Stefna um þróun og notkun gervigreindar hjá Skattinum

1. Inngangur

1.1. Um skjalið

Í þessu skjali er stefnu Skattsins um þróun og notkun gervigreindar lýst. Skilgreiningin á hugtakinu gervigreind í þessari stefnu er útskýrð nánar í lið 1.3 hér fyrir neðan.

Markmið Skattsins er að nýta að fullu möguleika stafvæðingar. Aukin notkun gagna veitir okkur innsýn til að taka betri ákvarðanir um meðferð mála og önnur verkefni. Í stefnu Skattsins kemur m.a. fram að Skatturinn skuli sinna hlutverki sínu með tæknilegri framþróun og nýsköpun, bæði með innleiðingu stafrænnar þjónustu við viðskiptavini og í innra starfi stofnunarinnar. Enn fremur skal gagnadrifin ákvörðunartaka vera meginstefið í öllu starfi Skattsins.[1]

Gervigreind er svið innan upplýsingatækninnar sem er í hraðri þróun. Gervigreind getur haft í för með sér margvíslegan efnahagslegan ávinning til samfélagsins en getur um leið aukið hættuna á mismunun og misbeitingu. Því er afar mikilvægt fyrir Skattinn að tryggja að gervigreind sé ávallt beitt á löglegan, réttlátan og ábyrgan hátt.

Þessi stefna skilgreinir fimm grundvallarreglur fyrir þróun og notkun gervigreindar hjá Skattinum. Reglurnar skulu vera leiðbeinandi í öllum aðstæðum þegar Skatturinn tekur gervigreind í notkun og þeim er ætlað að vera leiðbeinandi fyrir það sem síðar verður heildstæður rammi utan um gervigreind hjá Skattinum. Þessar fimm grundvallarreglur eru:

  • Ábyrgð
  • Gagnsæi
  • Réttlæti
  • Tæknilegar öryggisráðstafanir
  • Gagnastjórnun og persónuvernd

1.2. Lagaumhverfi

Reglugerð (ESB) 2024/1689 um gervigreind (AI Act) var sett 13. júní 2024. Hún tók gildi innan Evrópusambandsins 1. ágúst 2024 og verður ákvæðum hennar beitt frá 2. ágúst 2026, utan hvað nokkrum köflum hennar verður beitt frá 2. febrúar 2025, 2. ágúst 2025 og 2. ágúst 2027. Reglugerðinni er ætlað að samræma reglur um gervigreind í ESB. Tilgangur hennar er að greiða leiðina bæði fyrir tæknilega þróun og nýsköpun á sviði gervigreindar en um leið að standa vörð um grundvallarréttindi og öryggi. Reglugerðin hefur enn sem komið er ekki komið til skoðunar af sameiginlegu EES-nefndinni en búist er við að þegar fram líða stundir verði samið um að hún verði hluti af EES-samningnum.

Reglugerðin beitir áhættumiðaðri nálgun á mismunandi gervigreindarkerfi, þar sem kerfi með óásættanlegri áhættu eru bönnuð og kerfi með mikilli áhættu eru undir ströngu eftirliti. Gervigreindarkerfi sem hafa í för með sér takmarkaða áhættu verða að uppfylla tilteknar gagnsæiskröfur. Reglugerðin gerir engar kröfur um kerfi sem ekki falla undir neinn af þessum flokkum (lágmarksáhætta). Þá er að finna í reglugerðinni ákvæði um markaðseftirlit, viðurlög stuðning við nýsköpun o.fl.

Skatturinn mun ekki taka í notkun gervigreind sem fellur undir óásættanlega áhættu skv. skilgreiningu í reglugerð ESB um gervigreind. Áður en reglugerðin tekur gildi hér á landi mun Skatturinn meta sérstaklega hvort hann notar, eða áformar að nota, gervigreind á sviðum sem flokkast undir mikla áhættu samkvæmt reglugerðinni.

Þar til sérstök lagasetning tekur gildi munu stjórnsýslulög og persónuverndarlög, ásamt grundvallarmannréttindum, mynda miðlægan ramma fyrir stefnu Skattsins um þróun og notkun á gervigreind. Þessar reglur gera t.d. kröfur um lagagrundvöll, gagnsæi, rökstuðning, andmæli, kærurétt, upplýsingar og fræðslu, þagnarskyldu, bann við mismunun, rétt til einkalífs og bann gegn hvers kyns misbeitingu stjórnvalda. Þá er Skatturinn einnig bundinn reglum í upplýsingalögum um upplýsingarétt almennings og reglum um skjalavörslu í lögum um opinber skjalasöfn.

