Hvem skal betale når tenkende maskiner feiler?
Med alt fra autonome kjøretøy til automatiserte beslutningsverktøy står vi overfor utfordringer med å fastslå hvem som skal stå til ansvar når KI-systemer forårsaker skader. Hvem er ansvarlig når autonome busser forårsaker en ulykke? Hvem er ansvarlig når automatiserte kredittvurderinger fører til feilutbetalinger?
Utgangspunktet for å kunne kreve erstatning for et økonomisk tap er at må man bevise at det foreligger et ansvarsgrunnlag. Ansvarsgrunnlaget kan være skyld (uaktsomhet) eller objektivt ansvar (uten skyld). Samtidig må personen som fremsetter kravet kunne bevise en årsakssammenheng mellom skadehendelsen og de påfølgende skadene. Dersom naboen har rygget inn i din bil, volder kravet om ansvarsgrunnlag (her skyld) og årsakssammenheng lite hodebry. Bulken i din støtfanger er en direkte følge av naboens uaktsomme kjøring.
Når det gjelder kunstig intelligens, er det vanskeligere å føre bevis. For det første lider kunstig intelligente systemer ofte av manglende åpenhet. Algoritmene som styrer KI-systemenes beslutninger, samt inputdataene de baserer seg på, kan være utilgjengelige og uklare for brukere og andre interessenter. For det andre kan det være vanskelig å fastslå skyld eller årsakssammenheng selv med tilgang til all tilgjengelig informasjon. Kunstig intelligens fungerer ofte basert på statistiske korrelasjoner og kan operere autonomt, noe som gjør det utfordrende å forutse systemets atferd og identifisere hvilke faktorer som har bidratt til en gitt skade.
EUs forslag til løsning
For å møte disse utfordringene har EU foreslått to nye direktiver: Et oppdatert Produktansvarsdirektiv og nytt KI-ansvarsdirektiv.
Tradisjonelt produktansvar er et objektivt ansvar, der produsenten er ansvarlig for skader som skyldes feil i produktet, uavhengig av om produsenten har vært uaktsom eller har utvist annen skyld.
EU-kommisjonens forslag til et nytt oppdatert Produktansvarsdirektiv tar sikte på å utvide kretsen av ansvarlige til flere enn bare produsentene. Videre presiserer kommisjonen at ansvaret omfatter programvare, AI-systemer og digitale tjenester som er nødvendige for å betjene produkter.
Endringene innebærer at produsenter av fysiske produkter som inneholder kunstig intelligens, så vel som produsenter av rene KI-systemer, vil være ansvarlige for skader forårsaket av feil eller mangler i produktene, uavhengig av om produsenten har utvist skyld – et såkalt objektivt ansvar.
Selv om man ikke trenger å bevise skyld, må man bevise at produktet hadde den aktuelle mangelen, bevise at skaden er oppstått og bevise årsakssammenhengen mellom mangelen og skaden. Direktivforslaget inneholder flere regler om bevis for å lette beviskravet, herunder regler om at det i visse situasjoner skal antas at et produkt har en mangel, og at det skal antas at det foreligger en årsakssammenheng mellom et produkts mangel og en skade. Hvis produktet er så komplekst at det er vanskelig for saksøkeren å føre bevis kan man anta at det foreligger årsakssammenheng eller at produktet har en mangel.
I tillegg til nytt Produktansvarsdirektiv foreslår EU et helt nytt direktiv, AI Liability Directive, som tar sikte på å tilpasse erstatningsregler utenfor kontrakt til skader forårsaket av kunstig intelligens.
Det foreslåtte KI-ansvarsdirektivet sier at det under visse betingelser skal antas at det foreligger en årsakssammenheng mellom feilen og det kunstig intelligente systemets output-data, som har forårsaket skaden. Den som holdes ansvarlig gis adgang til å føre motbevis for å avkrefte en slik presumsjon. På denne måten flyttes en del av bevisbyrden fra den som krever erstatning til den kravet retter seg mot. Hvis den kravet retter seg mot ikke fremlegger dokumentasjon etter at en domstol har bedt om det, kan man legge til grunn at vedkommende har utvist skyld.
Hensikten med reglene er å utjevne den informasjonsmessige fordelen produsentene har når det gjelder å dokumentere og forstå KI-systemenes funksjon og beslutningsprosesser. Spørsmålet er om KI-ansvarsdirektivet, slik det er foreslått, har gått langt nok i å beskytte de som opplever at KI-systemer påfører dem et tap. Så lenge man må bevise skyld, står man overfor store utfordringer. Flere, inkludert Forbrukerrådet, har tatt til orde for at operatører og produsenter av KI-systemer bør ha et objektivt ansvar, altså slik at brukere ikke behøver å bevise skyld.
Hva betyr dette for norske virksomheter?
De foreslåtte direktivene fra EU tar sikte på å sikre tilpasning til den teknologiske utviklingen gjennom å sikre at skadelidte har tilstrekkelige muligheter til å kreve erstatning for skader forårsaket av kunstig intelligente systemer. Ved å utvide produsentansvaret og legge til rette for lavere beviskrav for skadelidte, håper EU å skape et mer rettferdig erstatningsregime.
Veien mot effektiv regulering av KI er likevel ikke uproblematisk. Som for AI Act, er en av de største utfordringene å balansere behovet for beskyttelse av brukeres rettigheter med behovet for innovasjon og utvikling innen KI-sektoren.
Selv om de foreslåtte direktivene kan endres før de blir endelige, bør organisasjoner allerede nå tilrettelegge for konsekvensene av de nye reglene. Reglene om erstatningsansvar henger sammen med AI Act som gir regler om sikkerhet og søker å hindre skader assosiert med KI systemer. Reglene i AI Act må hensyntas allerede i utvikling av systemene. Når det gjelder et potensielt erstatningsansvar bør norske virksomheter begynne å vurdere hvordan ansvar kan fordeles i kontrakt, og ikke minst hvordan ansvar kan forsikres. I tillegg bør produsenter blant annet utvikle gode rutiner for testing av produktene og gode manualer for sluttbrukere, for å redusere risikoen for erstatningskrav.
Artikkelen er også publisert på Digi.no
Relaterte artikler
Kristian Foss bidrar til ny internasjonal rapport om trygg og inkluderende digital identitet
Kristian Foss, partner i Bull, har bidratt til den norske delen av en ny rapport som tar for seg kritiske bruksområde...
Les merEn ny æra av cybersikkerhet i Europa
EU har vedtatt NIS 2-direktivet, som trer i kraft for medlemslandene fra 18. oktober 2024. Formålet er å styrke cyber...
Les merNorsk lov om digital sikkerhet henger langt etter EU – men snart er tiden inne
På tross av at nesten hver tredje bedrift oppgir å ha blitt påvirket av cyberhendelser, gjennomfører Norge NIS 1-dire...
Les mer
Hvordan kan vi hjelpe deg?
Trenger du juridisk hjelp? Ring oss eller send en e-post for en helt uforpliktende prat.