Personvernkommisjonen har i sin rapport lagt et godt grunnlag for å utforme en ny, nasjonal personvernpolitikk. I det følgende høringsinnspillet vil Teknologirådet adressere kommisjonens arbeid knyttet til kunstig intelligens, offentlig sektor og forbrukerspørsmål. I tillegg vil vi løfte frem problemstillinger relatert til biometri og arbeidsliv.
Kapittel 5: Det teknologiske landskapet som påvirker personvernet
Teknologirådet vil supplere kommisjonens arbeid ved å utdype to teknologiske utviklingstrekk som vil påvirke personvernet. Det første handler om kunstig intelligens, og om hvordan det blir vanskeligere å ivareta og fordele ansvar for personvern når teknologien blir mer kompleks. Det andre handler om hvordan økt bruk av biometrisk teknologi fører til mer innsamling og bruk av sensitive personopplysninger. Fremtiden til biometrisk teknologi omtales også under innspillene til kapittel 9.
Paradigmeskifte for kunstig intelligens
I sin beskrivelse av kunstig intelligens tar kommisjonen utgangspunkt i at maskinlæringsmodeller er laget av mennesker, og at utviklerne bestemmer hvordan modellene skal lære. For å kontrollere teknologien antyder kommisjonen at det kan stilles krav til treningsdataene og til anvendelsen av teknologien.
Teknologirådet ønsker å påpeke hvordan fremveksten av store språkmodeller – også kalt «foundation models» eller grunnmodeller – utfordrer dette utgangspunktet og skaper nye utfordringer for forklarbarhet, ansvarlighet og for det å hjemle bruk av kunstig intelligente verktøy i lov.
Store språkmodeller er kompliserte algoritmer for hvordan ord passer sammen. GPT-3 , som samtaleroboten ChatGPT er bygget på, er en slik modell. Stadig flere utviklere bygger modellene sine på toppen av store språkmodeller, i stedet for å bygge sine egne. Utviklerne mater GPT-3 med data, og lager lokaltilpassede versjoner av store modeller.
Trenden gjør det vanskeligere for utviklere av lokaltilpassede modeller å vite hvordan og med hvilke data modellene deres har blitt trent. De fleste store språkmodeller er utviklet av de store teknologiselskapene, som ofte holder datagrunnlaget og maskinlæringsteknikkene i modellene sine skjult av konkurransehensyn. Å forstå rekkevidden til de største og mest komplekse språkmodellene er utfordrende. Det er også teknisk krevende å moderere modellene, siden de er så kompliserte.
Av denne grunn eksperimenterer stadig flere selskaper med bruk av kunstig intelligens til å utvikle og moderere modellene de lager. For eksempel bruker Open AI bruker kunstig intelligens til å moderere det ChatGPT skriver. Den kunstige intelligensen trenes opp til å gjenkjenne mønstre i hvordan mennesker ville moderert. Mål et er å bygge systemer som forstår menneskelige verdier og etiske prinsipper.
Utviklingen er utfordrende for personvernet. Utviklere av lokaltilpassede modeller kan få problemer med å kontrollere hvilke data modellene deres er trent på, og hvordan de har lært. Det vil også bli vanskeligere å vurdere personvernrisikoen ved verktøy bygget på store språkmodeller, siden det er ukjent hvordan verktøyene samler inn og behandler personopplysninger. En annen utfordring er å plassere ansvar for innholdet.
EU forhandler nå om et forslag til regulering av kunstig intelligens, Artificial Intelligence Act (AI Act), som skal vedtas i 2023. EU vil regulere kunstig intelligens etter risiko, og forby den mest uakseptable bruken. Hvordan store språkmodeller og tilhørende verktøy som ChatGPT vil reguleres i loven, er fortsatt usikkert .
Kommisjonen trekker frem biometrisk fjernidentifikasjon som en teknologi det er knyttet store personvernutfordringer til. Teknologirådet har tidligere anbefalt at myndighetene bør vurdere et forbud mot bruk av slik teknologi, som ansiktsgjenkjenning i offentlige rom, og er glade for at kommisjonen støtter et forbud.
