Stefna um þróun og notkun gervigreindar hjá Skattinum
1. Inngangur
1.1. Um skjalið
Í þessu skjali
er stefnu Skattsins um þróun og notkun gervigreindar lýst. Skilgreiningin á
hugtakinu gervigreind í þessari stefnu er útskýrð nánar í lið 1.3 hér fyrir
neðan.
Markmið Skattsins er að nýta að fullu
möguleika stafvæðingar. Aukin notkun gagna veitir okkur innsýn til að taka
betri ákvarðanir um meðferð mála og önnur verkefni. Í stefnu Skattsins kemur
m.a. fram að Skatturinn skuli sinna hlutverki sínu með tæknilegri framþróun og
nýsköpun, bæði með innleiðingu stafrænnar þjónustu við viðskiptavini og í innra
starfi stofnunarinnar. Enn fremur skal gagnadrifin ákvörðunartaka vera
meginstefið í öllu starfi Skattsins.[1]
Gervigreind er svið innan
upplýsingatækninnar sem er í hraðri þróun. Gervigreind getur haft í för með sér
margvíslegan efnahagslegan ávinning til samfélagsins en getur um leið aukið
hættuna á mismunun og misbeitingu. Því er afar mikilvægt fyrir Skattinn að
tryggja að gervigreind sé ávallt beitt á löglegan, réttlátan og ábyrgan hátt.
Þessi stefna skilgreinir fimm
grundvallarreglur fyrir þróun og notkun gervigreindar hjá Skattinum. Reglurnar
skulu vera leiðbeinandi í öllum aðstæðum þegar Skatturinn tekur gervigreind í
notkun og þeim er ætlað að vera leiðbeinandi fyrir það sem síðar verður
heildstæður rammi utan um gervigreind hjá Skattinum. Þessar fimm
grundvallarreglur eru:
- Ábyrgð
- Gagnsæi
- Réttlæti
- Tæknilegar
öryggisráðstafanir
- Gagnastjórnun
og persónuvernd
Reglugerð (ESB)
2024/1689 um gervigreind (AI Act) var sett 13. júní 2024. Hún tók gildi innan
Evrópusambandsins 1. ágúst 2024 og verður ákvæðum hennar beitt frá 2. ágúst
2026, utan hvað nokkrum köflum hennar verður beitt frá 2. febrúar 2025, 2.
ágúst 2025 og 2. ágúst 2027. Reglugerðinni er ætlað að samræma reglur um
gervigreind í ESB. Tilgangur hennar er að greiða leiðina bæði fyrir tæknilega
þróun og nýsköpun á sviði gervigreindar en um leið að standa vörð um
grundvallarréttindi og öryggi. Reglugerðin
hefur enn sem komið er ekki komið til skoðunar af sameiginlegu EES-nefndinni en
búist er við að þegar fram líða stundir verði samið um að hún verði hluti af
EES-samningnum.
Reglugerðin
beitir áhættumiðaðri nálgun á mismunandi gervigreindarkerfi, þar sem kerfi með
óásættanlegri áhættu eru bönnuð og kerfi með mikilli áhættu eru undir ströngu
eftirliti. Gervigreindarkerfi sem hafa í för með sér takmarkaða áhættu verða að
uppfylla tilteknar gagnsæiskröfur. Reglugerðin gerir engar kröfur um kerfi sem
ekki falla undir neinn af þessum flokkum (lágmarksáhætta). Þá er að finna í
reglugerðinni ákvæði um markaðseftirlit, viðurlög stuðning við nýsköpun o.fl.
Skatturinn mun
ekki taka í notkun gervigreind sem fellur undir óásættanlega áhættu skv.
skilgreiningu í reglugerð ESB um gervigreind. Áður en reglugerðin tekur gildi
hér á landi mun Skatturinn meta sérstaklega hvort hann notar, eða áformar að
nota, gervigreind á sviðum sem flokkast undir mikla áhættu samkvæmt
reglugerðinni.
Þar til sérstök
lagasetning tekur gildi munu stjórnsýslulög og persónuverndarlög, ásamt grundvallarmannréttindum,
mynda miðlægan ramma fyrir stefnu Skattsins um þróun og notkun á gervigreind.
Þessar reglur gera t.d. kröfur um lagagrundvöll, gagnsæi, rökstuðning, andmæli,
kærurétt, upplýsingar og fræðslu, þagnarskyldu, bann við mismunun, rétt til
einkalífs og bann gegn hvers kyns misbeitingu stjórnvalda. Þá er Skatturinn einnig
bundinn reglum í upplýsingalögum um upplýsingarétt almennings og reglum um
skjalavörslu í lögum um opinber skjalasöfn.