1.3. Lykilhugtök

Hér er fjallað um nokkur lykilhugtök sem liggja til grundvallar hugsunarinnar á bak við stefnu Skattsins fyrir þróun og notkun gervigreindar og skilnings á henni.

Gervigreind

Almenn, alþjóðleg skilgreining á gervigreind liggur ekki fyrir og mismunandi skilgreiningar breytast oft í takt við það sem er tæknilega mögulegt. Þess vegna má tilraun til að skilgreina gervigreind ekki afmarka stefnuna um of. Það mikilvægasta eru sérkenni gervigreindar og hvernig Skatturinn skuli bregðast við þeim. Sú skilgreining á gervigreind sem hér er notuð er náskyld skilgreiningunni í reglugerð Evrópusambandsins um gervigreind og skal hún uppfærð eftir þörfum. [2]

„„Gervigreindarkerfi“ merkir vélgrundvallað kerfi sem er hannað til að vinna á mismunandi þrepum sjálfsstjórnar og sem kann að sýna aðlögunarhæfni eftir að það hefur tekið til starfa, og sem getur, með bein eða óbein markmið í huga, dregið ályktanir, á grundvelli ílags sem því er veitt, framleitt frálagsgögn eins og til dæmis spár, efni, meðmæli eða ákvarðanir sem kunna að hafa áhrif á náttúrulegt umhverfi eða sýndarumhverfi.“

Vélnám

Gervigreind nær yfir víðara svið en vélnám en allt vélnám fellur undir svið gervigreindar. Vélnám er fræðasvið sem fæst við hönnun og þróun líkana sem gera tölvum kleift að læra af og þróa atferli sem grundvallast á gögnum sem byggð eru á athugunum. Í þessu samhengi takmarkast hugtakið líkan við vélnámslíkön sem eru sérstaklega þróuð til að læra af gögnum og draga út mynstur eða innsýn. Innan þessa samhengis eru margar gerðir reiknirita, þ. á m. einnig tauganet/djúpnám. Þjálfun reikniritanna fela oft í sér hluta sem er erfitt að útskýra. Þar sem reiknirit eru oft miðlægur þáttur í ákvarðanastuðningskerfum er vélnám einnig sérstaklega mikilvægt svið innan gervigreindar í stefnu Skattsins.

Spunagreind

Spunagreind má lýsa sem sérsviði inann fræðasviðsins vélnám og snýr að því að spinna eða búa til nýtt efni, svo sem texta, myndefni eða tónlist, með því að læra af fyrirliggjandi dæmum sem til eru um slíkt efni. Til samanburðar lúta hefðbundin vélnámslíkön gjarnan að því að spá fyrir eða flokka efni en spunagreindarlíkön skálda nýtt efni á grundvelli dæma um slíkt efni í þjálfunargögnum sínum.

2. Grundvallarreglur um þróun og notkun gervigreindar hjá Skattinum

2.1. Ábyrgð

Skatturinn skal taka gervigreind í notkun á traustvekjandi og ábyrgan hátt. Ávallt skal taka tillit til hlutverks Skattsins í samfélaginu og stjórnsýslunni og þeirrar valdastöðu sem stofnunin er í gagnvart borgurum. Öll þróun og notkun á lausnum sem byggjast á gervigreind skal vera í takt við gildandi reglur, góða stjórnunarhætti, siðareglur og grundvallarreglur þessarar stefnu.

Tryggja skal nauðsynlega mannlega yfirsýn og stjórn á gervigreindarkerfunum, sbr. grein 2.3 hér fyrir neðan. Koma verður á fót skýrum ábyrgðarsviðum og hlutverkum fyrir alla aðila sem koma að þróun, innleiðingu og notkun gervigreindarkerfa. Þar á meðal þarf að tilnefna aðila, skipulagseiningar eða teymi sem bera ábyrgð á að vakta framlag kerfisins, sinna áhættumeðferð og öryggisbrestum sem og stjórnun gagna og persónuverndar.

Meta skal og endurskoða gervigreindarkerfi reglulega til að meta lögmæti, virkni, siðferði og hlítni við innri starfsreglur. Taka skal tillit til nýrra uppgötvana, rannsókna eða lagabreytinga sem geta haft áhrif á ábyrgð kerfisins og gera nauðsynlegar breytingar og endurbætur.

2.2. Gagnsæi

Gagnsæi hjá hinu opinbera stuðlar m.a. að eftirliti með stjórnvöldum sem skapar trú á ákvörðunarferlum og eykur traust almennings. Fyrir Skattinn er því mikilvægt að geta útskýrt og skráð hvernig ákvarðanir eru teknar; einnig þegar hluti ákvörðunar byggist á notkun gervigreindar. Öll þróun og notkun gervigreindarkerfa skal vera á þann hátt að gætt sé að gagnsæi í öllu ferlinu.