Et mulig forbud er også tema i forhandlingene om AI Act. Rammene for forbudet diskuteres, for eksempel hvilke unntak som skal gjelde – som søk etter kriminelle, terrorister og savnede barn – og om forbudet skal gjelde for både privat og offentlig sektor.
Tyskland ønsker et totalt forbud mot biometriske fjernidentifikasjon, og vil regulere all bruk av biometrisk kategorisering og følelsesgjenkjenning strengt. Frankrike er mer åpne for teknologien, men møter nå kritikk for sin planlagte bruk av ansiktsgjenkjenning på offentlig sted under de olympiske leker i Paris i 2024.
Norge kan delta i diskusjon om et europeisk forbud, for eksempel gjennom et oppdatert posisjonsnotat på forhandlingene i EU. Uavhengig av hva EU vedtar, kan Norge vurdere å begrense bruken av biometrisk fjernidentifikasjon i offentlig sektor.
Et annet tema kommisjonen trekker frem er hvordan stemmeanalyse kan brukes til å finne unike trekk i en persons stemme, og til overvåking og avlytting. Fremover vil stadig mer sensitiv informasjon om personer kunne avdekkes gjennom stemmeanalyse.
I rapporten Taleteknologi med kunstig intelligens beskriver Teknologirådet hvordan stemmeanalyse brukes til å screene for og oppdage sykdommer. Teknologien har også blitt brukt til å anslå alder, følelser, høyde og kjønn, og til å lage profiler av dem.
I forlaget til AI Act foreslås det krav om at personer som eksponeres for såkalt følelsesgjenkjenning skal få vite om det, men ikke et forbud. Det blir imidlertid stilt strenge krav til utvikling og bruk av slike systemer innenfor områder som helse, arbeidsliv, utdanning og velferd.
Bruken av stemmeanalyse til å persontilpasse innhold øker også . For eksempel kan Amazon Alexa høre om noen er forkjølet og automatisk bestille hostemedisin , mens Spotify i 2021 fikk godkjent et patent for musikkanbefalinger basert på stemmeanalyse.
I Taleteknologi med kunstig intelligens fremhever Teknologirådet at det er opp til norske politikere å vurdere når bruk av stemmeanalyse skal være tillatt i Norge, under forutsetning av grundige vurderinger av personvernkonsekvensene.
Det blir også stadig enklere å klone og gjenskape folks stemmer, og derfor lettere og billigere å lage falskt innhold. I rapporten anbefaler Teknologirådet derfor at eierskapet til og ansvaret for klonede og kunstige stemmer blir avklart.
Kapittel 5: Det teknologiske landskapet som påvirker personvernet
Teknologirådet vil supplere kommisjonens arbeid ved å utdype to teknologiske utviklingstrekk som vil påvirke personvernet. Det første handler om kunstig intelligens, og om hvordan det blir vanskeligere å ivareta og fordele ansvar for personvern når teknologien blir mer kompleks. Det andre handler om hvordan økt bruk av biometrisk teknologi fører til mer innsamling og bruk av sensitive personopplysninger. Fremtiden til biometrisk teknologi omtales også under innspillene til kapittel 9.
Paradigmeskifte for kunstig intelligens
I sin beskrivelse av kunstig intelligens tar kommisjonen utgangspunkt i at maskinlæringsmodeller er laget av mennesker, og at utviklerne bestemmer hvordan modellene skal lære. For å kontrollere teknologien antyder kommisjonen at det kan stilles krav til treningsdataene og til anvendelsen av teknologien.
Teknologirådet ønsker å påpeke hvordan fremveksten av store språkmodeller – også kalt «foundation models» eller grunnmodeller – utfordrer dette utgangspunktet og skaper nye utfordringer for forklarbarhet, ansvarlighet og for det å hjemle bruk av kunstig intelligente verktøy i lov.
Store språkmodeller er kompliserte algoritmer for hvordan ord passer sammen. GPT-3 , som samtaleroboten ChatGPT er bygget på, er en slik modell. Stadig flere utviklere bygger modellene sine på toppen av store språkmodeller, i stedet for å bygge sine egne. Utviklerne mater GPT-3 med data, og lager lokaltilpassede versjoner av store modeller.