Hér er fjallað
um nokkur lykilhugtök sem liggja til grundvallar hugsunarinnar á bak við stefnu
Skattsins fyrir þróun og notkun gervigreindar og skilnings á henni.
Gervigreind
Almenn, alþjóðleg
skilgreining á gervigreind liggur ekki fyrir og mismunandi skilgreiningar
breytast oft í takt við það sem er tæknilega mögulegt. Þess vegna má tilraun
til að skilgreina gervigreind ekki afmarka stefnuna um of. Það mikilvægasta eru
sérkenni gervigreindar og hvernig Skatturinn skuli bregðast við þeim. Sú
skilgreining á gervigreind sem hér er notuð er náskyld skilgreiningunni í
reglugerð Evrópusambandsins um gervigreind og skal hún uppfærð eftir þörfum. [2]
„„Gervigreindarkerfi“ merkir
vélgrundvallað kerfi sem er hannað til að vinna á mismunandi þrepum
sjálfsstjórnar og sem kann að sýna aðlögunarhæfni eftir að það hefur tekið til
starfa, og sem getur, með bein eða óbein markmið í huga, dregið ályktanir, á
grundvelli ílags sem því er veitt, framleitt frálagsgögn eins og til dæmis
spár, efni, meðmæli eða ákvarðanir sem kunna að hafa áhrif á náttúrulegt
umhverfi eða sýndarumhverfi.“
Vélnám
Gervigreind nær yfir víðara
svið en vélnám en allt vélnám fellur undir svið gervigreindar. Vélnám er
fræðasvið sem fæst við hönnun og þróun líkana sem gera tölvum kleift að læra af
og þróa atferli sem grundvallast á gögnum sem byggð eru á athugunum. Í þessu
samhengi takmarkast hugtakið líkan við vélnámslíkön sem eru sérstaklega þróuð
til að læra af gögnum og draga út mynstur eða innsýn. Innan þessa samhengis eru
margar gerðir reiknirita, þ. á m. einnig tauganet/djúpnám. Þjálfun
reikniritanna fela oft í sér hluta sem er erfitt að útskýra. Þar sem reiknirit
eru oft miðlægur þáttur í ákvarðanastuðningskerfum er vélnám einnig sérstaklega
mikilvægt svið innan gervigreindar í stefnu Skattsins.
Spunagreind
Spunagreind má lýsa sem
sérsviði innan fræðasviðsins vélnám og snýr að því að spinna eða búa til nýtt
efni, svo sem texta, myndefni eða tónlist, með því að læra af fyrirliggjandi
dæmum sem til eru um slíkt efni. Til samanburðar lúta hefðbundin vélnámslíkön
gjarnan að því að spá fyrir eða flokka efni en spunagreindarlíkön skálda nýtt
efni á grundvelli dæma um slíkt efni í þjálfunargögnum sínum.
2. Grundvallarreglur um þróun og
notkun gervigreindar hjá Skattinum
Skatturinn skal
taka gervigreind í notkun á traustvekjandi og ábyrgan hátt. Ávallt skal taka
tillit til hlutverks Skattsins í samfélaginu og stjórnsýslunni og þeirrar
valdastöðu sem stofnunin er í gagnvart borgurum. Öll þróun og notkun á lausnum
sem byggjast á gervigreind skal vera í takt við gildandi reglur, góða
stjórnunarhætti, siðareglur og grundvallarreglur þessarar stefnu.
Tryggja skal
nauðsynlega mannlega yfirsýn og stjórn á gervigreindarkerfunum, sbr. grein 2.3
hér fyrir neðan. Koma verður á fót skýrum ábyrgðarsviðum og hlutverkum fyrir
alla aðila sem koma að þróun, innleiðingu og notkun gervigreindarkerfa. Þar á
meðal þarf að tilnefna aðila, skipulagseiningar eða teymi sem bera ábyrgð á að
vakta framlag kerfisins, sinna áhættumeðferð og öryggisbrestum sem og stjórnun
gagna og persónuverndar.
Meta skal og endurskoða
gervigreindarkerfi reglulega til að meta lögmæti, virkni, siðferði og hlítni
við innri starfsreglur. Taka skal tillit til nýrra uppgötvana, rannsókna eða
lagabreytinga sem geta haft áhrif á ábyrgð kerfisins og gera nauðsynlegar breytingar
og endurbætur.
Gagnsæi hjá hinu
opinbera stuðlar m.a. að eftirliti með stjórnvöldum sem skapar trú á
ákvörðunarferlum og eykur traust almennings. Fyrir Skattinn er því mikilvægt að
geta útskýrt og skráð hvernig ákvarðanir eru teknar; einnig þegar hluti
ákvörðunar byggist á notkun gervigreindar.
