Erstatningsansvar for autonome AI-agenter handler om at placere det juridiske ansvar, når en AI, der handler selvstændigt, forårsager skade. Det er et komplekst juridisk felt, da traditionelle ansvarsregler udfordres, når en ikke-menneskelig aktør træffer den skadevoldende beslutning.
De grundlæggende principper for erstatningsansvar
I dansk ret er udgangspunktet for erstatningsansvar “culpa-reglen”. Det betyder, at en person eller virksomhed kun er ansvarlig for en skade, hvis de har handlet uagtsomt eller forsætligt. For at placere et ansvar skal skadelidte altså bevise, at en part har begået en fejl.
Dette princip udfordres af autonome AI-systemer. Hvis en AI-agent træffer en selvstændig beslutning, der fører til skade, kan det være vanskeligt at pege på en specifik menneskelig fejl. Handlingen er udført af systemet, ikke direkte af en person.
I visse tilfælde gælder et “objektivt ansvar”, hvor en part er ansvarlig uanset skyld. Dette ses f.eks. i færdselsloven for motorkøretøjer. Diskussionen går på, om visse typer af højrisiko-AI bør underlægges en lignende form for objektivt ansvar, så den, der bringer teknologien i anvendelse, også bærer risikoen.
Denne juridiske usikkerhed betyder, at virksomheder, der udvikler eller anvender AI-agenter, navigerer i et landskab, hvor de traditionelle regler ikke altid giver et klart svar.
Hvem kan holdes ansvarlig?
Når en autonom AI-agent forårsager skade, er der flere parter, hvis ansvar kan komme på tale. Ansvarsplaceringen afhænger af de konkrete omstændigheder, men de primære kandidater er typisk de samme.
Det er sjældent, at ansvaret kan placeres ét enkelt sted. Ofte vil der være tale om et komplekst samspil mellem de forskellige aktørers roller og handlinger.
Følgende parter kan potentielt blive draget til ansvar:
- Brugeren: Den person eller virksomhed, der anvender AI-agenten til at udføre en opgave. Ansvaret kan opstå, hvis brugeren har konfigureret systemet forkert, ignoreret advarsler eller anvendt det til et formål, det ikke var designet til.
- Udvikleren: Den virksomhed, der har designet og programmeret AI-agentens algoritmer. Ansvaret kan blive aktuelt, hvis der er fejl i koden, utilstrækkelige sikkerhedsforanstaltninger eller hvis systemet er designet på en uforudsigelig og farlig måde.
- Ejeren/operatøren: Den part, der ejer systemet og stiller det til rådighed, f.eks. en platformudbyder. Deres ansvar kan relatere sig til mangelfuld vedligeholdelse, opdatering eller overvågning af AI-systemet.
- Data-leverandøren: Hvis AI-agenten er trænet på data af dårlig kvalitet, som er biased eller direkte forkerte, kan den, der har leveret dataene, i visse tilfælde ifalde et ansvar.
Udfordringen med autonomi og “black box”-problemet
Autonomi er kernen i en AI-agents funktion, men det er også den største juridiske udfordring. En agents evne til at handle uden direkte menneskelig instruks i realtid gør det svært at fastslå, hvem der traf den afgørende, skadevoldende beslutning.
Mange avancerede AI-modeller, især inden for deep learning, fungerer som en “black box”. Det betyder, at selv udviklerne ikke fuldt ud kan redegøre for, hvorfor systemet nåede frem til en bestemt konklusion eller handling. Man kan se input og output, men den præcise beslutningsproces er uigennemskuelig.
Denne manglende gennemsigtighed gør det næsten umuligt at løfte bevisbyrden under den traditionelle culpa-regel. Hvordan beviser man, at en udvikler har handlet uagtsomt, hvis ingen kan forklare, hvorfor systemets teknologi og algoritmer fejlede? Dette skaber et potentielt “ansvars-tomrum”.
I praksis ser vi ofte, at virksomheder forsøger at imødekomme dette ved at implementere omfattende logning af systemets adfærd. Selvom det ikke altid kan forklare “hvorfor”, kan det i det mindste dokumentere “hvad”, der skete, hvilket kan være afgørende i en retssag.
EU’s AI Act og dens betydning for ansvar
EU’s AI Act er et forsøg på at skabe klare rammer for udvikling og anvendelse af kunstig intelligens. Forordningen adresserer ikke erstatningsansvar direkte, men den har stor indirekte betydning ved at fastsætte pligter for udbydere og brugere af AI-systemer.
AI Act inddeler AI-systemer i risikokategorier. For “højrisiko-systemer”, som f.eks. AI i kritisk infrastruktur, medicinsk udstyr eller rekruttering, stilles der skrappe krav. Disse systemer skal blandt andet have høj datakvalitet, teknisk dokumentation, logning af hændelser, menneskeligt tilsyn og høj robusthed.
Hvis en udbyder af et højrisiko-system ikke overholder disse krav, og systemet efterfølgende forårsager skade, vil det være langt lettere for en skadelidt at argumentere for, at udbyderen har handlet uagtsomt. Overtrædelse af AI Act kan dermed blive et centralt element i en erstatningssag.