Trenden gjør det vanskeligere for utviklere av lokaltilpassede modeller å vite hvordan og med hvilke data modellene deres har blitt trent. De fleste store språkmodeller er utviklet av de store teknologiselskapene, som ofte holder datagrunnlaget og maskinlæringsteknikkene i modellene sine skjult av konkurransehensyn. Å forstå rekkevidden til de største og mest komplekse språkmodellene er utfordrende. Det er også teknisk krevende å moderere modellene, siden de er så kompliserte.
Av denne grunn eksperimenterer stadig flere selskaper med bruk av kunstig intelligens til å utvikle og moderere modellene de lager. For eksempel bruker Open AI bruker kunstig intelligens til å moderere det ChatGPT skriver. Den kunstige intelligensen trenes opp til å gjenkjenne mønstre i hvordan mennesker ville moderert. Mål et er å bygge systemer som forstår menneskelige verdier og etiske prinsipper.
Utviklingen er utfordrende for personvernet. Utviklere av lokaltilpassede modeller kan få problemer med å kontrollere hvilke data modellene deres er trent på, og hvordan de har lært. Det vil også bli vanskeligere å vurdere personvernrisikoen ved verktøy bygget på store språkmodeller, siden det er ukjent hvordan verktøyene samler inn og behandler personopplysninger. En annen utfordring er å plassere ansvar for innholdet.
EU forhandler nå om et forslag til regulering av kunstig intelligens, Artificial Intelligence Act (AI Act), som skal vedtas i 2023. EU vil regulere kunstig intelligens etter risiko, og forby den mest uakseptable bruken. Hvordan store språkmodeller og tilhørende verktøy som ChatGPT vil reguleres i loven, er fortsatt usikkert .
Kommisjonen trekker frem biometrisk fjernidentifikasjon som en teknologi det er knyttet store personvernutfordringer til. Teknologirådet har tidligere anbefalt at myndighetene bør vurdere et forbud mot bruk av slik teknologi, som ansiktsgjenkjenning i offentlige rom, og er glade for at kommisjonen støtter et forbud.
Et mulig forbud er også tema i forhandlingene om AI Act. Rammene for forbudet diskuteres, for eksempel hvilke unntak som skal gjelde – som søk etter kriminelle, terrorister og savnede barn – og om forbudet skal gjelde for både privat og offentlig sektor.
Tyskland ønsker et totalt forbud mot biometriske fjernidentifikasjon, og vil regulere all bruk av biometrisk kategorisering og følelsesgjenkjenning strengt. Frankrike er mer åpne for teknologien, men møter nå kritikk for sin planlagte bruk av ansiktsgjenkjenning på offentlig sted under de olympiske leker i Paris i 2024.
Norge kan delta i diskusjon om et europeisk forbud, for eksempel gjennom et oppdatert posisjonsnotat på forhandlingene i EU. Uavhengig av hva EU vedtar, kan Norge vurdere å begrense bruken av biometrisk fjernidentifikasjon i offentlig sektor.
Et annet tema kommisjonen trekker frem er hvordan stemmeanalyse kan brukes til å finne unike trekk i en persons stemme, og til overvåking og avlytting. Fremover vil stadig mer sensitiv informasjon om personer kunne avdekkes gjennom stemmeanalyse.
I rapporten Taleteknologi med kunstig intelligens beskriver Teknologirådet hvordan stemmeanalyse brukes til å screene for og oppdage sykdommer. Teknologien har også blitt brukt til å anslå alder, følelser, høyde og kjønn, og til å lage profiler av dem.
I forlaget til AI Act foreslås det krav om at personer som eksponeres for såkalt følelsesgjenkjenning skal få vite om det, men ikke et forbud. Det blir imidlertid stilt strenge krav til utvikling og bruk av slike systemer innenfor områder som helse, arbeidsliv, utdanning og velferd.
Bruken av stemmeanalyse til å persontilpasse innhold øker også . For eksempel kan Amazon Alexa høre om noen er forkjølet og automatisk bestille hostemedisin , mens Spotify i 2021 fikk godkjent et patent for musikkanbefalinger basert på stemmeanalyse.