Hinn skráði á rétt á að skýrt sé ef hann á í samskiptum við, eða að ákvörðun verði tekin af, tækni sem byggist á gervigreind með þeim takmörkunum sem lög nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi setja. Þetta er nauðsynlegt til að hinn skráði geti staðið vörð um rétt sinn og hagsmuni eða til að hann geti gagnrýnt niðurstöðu. Viðtakandi verður að fá upplýsingar um gervigreindarkerfið á skýran og skiljanlegan hátt. Hvort gefa á slíkar upplýsingar með fyrirbyggjandi eða gagnvirkum hætti eða sem sambland af hvoru tveggja verður að meta úr frá heildarmati þar sem sérstaklega skal meta upplýsingagjöf í heild sinni, á hvaða starfssviði gervigreindin er nýtt og þær mögulegu afleiðingar sem notkun hennar getur haft á hinn skráða.

2.3. Réttlæti

Gervigreindarkerfi skulu þróuð og notuð á réttmætan hátt sem einnig virðir grundvallarmannréttindi og fer að siðareglum gagnavísindadeildar Skattsins. Notkun Skattsins á gervigreind skal byggð á gildum eins og fagmennsku, virðingu, jafnrétti, fjölbreytileika, sjálfsákvörðunarrétti einstaklinga og friðhelgi einkalífs. Sömuleiðis skal forðast að nota gervigreind á hátt sem stuðlar að mismunun, blekkingu eða á annan hátt kúgun einstaklinga eða viðkvæmra hópa í samfélaginu.

Til að Skatturinn geti notað gervigreind á réttlátan hátt í takt við ofannefnd gildi er mikilvægt að vita hvers konar hættu gervigreindarkerfi geta skapað fyrir grundvallarmannréttindi. Skatturinn skal sjá til þess að borin verði kennsl á mögulega áhættu sem tengist slíkum réttindum og gildum og að hún verði metin með samfelldum hætti bæði á þróunarskeiðinu sem og á öllum lífsferli gervigreindarkerfisins.

Skatturinn skal sjá til þess að þróun og notkun gervigreindarkerfa verði með nauðsynlegu mannlegu eftirliti og stjórnun[3] m.t.t. markmiðs þeirra kerfa. Mannlegt eftirlit og stjórnun geta átt þátt í því að tryggja að gervigreindarkerfi grafi ekki undan sjálfsákvörðunarrétti einstaklinga eða hafi önnur ófyrirséð neikvæð áhrif. Mannlegt eftirlit og stjórnun eru einkum mikilvæg ef gervigreind er notuð sem hluti af lausnum verkefna fyrir Skattinn sem geta haft beinar afleiðingar fyrir réttarstöðu bæði einstaklinga og lögaðila.

Við þjálfun, prófun og innleiðingu ágervigreindarkerfum verður að framkvæma aðgerðir sem tryggja að kerfið skili ekki óréttmætum niðurstöðum eða niðurstöðum sem mismuna vegna skekkju („bias“) í reikniriti eða gögnum. Innleiða verður aðgerðir til að vinna gegn, uppgötva og leiðrétta slíkar skekkjur á lífsferli gervigreindarkerfisins.

2.4. Tæknilegar og skipulagslegar öryggisráðstafanir

Skatturinn skal bera kennsl á ógnir og framkvæma greiningar á afleiðingum og veikleikum til að lágmarka hættuna á að óæskilegir atburðir eða óviljaverk hafi áhrif á öryggi og/eða styrk gervigreindarkerfisins. Einnig skal vera öruggt að gervigreindarkerfið sé varið gegn misnotkun, breytingum eða misbeitingu. Innleiða skal viðeigandi aðgerðir til að tryggja trúnað, heilleika og aðgengileika gagnanna sem gervigreindarkerfið notar. Þetta getur falið í sér dulkóðun, aðgangsstjórnun, skráningu og öruggra gagnageymslu.

Framkvæma skal nákvæma þjálfun á, prófun og fullgildingu á gervigreindarkerfinu til að tryggja að það uppfylli kröfur um styrk og öryggi. Þetta felur í sér prófun á kerfinu gegn árásum, villu- og atvikastjórnun og afhjúpun á mögulegum veikleikum í gervigreindarkerfinu. Koma verður á fót áframhaldandi vöktunarferli til að greina vöntun á gæðum, óæskilegar aðferðir eða möguleg öryggisbrot í gervigreindarkerfinu.

