker man å bruke AI-verktøy til deling av data som skal holdes konfidensielt, bør man ta i bruk en lukket AI-løsning. Slike løsninger tilbys gjerne som egne betalingsløsninger eller bedriftsløsninger. Alternativt kan man også lokalt konfigurere eller installere AI-verktøyet på servere virksomheten selv kontrollerer, slik at dataene aldri forlater virksomhetens systemer.

En annen sentral faktor ved valg av AI-verktøy er sikkerhet. Dette kan sikres både ved å velge en leverandør som tar sikkerhet på alvor, og som forplikter seg til konkrete sikkerhetstiltak i vilkårene sine. For eksempel har AI Act, som foreløpig ikke er gjennomført i Norge, til formål å sikre at AI-systemer oppfyller grunnleggende rettigheter og sikkerhet, bl.a. gjennom krav til tilstrekkelig cybersikkerhet for AI-verktøyet.

Leverandører i EU/EØS, som dermed er fullstendig underlagt europeisk lovgivning, vil oftere være et tryggere valg enn aktører som er underlagt lovgivning andre steder i verden. Selv om de europeiske rettsreglene som AI Act og GDPR i utgangspunktet alltid vil gjelde når det leveres tjenester til europeiske virksomheter, vil likevel øvrig lovgivning i andre jurisdiksjoner kunne svekke sikkerheten og øke risikoen for at data kan komme på avveie. Dette gjelder særlig risikoen for utlevering av data til myndighetsaktører.

Alternativt, for å sikre full kontroll, kan man som virksomhet sette opp AI-verktøyet på en server som kontrolleres av virksomheten i Norge eller EØS, og sikre at det ikke overføres opplysninger til andre enn virksomheten selv. Dette vil i utgangspunktet kunne minimere risikoen for at data kommer på avveie. Samtidig stiller dette store krav til virksomhetens evne til å implementere sikkerhetstiltak og vedlikeholde løsningen.

Det anbefales også å etablere interne retningslinjer for ansattes bruk av AI for å sikre trygg bruk, samt minimere risikoen for at data kommer på avveie, og at AI brukes i strid med immaterialrettslovgivningen. Formålet med retningslinjene er altså å sørge for at ansatte blir bevisstgjort på risikoen rundt bruk av AI. Retningslinjene må tilpasses den spesifikke virksomheten, men kan for eksempel inneholde nøkkelprinsipper for bruk av AI, herunder at ansatte alltid skal ha et bevisst forhold til hvilke data som deles med AI-verktøyene, sørge for å overholde kundeavtaler, hindre deling av virksomhetssensitiv data og at alt AI-produsert innhold skal gjennomgås av en fysisk ansatt for kvalitetssikring før ekstern publisering. Man burde i slike retningslinjer også klargjøre hvilke konkrete verktøy de ansatte har lov til å ta i bruk, og hvilke verktøy de ansatte ikke kan benytte. Etter AI Act skal også leverandører og idriftsettere av AI-systemer treffe tiltak for å sikre AI-kompetanse hos sine ansatte, slik at virksomheter bør vurdere å innta informasjon om AI som en del av sitt opplæringsmateriale.

Hva bør du huske på for tryggere bruk av AI-verktøy?

Oppsummert er det enkelte risikofaktorer knyttet til eierskap av data og sikkerhet ved bruk av AI-verktøy. Disse risikoene kan likevel begrenses ved å ha et bevisst forhold til hvilke AI-verktøy som tas i bruk, og de gjeldende vilkårene.

For å hjelpe deg på veien har vi utarbeidet en ikke-uttømmende huskeliste:

1. Les og forstå brukervilkårene før du tar i bruk et AI-verktøy. Dersom AI-verktøyet får rettigheter til data, enten eierskap eller bruksrett, bør du være kritisk til hvilke data du velger å dele, og gjerne anonymisere dataene før bruk.

2. Sørg for at bruk av kunders data er i overenstemmelse med kundeavtalen. Del aldri kunders data med en åpen AI-løsning med mindre kunden samtykker.

3. Velg AI-verktøy som overholder krav til datasikkerhet, gjerne egne bedriftsløsninger eller lokale installasjoner, ved behandling av data som må holdes konfidensielt.

4. Utarbeid interne retningslinjer for bruk av AI og sørg for at ansatte får nødvendig opplæring.

5. Utarbeid en liste over konkrete AI-verktøy som de ansatte kan benytte, og gjør jevnlig revisjoner av disse i samsvar med virksomhetens interne retningslinjer.

6. Gjennomgå og vær kritisk til bruken av AI-generert innhold i kundeleveranser og innhold som publiseres offentlig.

7. Sørg for å holde deg oppdatert på nye regler for bruk av AI og tilpass bruken til endrede krav.

8. For eksempel kan du abonnere på Wiersholms nyhetsbrev som kvartalsvis gir deg siste nytt om juridiske krav til data og AI.

Svar på kryssordet finner du på side 37