I Taleteknologi med kunstig intelligens fremhever Teknologirådet at det er opp til norske politikere å vurdere når bruk av stemmeanalyse skal være tillatt i Norge, under forutsetning av grundige vurderinger av personvernkonsekvensene.
Det blir også stadig enklere å klone og gjenskape folks stemmer, og derfor lettere og billigere å lage falskt innhold. I rapporten anbefaler Teknologirådet derfor at eierskapet til og ansvaret for klonede og kunstige stemmer blir avklart.
Kapittel 6: Personvern i den digitale forvaltningen
Kommersiell sporing i offentlig regi
Personvernkommisjonen slår fast at offentlig sektor har et særlig ansvar for å beskytte innbyggernes personvern. Teknologirådet støtter dette, og mener det bør være et prinsipp at det offentlige skal betale for tjenestene de bruker med penger, og ikke innbyggernes data.
En utfordring som har blitt aktualisert de siste årene er hvordan offentlige nettsteder sporer innbyggerne ved hjelp av verktøy fra kommersielle aktører som Alphabet og Facebook. I rapporten Kommersiell sporing i offentlig sektor har Teknologirådet kartlagt den utstrakte bruken av sporingsverktøy på offentlige nettsider. Bruken av gratistjenester som Google Analytics og Facebook Pixel brukes på over 80% av de offentlige nettstedene som er undersøkt, og innebærer at data om innbyggernes kontakt med det offentlige deles med Google og andre aktører i den digitale annonseindustrien.
Slike verktøy bør erstattes av personvernvennlige løsninger som samler inn langt mindre informasjon om norske innbyggere. I andre land, som for eksempel Danmark , er bruken av slike verktøy langt lavere. Det tyske datatilsynet har anbefalt at bruken av Google Analytics fases ut. I Norge kan for eksempel digitaliseringsrundskrivet brukes til å styre bruken av verktøy som ikke tar hensyn til innbyggernes personvern.
Bruk av kunstig intelligens i offentlige tjenester
Personvernkommisjonen peker på at kunstig intelligens kan være et viktig verktøy for å utvikle nye og effektive løsninger i offentlig sektor. Teknologirådet har gjennom flere rapporter beskrevet hvordan dette kan gi høyere kvalitet og mer effektive tjenester. Samtidig oppstår det nye utfordringer, og tillit til systemet og de som forvalter, drifter og utvikler det, vil være avgjørende for at også fremtidens velferdstjenester aksepteres av innbyggerne.
Teknologirådet mener det er behov for en tydelig digital samfunnskontrakt for det digitale samspillet mellom innbygger og offentlige virksomheter. Kommisjonens anbefaling om åpenhet rundt viderebruk av personopplysninger og hvilke vurderinger som gjøres knyttet til dette har en naturlig plass i en slik samfunnskontrakt. Andre aktuelle prinsipper kan være:
Når maskiner overtar oppgaver som tidligere ble gjort av mennesker, er det spesielt viktig å kunne vise at algoritmene ikke gir fordomsfulle anbefalinger. Algoritmer som brukes av det offentlige bør som hovedregel være åpne for innsyn og kontroll, slik at andre samfunnsaktører kan kontrollere at de blir brukt korrekt og etisk forsvarlig.
Personvernkommisjonen beskriver enkeltsaker- og prosjekter knyttet til algoritmerevisjon- og tilsyn. Teknologirådet mener imidlertid dette bør adresseres tydeligere, og særlig sett i sammenheng med arbeidet som nå foregår i EU gjennom Digital Services Act og den kommende reguleringen av kunstig intelligens.
For bruk av algoritmer i offentlig sektor har Teknologirådet tidligere anbefalt at disse bør være åpne for innsyn og kontroll. I Norge er det Riksrevisjonen som kontrollerer at statsforvaltningen anvender fellesskapets midler og verdier slik Stortinget har bestemt. Forvaltningsrevisjonen vurderer om grunnleggende verdier som likebehandling og offentlighet i tjenestene er oppfylt, og i fremtiden kan dette også inkludere tilsyn med algoritmene i offentlig forvaltning. Andre land har allerede startet arbeidet med algoritmerevisjon. I Nederland har det nylig blitt etablert et algoritmetilsyn under datatilsynet.