Forordningen skaber en standard for, hvad der anses for at være “god praksis”. Virksomheder, der følger reglerne, står juridisk stærkere, mens de, der ignorerer dem, påtager sig en betydelig juridisk og finansiel risiko.
Produktansvarsdirektivet i en AI-kontekst
Parallelt med AI Act har EU revideret produktansvarsdirektivet for at tilpasse det til den digitale tidsalder, herunder AI. Den traditionelle definition af et “produkt” har primært omfattet fysiske genstande, hvilket har skabt tvivl om, hvorvidt software og AI-systemer var dækket.
Med de nye regler bliver det slået fast, at software, herunder AI-systemer, betragtes som produkter. Det betyder, at hvis en AI-agent har en “defekt”, og denne defekt forårsager skade, kan producenten holdes ansvarlig under reglerne for produktansvar.
Dette er en væsentlig ændring, da produktansvar er et objektivt ansvar. Skadelidte skal ikke bevise, at producenten har handlet uagtsomt. Det er tilstrækkeligt at bevise, at produktet var defekt, at der er sket en skade, og at der er en årsagsforbindelse mellem defekten og skaden.
For AI-systemer kan en “defekt” f.eks. være manglende cybersikkerhed, forudsigeligt forkerte output eller manglende opdateringer fra producentens side. Dette skærper ansvaret markant for udviklere af AI-agenter.
Praktiske eksempler på ansvarssituationer
For at gøre det komplekse emne mere konkret kan man forestille sig en række scenarier, hvor ansvaret for en AI-agents handlinger kommer i spil.
En virksomhed bruger en AI-agent til dataanalyse og rapportgenerering på aktiemarkedet. Agenten fejlfortolker et signal og foretager en række handler, der fører til et stort økonomisk tab. Her vil man undersøge, om brugeren satte for risikable parametre, eller om udviklerens algoritme var fejlbehæftet og ustabil.
Et hospital implementerer et AI-system til at analysere røntgenbilleder. Systemet overser en kræftknude, hvilket forsinker patientens diagnose og behandling. Ansvaret kan ligge hos udvikleren, hvis systemet ikke levede op til den lovede præcision, eller hos hospitalet, hvis personalet stolede blindt på AI’en uden at foretage den påkrævede menneskelige kontrol.
En autonom leveringsdrone, styret af en AI-agent, mister orienteringen på grund af en softwarefejl og styrter ned i en parkeret bil. Her vil fokus sandsynligvis være på producentens produktansvar, da dronen som produkt var defekt.
Forsikring mod skader forårsaget af AI
Den stigende brug af autonome systemer har skabt et nyt marked for forsikringer. Virksomheder kan ikke længere udelukkende forlade sig på traditionelle erhvervs- og ansvarsforsikringer, da disse ofte ikke dækker skader forårsaget af AI-systemers selvstændige handlinger.
Specialiserede AI-forsikringer er begyndt at dukke op. Disse policer er designet til at dække de unikke risici, der er forbundet med kunstig intelligens, herunder økonomiske tab, tingskade og personskade som følge af AI-fejl.
Forsikringsselskaberne er dog selv ved at lære, hvordan de skal prissætte disse risici. Vurderingen afhænger af faktorer som AI-systemets kompleksitet, graden af autonomi, kvaliteten af de anvendte data og de sikkerhedsforanstaltninger, virksomheden har implementeret.
For en virksomhed, der anvender AI, er det afgørende at have en tæt dialog med sit forsikringsselskab for at sikre, at dækningen er tilstrækkelig. Det er vores erfaring, at mange virksomheder undervurderer de potentielle økonomiske konsekvenser af en AI-fejl og derfor er underforsikrede.
Ansvarsplacering i praksis for danske virksomheder
For danske virksomheder, der udvikler eller anvender AI-agenter, er det afgørende at forholde sig proaktivt til ansvarsspørgsmålet. Selvom lovgivningen stadig er under udvikling, er der flere skridt, man kan tage for at minimere sin juridiske risiko.
Først og fremmest er dokumentation centralt. Det gælder alt fra valg af model og træningsdata til testprocedurer, risikovurderinger og logning af systemets drift. Denne dokumentation er afgørende for at kunne bevise, at man har handlet ansvarligt, hvis en skade skulle ske. Det er en central del af de krav, som EU’s AI Act stiller til højrisiko-systemer.
En anden vigtig faktor er gennemsigtighed over for brugerne. Kontrakter og brugerbetingelser bør klart og tydeligt beskrive systemets formåen, dets begrænsninger, og hvordan man afgør, hvornår det giver mening at bruge en AI-agent. Ansvarsfraskrivelser kan have en vis effekt, men de kan ikke fjerne et objektivt produktansvar.
Endelig er implementering af menneskeligt tilsyn afgørende, især i højrisiko-anvendelser. At have en procedure, hvor et menneske kan gribe ind, overvåge eller godkende en AI-agents beslutninger, kan være forskellen på, om en fejl opdages i tide, og om virksomheden kan siges at have handlet uagtsomt.