Starfsfólk Skattsins sem tekur þátt í þróunarvinnunni og/eða notkun lausna sem byggjast á gervigreind verður að fá viðeigandi fræðslu fyrir örugga notkun á kerfinu. Þetta getur falið í sér fræðslu í öryggismálum, persónuvernd, gagnastjórnun og tilkynningu um grunsamleg og óæskileg atvik (frávik).

2.5. Gagnastjórnun og persónuvernd

Við þjálfun, fullgildingu og prófun á gervigreindarkerfi skal Skatturinn sjá til þess að gögnin sem notuð eru séu við hæfi hvað varðar gæði og heilleika. Gögnin sem notuð eru skulu vera eins fullkomin, viðeigandi og uppfærð og mögulegt er, m.t.t. notkunarmarkmiða.

Skatturinn má ekki taka í notkun gervigreindarkerfi á þann hátt að það leiði til ótilhlýðilegs inngrips í persónuleg heilindi eða hafi neikvæð áhrif á persónulegan sjálfsákvörðunarrétt. Gervigreindarkerfi sem vinna með persónuupplýsingar, annaðhvort meðan á þróun stendur eða eftir að þau hafa verið tekin í notkun, verða að uppfylla, eftir því sem við á, ákvæði laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 eða laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi. Skatturinn skal lágmarka magn persónuupplýsinga og trúnaðargögn sem gervigreindarkerfið vinnur með, með því að hafa aðrar aðferðir og tækni í huga (t.d. notkun á gervigögnum og/eða dulkóðuðum gögnum) sem geta uppfyllt fyrirhugað markmið eða virkni.

3. Beiting grundvallarreglna

Notkun á gervigreind hjá Skattinum má flokka á mismunandi vegu. Við beitingu grundvallarreglna stefnunnar er mikilvægt að líta á hvernig bein notkun gervigreindarinnar snertir hina skráðu og einnig á hvaða hátt verkefnið getur verið viðfang sjálfvirknivæðingar. Í stuttu máli má skipta notkun sjálfvirknivæðingar í 5 verkefnasvið:

  1. Þekking og innsýn: Stuðningur við að yfirfara upplýsingar, rannsaka og læra
  2. Innri ferli: Stuðningur við ákvarðanir fyrir stjórnun og stjórnsýslu
  3. Val og meðferðarferli: Val og stuðningur fyrir málsmeðferð og stjórnun
  4. Sérsniðnar leiðbeiningar: Stuðningur fyrir notendaleiðbeiningar og meðmæli
  5. Stafrænt samræðuform: Þjónusta, hnipp (ýtingar) og ráð, lagað að hverjum og einum

Áhætta

Meta verður gervigreindartækni og þróun hennar samkvæmt því hver ásættanleg áhætta er á mismunandi sviðum Skattsins. Skatturinn styðst við þá flokkun áhættu sem kemur fram í reglugerð ESB um gervigreind:

  • Óásættanleg áhætta
  • Mikil áhætta
  • Takmörkuð áhætta
  • Lítil/engin áhætta

Þá geta aðrir þættir skipt máli við áhættumat, svo sem:

  • notkun gervigreindar getur haft áhrif á skattgreiðendur/notendur efnislega eða fjárhagslega
  • notkun gervigreindar getur snert á viðkvæmum málum eða réttindum hjá skattgreiðendum/notendum
  • notkun gervigreindar felur í sér ákvarðanatöku eða stuðning við ákvarðanir
  • notkun gervigreindar snertir stórt eða minna umfang skattgreiðenda/notenda.

4. Endurskoðun

Stefna þessi er endurskoðuð árlega af persónuverndarfulltrúa og gagnavísindadeild Skattsins.



[1] Stefnan okkar: https://www.skatturinn.is/um-rsk/embaettid/stefnan-okkar/

[2] Sjá skilgreiningu í 1. tl. 3. gr. reglugerðar ESB um gervigreind:

„'AI system' means a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions, that can influence physical or virtual environments.“ Oft er talað um þessi líkön sem „foundation models“

[3] Mannlegu eftirliti og stjórnun („human oversight“) er hægt að ná fram með stjórnunarkerfum sem byggjast t.d. á „human-in-the-loop“ (HITL), „human-on-the-loop“ (HOTL) eða „human-in-command“ (HIC). Sjá einnig 14. gr. reglugerðar ESB um gervigreind þar sem einnig er fjallað um kröfur um „human oversight“ fyrir gervigreindarkerfi með mikilli áhættu. 


Þessi síða notar vefkökur. Lesa meira Loka kökum