Personvernkommisjonen slår fast at offentlig sektor har et særlig ansvar for å beskytte innbyggernes personvern. Teknologirådet støtter dette, og mener det bør være et prinsipp at det offentlige skal betale for tjenestene de bruker med penger, og ikke innbyggernes data.
En utfordring som har blitt aktualisert de siste årene er hvordan offentlige nettsteder sporer innbyggerne ved hjelp av verktøy fra kommersielle aktører som Alphabet og Facebook. I rapporten Kommersiell sporing i offentlig sektor har Teknologirådet kartlagt den utstrakte bruken av sporingsverktøy på offentlige nettsider. Bruken av gratistjenester som Google Analytics og Facebook Pixel brukes på over 80% av de offentlige nettstedene som er undersøkt, og innebærer at data om innbyggernes kontakt med det offentlige deles med Google og andre aktører i den digitale annonseindustrien.
Slike verktøy bør erstattes av personvernvennlige løsninger som samler inn langt mindre informasjon om norske innbyggere. I andre land, som for eksempel Danmark , er bruken av slike verktøy langt lavere. Det tyske datatilsynet har anbefalt at bruken av Google Analytics fases ut. I Norge kan for eksempel digitaliseringsrundskrivet brukes til å styre bruken av verktøy som ikke tar hensyn til innbyggernes personvern.
Bruk av kunstig intelligens i offentlige tjenester
Personvernkommisjonen peker på at kunstig intelligens kan være et viktig verktøy for å utvikle nye og effektive løsninger i offentlig sektor. Teknologirådet har gjennom flere rapporter beskrevet hvordan dette kan gi høyere kvalitet og mer effektive tjenester. Samtidig oppstår det nye utfordringer, og tillit til systemet og de som forvalter, drifter og utvikler det, vil være avgjørende for at også fremtidens velferdstjenester aksepteres av innbyggerne.
Teknologirådet mener det er behov for en tydelig digital samfunnskontrakt for det digitale samspillet mellom innbygger og offentlige virksomheter. Kommisjonens anbefaling om åpenhet rundt viderebruk av personopplysninger og hvilke vurderinger som gjøres knyttet til dette har en naturlig plass i en slik samfunnskontrakt. Andre aktuelle prinsipper kan være:
Når maskiner overtar oppgaver som tidligere ble gjort av mennesker, er det spesielt viktig å kunne vise at algoritmene ikke gir fordomsfulle anbefalinger. Algoritmer som brukes av det offentlige bør som hovedregel være åpne for innsyn og kontroll, slik at andre samfunnsaktører kan kontrollere at de blir brukt korrekt og etisk forsvarlig.
Personvernkommisjonen beskriver enkeltsaker- og prosjekter knyttet til algoritmerevisjon- og tilsyn. Teknologirådet mener imidlertid dette bør adresseres tydeligere, og særlig sett i sammenheng med arbeidet som nå foregår i EU gjennom Digital Services Act og den kommende reguleringen av kunstig intelligens.
For bruk av algoritmer i offentlig sektor har Teknologirådet tidligere anbefalt at disse bør være åpne for innsyn og kontroll. I Norge er det Riksrevisjonen som kontrollerer at statsforvaltningen anvender fellesskapets midler og verdier slik Stortinget har bestemt. Forvaltningsrevisjonen vurderer om grunnleggende verdier som likebehandling og offentlighet i tjenestene er oppfylt, og i fremtiden kan dette også inkludere tilsyn med algoritmene i offentlig forvaltning. Andre land har allerede startet arbeidet med algoritmerevisjon. I Nederland har det nylig blitt etablert et algoritmetilsyn under datatilsynet.
Kapittel 9: Forbrukernes personvern
Biometrisk datainnsamling
I kapittel 9 om forbrukernes personvern skisserer personvernkommisjonen en rekke utviklingstrekk som påvirker personvernet – alt fra sosiale medier og oppmerksomhetsøkonomien til tingenes internett og kunstig intelligens. Kommisjonen peker på at digitaliseringen preges av omfattende datainnsamling, men tematiserer i lite grad forbrukerteknologi som samler inn, analyserer og tar i bruk biometrisk data.