Öll þróun og notkun gervigreindarkerfa skal vera á þann hátt að gætt sé
að gagnsæi í öllu ferlinu.
Hinn skráði á rétt á að skýrt sé ef hann á í samskiptum við, eða að ákvörðun verði tekin af,
tækni sem byggist á gervigreind með þeim takmörkunum sem lög nr. 75/2019 um
vinnslu persónuupplýsinga í löggæslutilgangi setja. Þetta er nauðsynlegt til að
hinn skráði geti staðið vörð um rétt sinn og hagsmuni eða til að hann geti
gagnrýnt niðurstöðu. Viðtakandi verður að fá upplýsingar um gervigreindarkerfið
á skýran og skiljanlegan hátt. Hvort gefa á slíkar upplýsingar með fyrirbyggjandi
eða gagnvirkum hætti eða sem sambland af hvoru tveggja verður að meta úr frá
heildarmati þar sem sérstaklega skal meta upplýsingagjöf í heild sinni, á hvaða
starfssviði gervigreindin er nýtt og þær mögulegu afleiðingar sem notkun hennar
getur haft á hinn skráða.
Gervigreindarkerfi
skulu þróuð og notuð á réttmætan hátt sem einnig virðir grundvallarmannréttindi
og fer að siðareglum gagnavísindadeildar Skattsins. Notkun Skattsins á
gervigreind skal byggð á gildum eins og fagmennsku, virðingu, jafnrétti,
fjölbreytileika, sjálfsákvörðunarrétti einstaklinga og friðhelgi einkalífs.
Sömuleiðis skal forðast að nota gervigreind á hátt sem stuðlar að mismunun,
blekkingu eða á annan hátt kúgun einstaklinga eða viðkvæmra hópa í
samfélaginu.
Til að
Skatturinn geti notað gervigreind á réttlátan hátt í takt við ofannefnd gildi
er mikilvægt að vita hvers konar hættu gervigreindarkerfi geta skapað fyrir
grundvallarmannréttindi. Skatturinn skal sjá til þess að borin verði kennsl á
mögulega áhættu sem tengist slíkum réttindum og gildum og að hún verði metin
með samfelldum hætti bæði á þróunarskeiðinu sem og á öllum lífsferli
gervigreindarkerfisins.
Skatturinn skal
sjá til þess að þróun og notkun gervigreindarkerfa verði með nauðsynlegu
mannlegu eftirliti og stjórnun[3]
m.t.t. markmiðs þeirra kerfa. Mannlegt eftirlit og stjórnun geta átt þátt í því
að tryggja að gervigreindarkerfi grafi ekki undan sjálfsákvörðunarrétti
einstaklinga eða hafi önnur ófyrirséð neikvæð áhrif. Mannlegt eftirlit og
stjórnun eru einkum mikilvæg ef gervigreind er notuð sem hluti af lausnum
verkefna fyrir Skattinn sem geta haft beinar afleiðingar fyrir réttarstöðu bæði
einstaklinga og lögaðila.
Við þjálfun,
prófun og innleiðingu á gervigreindarkerfum verður að framkvæma aðgerðir sem
tryggja að kerfið skili ekki óréttmætum niðurstöðum eða niðurstöðum sem mismuna
vegna skekkju („bias“) í reikniriti eða gögnum. Innleiða verður aðgerðir til að
vinna gegn, uppgötva og leiðrétta slíkar skekkjur á lífsferli
gervigreindarkerfisins.
Skatturinn skal
bera kennsl á ógnir og framkvæma greiningar á afleiðingum og veikleikum til að
lágmarka hættuna á að óæskilegir atburðir eða óviljaverk hafi áhrif á öryggi
og/eða styrk gervigreindarkerfisins. Einnig skal vera öruggt að
gervigreindarkerfið sé varið gegn misnotkun, breytingum eða misbeitingu.
Innleiða skal viðeigandi aðgerðir til að tryggja trúnað, heilleika og
aðgengileika gagnanna sem gervigreindarkerfið notar. Þetta getur falið í sér
dulkóðun, aðgangsstjórnun, skráningu og öruggra gagnageymslu.
Framkvæma skal nákvæma þjálfun á,
prófun og fullgildingu á gervigreindarkerfinu til að tryggja að það uppfylli
kröfur um styrk og öryggi. Þetta felur í sér prófun á kerfinu gegn árásum,
villu- og atvikastjórnun og afhjúpun á mögulegum veikleikum í gervigreindarkerfinu.
Koma verður á fót áframhaldandi vöktunarferli til að greina vöntun á gæðum,
óæskilegar aðferðir eða möguleg öryggisbrot í gervigreindarkerfinu.
