Dersom EU lempar på det digitale personvernet, undergrev dei sitt eige mål om styrka konkurransekraft, meiner den irske personvernforkjemparen Johnny Ryan.
Kjerstin Gjengedal for Forskningspolitikk
– Det er gode menneskerettslege grunnar til å gjere motstand mot desse endringane, absolutt. Men når endringane heller ikkje oppnår det lovgjevarane vil at dei skal oppnå, så er det eit nyttig poeng å få fram, seier Johnny Ryan.
Ryan er direktør i Irish Council for Civil Liberties (ICCL). Der leier han seksjonen Enforce, som har påteke seg det enorme oppdraget å halde teknologigigantane i øyro og gje demokratiet meir makt over teknologien.
Digitale spelereglar
Nett no er Ryan – saman med ei rekkje organisasjonar som arbeider med menneskerettar, personvern og teknologi – oppteken av EU-kommisjonens forslag til nye digitale spelereglar, den såkalla «digitale omnibusen», som vart lagt fram midt i november.[1]
Namnet viser til at kommisjonen føreslår endringar i fleire lover og regelverk som regulerer digital teknologi og kunstig intelligens, mellom anna flaggskipet GDPR (personvernforordninga). Kommisjonen omtalar forslaget som ei forenkling som skal gjere det lettare for bedrifter å etterleve reglane. Men mange organisasjonar, mellom anna vårt eige Forbrukerråd, fryktar at endringane vil uthole hardt tilkjempa personvernrettar.
Ein grunn til at ICCL er opptekne av tematikken, er at dei fleste store amerikanske teknologiselskapa har det europeiske hovudkontoret sitt i Irland, takka vere eit svært generøst skatteregime.
– Det er det EU-medlemslandet der eit internasjonalt selskap har hovudkvarteret sitt, som har ansvaret for å halde oppsyn med at selskapet etterlever regelverket. Så kva Irland gjer, har mykje å seie. Dersom dei viser motvilje mot å etterforske lovbrot og tvinge selskap til å følgje lova, så bryt systemet saman.
Ryans seksjon i ICCL heiter Enforce fordi nettopp handheving er ein nøkkel når det gjeld digitale rettar, fortel han.
– Akkurat no er det inga handheving, seier han.[2]
Bøter til ingen nytte
Tidlegare har Ryan mellom anna jobba med digital marknadsføring og sett korleis folks persondata blir misbrukte i enorm skala i samband med persontilpassa annonser.
– Eg hugsar eg las den ferdige personvernforordninga der det sto noko slikt som at handsaming av persondata skulle skje på ein måte som medverka til det beste for menneskeslekta. Eg tenkte, no kjem vi endeleg til å sjå ei endring!
Personvernforordninga trådde i kraft i 2018. Men ingenting har eigentleg endra seg, meiner Ryan.
– Vi har sett ein del bøter for brot på personvernforordninga, men vi har ikkje sett noka fundamental endring i korleis dei store selskapa brukar folks personopplysingar. Om du tener 100 euro på å bryte lova og må betale ei bot på fem euro, så vil du sjølvsagt halde fram med å bryte lova, illustrerer han.
Ifølgje Ryan har Irland vore motviljug til å skrive ut fleire av desse bøtene, men blitt pressa til det av andre lands tilsynsmyndigheiter, til dømes det norske Datatilsynet.
Fryktar utvatning
Mellom endringane EU-kommisjonen foreslår, er at selskap skal få større rom til sjølve å bedømme kva som utgjer personidentifiserande data. Kritikarar fryktar at det vil opne for ei mengd subjektive tolkingar og gjere systemet mindre transparent.
Forslaget opnar også for at sensitive data kan brukast til å trene kunstig intelligens, dersom selskapa meiner det er nødvendig. Endringane i den digitale omnibusen er blitt kritiserte for å i sum flytte datahandtering vekk frå demokratiet og la næringslivet styre seg sjølv.[3]
Endringane heng saman med EU-kommisjonens uttala plan om å forenkle kvardagen for næringslivet i eit forsøk på å stimulere til innovasjon og økonomisk vekst.[4] Planen vart raskt utforma i kjølvatnet av rapporten om sviktande europeisk konkurransekraft, som vart lagt fram av Mario Draghi i september 2024.
Men medisinen er feilslått, meiner Ryan.