Ser vi framover, vil bruken av biometri øke kraftig. Alt fra fingeravtrykk til stemme og ansikt regnes som biometrisk data. Det er store personvernutfordringer knyttet til denne type datainnsamling og bruk. Teknologiselskapene investerer nå store summer i neste generasjons internett – et oppslukende og sanselig nett, som kobler sosiale medier, spill og 3D-grafikk. Gjennom forsterket virkelighet (i form av VR- og AR-briller) og kunstig intelligens skal mennesker få muligheten til å være i internett, framfor å se på nettet slik vi gjør i dag.
I rapporten « metaverset og menneskerettigheter » skisserer vi noen av utfordringene knyttet til framtidens internett. I Metaverset vil våre bevegelser, stemmer og ansiktsuttrykk kunne spores og analyseres. Sensorer vil kunne måle både hjerterytme og blodtrykk, og analysere emosjonell respons i sanntid. Forskning viser at kun 5-minutters bruk av VR-briller gir et godt nok datagrunnlag til å kunne identifisere et menneske med 95 % sikkerhet. Dette åpner for en helt ny dimensjon av personvernutfordringer, der selv de mest intime detaljene om våre liv kan bli delt og brukt uten vår viten eller samtykke. I virtuelle verdener kan det også bli vanskeligere å beskytte seg mot manipulasjon, trakassering og hets.
Barn og unges personvern
Personvernkommisjonen gjør en grundig vurdering av barns rettigheter på digitale flater, og redegjør for personvernutfordringer i skole og barnehage-sektoren. Teknologirådet vil også trekke fram at det er mange personvernutfordringer knyttet til nettspill. Over 7 av 10 barn og unge mellom 9-18 år i Norge spiller en eller annen form for nettspill. Nettspill fungerer i dag som en testarena for ny teknologi. Spill er ofte designet for å maksimere barn og unges spilletid og gjennomsyret av villedende design og skjulte algoritmer. I tillegg samles det inn uante mengder data om barn og unge i spill, både i spillet og gjennom utstyret som brukes for å spille, som ofte deles med tredjeparter utenfor spillet.
Fortnite, det mest populære spillet for barn og unge i Norge i dag, fikk nylig den største boten amerikanske konkurransemyndigheter noensinne har gitt for brudd på barns personvern i spillet. EU-parlamentet mener at beskyttelsen av barn og unge i dataspill har blitt neglisjert, og etterlyser både et bedre regelverk og konkrete tiltak for å beskytte barn og unge for kommersiell utnyttelse i spill.
Personvernkommisjonen anbefaler at det settes ned et lovutvalg for å gjennomgå og foreslå endringer i regelverk for å beskytte barn og unge i digitale flater. Teknologirådet støtter en slik gjennomgang, og vil fremheve at beskyttelse av barn i nettspill bør være sentralt i en slik utredning. Ny teknologi vil gjøre datainnsamlingen på digitale flater og gjennom teknologisk utstyr stadig mer avansert, og barn og unge er særlig utsatt.
Adferdsbasert markedsføring
Den nye EU-loven Digital Services Act forbyr adferdsbasert reklame mot barn, og reklame som målrettes basert på sensitive personopplysninger som for eksempel opplysninger om seksualitet, etnisitet og religiøs tilhørighet. Stortinget har bedt regjeringen vurdere konsekvenser ved et norsk forbud mot adferdsbasert markedsføring basert på sporing og overvåking på nett. Personvernkommisjonens flertall støtter en slik utredning. Teknologirådet er blant flere aktører som har tatt til orde for at norske myndigheter bør vurdere et forbud mot denne type markedsføringspraksis. EU-kommisjonen publiserte nylig en studie som understreker at dagens økosystem for markedsføring og annonsering på nett er uholdbar.
Det finnes allerede alternative metoder for digital annonsering som kan erstatte bruken av persondata til markedsføring. Kontekstuell markedsføring som ikke tar i bruk persondata, men tilpasser annonser til innholdet på en nettside kan fungere som en alternativ og mer personvernvennlig modell. Et forbud mot å bruke persondata i annonser kan også bidra til å bedre konkurransesituasjonen i annonseindustrien, fordi det vil gi selskaper mulighet til å konkurrere på likere vilkår.