Starfsfólk Skattsins sem tekur þátt í
þróunarvinnunni og/eða notkun lausna sem byggjast á gervigreind verður að fá
viðeigandi fræðslu fyrir örugga notkun á kerfinu. Þetta getur falið í sér
fræðslu í öryggismálum, persónuvernd, gagnastjórnun og tilkynningu um
grunsamleg og óæskileg atvik (frávik).
Við þjálfun,
fullgildingu og prófun á gervigreindarkerfi skal Skatturinn sjá til þess að
gögnin sem notuð eru séu við hæfi hvað varðar gæði og heilleika. Gögnin sem
notuð eru skulu vera eins fullkomin, viðeigandi og uppfærð og mögulegt er,
m.t.t. notkunarmarkmiða.
Skatturinn má
ekki taka í notkun gervigreindarkerfi á þann hátt að það leiði til
ótilhlýðilegs inngrips í persónuleg heilindi eða hafi neikvæð áhrif á
persónulegan sjálfsákvörðunarrétt. Gervigreindarkerfi sem vinna með
persónuupplýsingar, annaðhvort meðan á þróun stendur eða eftir að þau hafa
verið tekin í notkun, verða að uppfylla, eftir því sem við á, ákvæði laga um
persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 eða laga nr. 75/2019 um
vinnslu persónuupplýsinga í löggæslutilgangi. Skatturinn skal lágmarka magn
persónuupplýsinga og trúnaðargögn sem gervigreindarkerfið vinnur með, með því
að hafa aðrar aðferðir og tækni í huga (t.d. notkun á gervigögnum og/eða
dulkóðuðum gögnum) sem geta uppfyllt fyrirhugað markmið eða virkni.
3. Beiting grundvallarreglna
Notkun á gervigreind hjá Skattinum má
flokka á mismunandi vegu. Við beitingu grundvallarreglna stefnunnar er
mikilvægt að líta á hvernig bein notkun gervigreindarinnar snertir hina skráðu
og einnig á hvaða hátt verkefnið getur verið viðfang sjálfvirknivæðingar. Í
stuttu máli má skipta notkun sjálfvirknivæðingar í 5 verkefnasvið:
- Þekking
og innsýn: Stuðningur
við að yfirfara upplýsingar, rannsaka og læra
- Innri ferli: Stuðningur
við ákvarðanir fyrir stjórnun og stjórnsýslu
- Val og meðferðarferli: Val og stuðningur fyrir málsmeðferð og stjórnun
- Sérsniðnar leiðbeiningar: Stuðningur fyrir notendaleiðbeiningar og meðmæli
- Stafrænt samræðuform: Þjónusta, hnipp (ýtingar) og ráð, lagað að hverjum og einum
Áhætta
Meta verður gervigreindartækni og þróun hennar samkvæmt því hver ásættanleg
áhætta er á mismunandi sviðum Skattsins. Skatturinn styðst við þá flokkun
áhættu sem kemur fram í reglugerð ESB um gervigreind:
- Óásættanleg áhætta
- Mikil áhætta
- Takmörkuð áhætta
- Lítil/engin áhætta
Þá geta aðrir þættir skipt máli við áhættumat, svo sem:
- notkun
gervigreindar getur haft áhrif á skattgreiðendur/notendur efnislega eða
fjárhagslega
- notkun
gervigreindar getur snert á viðkvæmum málum eða réttindum hjá
skattgreiðendum/notendum
- notkun
gervigreindar felur í sér ákvarðanatöku eða stuðning við ákvarðanir
- notkun
gervigreindar snertir stórt eða minna umfang skattgreiðenda/notenda.
4.
Endurskoðun
Stefna þessi er
endurskoðuð árlega af persónuverndarfulltrúa og gagnavísindadeild Skattsins.
[1]
Stefnan okkar: https://www.skatturinn.is/um-rsk/embaettid/stefnan-okkar/
[2] Sjá skilgreiningu í 1. tl. 3. gr. reglugerðar
ESB um gervigreind:
„'AI system' means a machine-based system that
is designed to operate with varying levels of autonomy and that may exhibit
adaptiveness after deployment, and that, for explicit or implicit objectives,
infers, from the input it receives, how to generate outputs such as
predictions, content, recommendations, or decisions, that can influence
physical or virtual environments.“ Oft er talað um þessi líkön sem „foundation
models“
[3] Mannlegu eftirliti og stjórnun („human
oversight“) er hægt að ná fram með stjórnunarkerfum sem byggjast t.d. á
„human-in-the-loop“ (HITL), „human-on-the-loop“ (HOTL) eða „human-in-command“
(HIC). Sjá einnig 14. gr. reglugerðar ESB um gervigreind þar sem einnig er
fjallað um kröfur um „human oversight“ fyrir gervigreindarkerfi með mikilli
áhættu.