Handheving nøkkelen til konkurransekraft
– Når ein ikkje handhevar personvernreglar, gjer ein livet vanskeleg for konkurransetilsyn, medietilsyn og tryggleiksmyndigheiter, seier han, og forklarer:
– Med fri tilgang til persondata kan store selskap som Amazon eller Google mangedoble marknadsmakta si ved å ta data, som dei har kunna hauste frå éi grein av forretninga, og bruke dei i andre greiner og dermed utkonkurrere alle andre aktørar berre ved å vere størst, utan dermed å vere best. Det er eit problem for konkurransen.
På same vis, peikar han på, vil nasjonale medie- og datatilsyn, som mellom anna skal slå ned på åtferdsbasert nettreklame basert på sensitive personopplysingar, vere heilt avhengige av at det irske datatilsynet først har gjort jobben sin og handheva forbodet i personvernforordninga mot misbruk av slike opplysingar.
Sist, men ikkje minst, blir det stadig samla inn data om europeiske borgarar av selskap med tett band til statar som ikkje nødvendigvis har Europas beste i tankane.
– Ved å ikkje krevje at slike selskap følgjer europeisk lov, gjer vi våre eigne politiske og militære leiarar sårbare. Så vi har fleire lag med lovgjeving som i teorien handlar om ulike ting og som ligg til ulike tilsynsmyndigheiter, men i siste instans kviler dei alle på regelverket rundt personvern, som ikkje blir handheva, seier han.
Difor er ikkje løysinga på europeisk konkurransekraft å lempe på reglane, men å gjennomføre dei, meiner Ryan.
Gjev konkurransefordelar
– Ta berre den nyaste fikse ideen i EU: Kunstig intelligens. Let du kinesiske eller amerikanske selskap samle inn og behandle data som dei vil for å trene sine modellar, så gjev du dei ein konkurransefordel som ingen europeisk konkurrent vil kunne hamle opp med. Europeisk KI blir ikkje hindra av reglar, men av mangelen på handheving.
Når det er sagt, så er det gode grunnar til å uroe seg for at særleg små og mellomstore bedrifter, som EU-kommisjonen legg spesielt vekt på, kan bli hindra i å hevde seg på grunn av regeljungelen og papirarbeidet dei må navigere i.
– Spesielt dei tyske styresmaktene er opptekne av at Europa kunne få til eit gjennombrot i kunstig intelligens om vi berre ikkje var hindra av reglar om datahandsaming. Og eg sympatiserer med målet, men eg trur tanken er feil.
Ryan peikar på at dei store amerikanske KI-selskapa ignorerer reglane som seier at du ikkje kan ta data samla for eitt føremål og bruke det til eit anna føremål. Kommisjonens forslag slik det no står, vil gjere det lettare å trene KI-modellar på sensitive data utan samtykke.
Ønskjer eit modigare Europa
Eit politisk modigare EU kunne, ifølgje Ryan, bryte opp heile den amerikanske KI-industrien berre ved å handheve reglane om føremålsavgrensing. Det ville effektivt hindre at selskap vaks seg så store som Meta eller Google har gjort ved hjelp av fri intern dataflyt, og dermed ville europeiske aktørar kunne konkurrere i same landskapet.
– Ingenting tyder på at vi vil sjå ei slik avgrensing av makt til dei store selskapa gjennom konkurranselovgjeving. Det må skje frå datahandteringssida, seier han.
Kommisjonens forslag til nye digitale spelereglar skal dei komande månadane kvernast gjennom det europeiske politiske apparatet. Ryan vonar at dei verste utslaga kan korrigerast.
– Vi sluttar oss til organisasjonar som arbeider med å påverke denne prosessen frå ein menneskerettsståstad. Men eg har også samtalar med EU-parlamentarikarar om konkurransekraft. Den politiske pendelen har svinga mot høgre, så no snakkar ein med konservative politikarar, ikkje progressive. Og då må ein snakke eit språk dei forstår. Eg fortel dei at forslaga som ligg på bordet, vil føre til ulempe for deira eigne bedrifter, seier han.
Bilde: Johnny Ryan sin seksjon i ICCL heiter Enforce fordi nettopp handheving er ein nøkkel når det gjeld digitale rettar, Foto Irish Council for Civil Liberties 1