Personvern i arbeidslivet
Arbeidsliv er et område som ikke adresseres av Personvernkommisjonen, men som bør omfattes av den kommende personvernstrategien. Både personvernregelverket og arbeidsmiljøloven skal beskytte ansattes personvern, men den teknologiske utviklingen gjør det utfordrende å definere hvor skillelinjene går mellom digitale arbeidsverktøy, og verktøy for kontroll og overvåking.
Programvare for kontroll og analyse av de ansattes aktivitet har økt jevnt de siste årene, og etterspørselen eksploderte under korona-pandemien. De mest invaderende verktøyene kan for eksempel ta jevnlige bilder av skjermen til de ansatte, eller bruke kameraet på pc’en til å ta bilde av de ansatte. En fersk undersøkelse fra Danmark viser at over 60 prosent av danske arbeidstakere opplever overvåking på jobben.
En mer subtil form for overvåking skjer på grunn av den generelle digitaliseringen av arbeidslivet. Digitale verktøy som Microsoft 365, Temas og administrative systemer for HR, økonomi og timeregistrering er svært vanlige og brukes i mange bransjer. Slike digitale systemer lagrer informasjon om all aktivitet brukerne fortar seg, og data brukes deretter i analyser – såkalt «people analytics».
Med nye og mer avanserte former for kunstig intelligens (som beskrevet over), tar slike analyser et langt steg videre. Microsoft reklamerer nå med transkribering og oversettelse av møter, automatisk identifisering og fordeling av oppgaver og persontilpassede høydepunkter fra digitale møter. Alle disse analysene innebærer innsamling og lagring av hver eneste aktivitet, ord og handling fra deltakerne. I Finland har man en egen personvernlov for arbeidslivet, og i Tyskland etterlyses det samme.
I kapittel 9 om forbrukernes personvern skisserer personvernkommisjonen en rekke utviklingstrekk som påvirker personvernet – alt fra sosiale medier og oppmerksomhetsøkonomien til tingenes internett og kunstig intelligens. Kommisjonen peker på at digitaliseringen preges av omfattende datainnsamling, men tematiserer i lite grad forbrukerteknologi som samler inn, analyserer og tar i bruk biometrisk data.
Ser vi framover, vil bruken av biometri øke kraftig. Alt fra fingeravtrykk til stemme og ansikt regnes som biometrisk data. Det er store personvernutfordringer knyttet til denne type datainnsamling og bruk. Teknologiselskapene investerer nå store summer i neste generasjons internett – et oppslukende og sanselig nett, som kobler sosiale medier, spill og 3D-grafikk. Gjennom forsterket virkelighet (i form av VR- og AR-briller) og kunstig intelligens skal mennesker få muligheten til å være i internett, framfor å se på nettet slik vi gjør i dag.
I rapporten « metaverset og menneskerettigheter » skisserer vi noen av utfordringene knyttet til framtidens internett. I Metaverset vil våre bevegelser, stemmer og ansiktsuttrykk kunne spores og analyseres. Sensorer vil kunne måle både hjerterytme og blodtrykk, og analysere emosjonell respons i sanntid. Forskning viser at kun 5-minutters bruk av VR-briller gir et godt nok datagrunnlag til å kunne identifisere et menneske med 95 % sikkerhet. Dette åpner for en helt ny dimensjon av personvernutfordringer, der selv de mest intime detaljene om våre liv kan bli delt og brukt uten vår viten eller samtykke. I virtuelle verdener kan det også bli vanskeligere å beskytte seg mot manipulasjon, trakassering og hets.
Barn og unges personvern
Personvernkommisjonen gjør en grundig vurdering av barns rettigheter på digitale flater, og redegjør for personvernutfordringer i skole og barnehage-sektoren. Teknologirådet vil også trekke fram at det er mange personvernutfordringer knyttet til nettspill. Over 7 av 10 barn og unge mellom 9-18 år i Norge spiller en eller annen form for nettspill. Nettspill fungerer i dag som en testarena for ny teknologi. Spill er ofte designet for å maksimere barn og unges spilletid og gjennomsyret av villedende design og skjulte algoritmer. I tillegg samles det inn uante mengder data om barn og unge i spill, både i spillet og gjennom utstyret som brukes for å spille, som ofte deles med tredjeparter utenfor spillet.
Fortnite, det mest populære spillet for barn og unge i Norge i dag, fikk nylig den største boten amerikanske konkurransemyndigheter noensinne har gitt for brudd på barns personvern i spillet. EU-parlamentet mener at beskyttelsen av barn og unge i dataspill har blitt neglisjert, og etterlyser både et bedre regelverk og konkrete tiltak for å beskytte barn og unge for kommersiell utnyttelse i spill.
Personvernkommisjonen anbefaler at det settes ned et lovutvalg for å gjennomgå og foreslå endringer i regelverk for å beskytte barn og unge i digitale flater. Teknologirådet støtter en slik gjennomgang, og vil fremheve at beskyttelse av barn i nettspill bør være sentralt i en slik utredning. Ny teknologi vil gjøre datainnsamlingen på digitale flater og gjennom teknologisk utstyr stadig mer avansert, og barn og unge er særlig utsatt.
Adferdsbasert markedsføring
Den nye EU-loven Digital Services Act forbyr adferdsbasert reklame mot barn, og reklame som målrettes basert på sensitive personopplysninger som for eksempel opplysninger om seksualitet, etnisitet og religiøs tilhørighet. Stortinget har bedt regjeringen vurdere konsekvenser ved et norsk forbud mot adferdsbasert markedsføring basert på sporing og overvåking på nett. Personvernkommisjonens flertall støtter en slik utredning. Teknologirådet er blant flere aktører som har tatt til orde for at norske myndigheter bør vurdere et forbud mot denne type markedsføringspraksis. EU-kommisjonen publiserte nylig en studie som understreker at dagens økosystem for markedsføring og annonsering på nett er uholdbar.
Det finnes allerede alternative metoder for digital annonsering som kan erstatte bruken av persondata til markedsføring. Kontekstuell markedsføring som ikke tar i bruk persondata, men tilpasser annonser til innholdet på en nettside kan fungere som en alternativ og mer personvernvennlig modell. Et forbud mot å bruke persondata i annonser kan også bidra til å bedre konkurransesituasjonen i annonseindustrien, fordi det vil gi selskaper mulighet til å konkurrere på likere vilkår.
Personvern i arbeidslivet
Arbeidsliv er et område som ikke adresseres av Personvernkommisjonen, men som bør omfattes av den kommende personvernstrategien. Både personvernregelverket og arbeidsmiljøloven skal beskytte ansattes personvern, men den teknologiske utviklingen gjør det utfordrende å definere hvor skillelinjene går mellom digitale arbeidsverktøy, og verktøy for kontroll og overvåking.
Programvare for kontroll og analyse av de ansattes aktivitet har økt jevnt de siste årene, og etterspørselen eksploderte under korona-pandemien. De mest invaderende verktøyene kan for eksempel ta jevnlige bilder av skjermen til de ansatte, eller bruke kameraet på pc’en til å ta bilde av de ansatte. En fersk undersøkelse fra Danmark viser at over 60 prosent av danske arbeidstakere opplever overvåking på jobben.
En mer subtil form for overvåking skjer på grunn av den generelle digitaliseringen av arbeidslivet. Digitale verktøy som Microsoft 365, Temas og administrative systemer for HR, økonomi og timeregistrering er svært vanlige og brukes i mange bransjer. Slike digitale systemer lagrer informasjon om all aktivitet brukerne fortar seg, og data brukes deretter i analyser – såkalt «people analytics».
Med nye og mer avanserte former for kunstig intelligens (som beskrevet over), tar slike analyser et langt steg videre. Microsoft reklamerer nå med transkribering og oversettelse av møter, automatisk identifisering og fordeling av oppgaver og persontilpassede høydepunkter fra digitale møter. Alle disse analysene innebærer innsamling og lagring av hver eneste aktivitet, ord og handling fra deltakerne. I Finland har man en egen personvernlov for arbeidslivet, og i Tyskland etterlyses det samme.