AI och fintech – några legala aspekter

Nyligen arrangerades Sthlm Fintech Week, där Delphi närvarade. Under veckan diskuterades flera intressanta ämnen, däribland hur AI-teknik kan användas inom fintechbranschen. Det är därför av intresse att kort redogöra för några frågor som fintechbolag bör tänka på när de använder sig av AI-system i sin verksamhet.

Bakgrund

För att AI-teknik ska fungera som avsett krävs det tillgång till processorkraft och stora mängder data för träning och analys. Syftet med att använda AI-system är att AI-system självständigt ska kunna förbättra sin prestation, samt förhoppningsvis snabbare och bättre än en människa uppnå vissa uppställda mål, genom att analysera och hitta mönster i data.

Inom fintechbranschen kan AI-teknik användas på flera sätt och inom flera områden. Exempelvis kan AI-teknik användas för att ge finansiell rådgivning, besluta om och genomföra transaktioner, göra riskbedömningar av potentiella kunder, eller upptäcka misstänkt penningtvätt. Det är den mänskliga kreativiteten som sätter gränserna för vad som är möjligt att göra med AI-teknik.

Ett intryck vi tog med oss från Sthlm Fintech Week var optimismen bland talare och panellister kring AI-teknikens förmåga att göra finansmarknaden mer effektiv, mer lönsam och mer säker för såväl konsumenter som för kommersiella aktörer. Något som dock särskilt lyftes var behovet av strukturerad och samlad data för AI-system att analysera.

Med detta i åtanke tar vi här upp några av de frågor fintechbolag bör tänka på vid användning av AI-teknik. Fokus i detta inlägg ligger på betaltjänstleverantörer som tillhandahåller betalningsinitierings– och kontoinformationstjänster.

Tillgång till och rätt att använda data

Immaterialrättslig problematik

Utgångspunkten i svensk rätt är att data inte har något självständigt immaterialrättsligt skydd och data kan därför användas fritt av var och en som har den i sin besittning. Av detta skäl håller många företag data hemlig för att konkurrenter inte ska kunna använda den. Ett annat sätt att skydda data är att sammanställa den i en databas. Om databasen innehåller en stor mängd data eller är resultatet av en väsentlig investering kan databasen skyddas som en till upphovsrätten närstående rättighet enligt 49 § upphovsrättslagen (URL). Den som skapat databasen har då ensamrätt att bestämma vem som får framställa exemplar av databasen samt vem som får tillgängliggöra den för allmänheten. Databasskyddet i URL gäller för hela eller väsentliga delar av databasen. Delar av en databas som inte är väsentliga skyddas således inte enligt URL.

För att ett bolag ska få tillgång till data som kan matas in i ett AI-system krävs oftast att betaltjänstleverantören antingen samlar in data på egen hand, avtalar med andra företag om delning av data eller licensierar tillgång till en databas. Hur en betaltjänstleverantör får använda data som anskaffas från andra företag regleras i avtalet mellan parterna. Dock kan villkoren i ett datadelningsavtal eller en licens till en databas komma att begränsa betaltjänstleverantörens möjligheter att låta ett AI-system analysera denna data.

Open banking

Tillgång till stora mängder data ger vissa företag en enorm konkurrensfördel mot nystartade företag eller företag som inte har tillgång till data. Inom finanssektorn är det traditionellt de stora kreditinstituten som suttit på majoriteten av data om kunder, vilket gjort det svårt för nya aktörer att ta sig in på marknaden. Med det nya betaltjänstdirektivet (PSD2) har EU dock öppnat upp för att nya aktörer på marknaden – betaltjänstleverantörer – ska kunna komma åt kunddata som finns lagrad hos bankerna (open banking).

Den svenska lagen om betaltjänster (BTL) – som implementerar PSD2 – ger betaltjänstleverantörer rätt att få tillträde till betalningssystem och tillgång till kreditinstituts betalkontotjänster. Regleringen i BTL ger betaltjänstleverantörer rätt att komma åt uppgifter hos kreditinstitut som är nödvändiga för att utföra betalningsinitierings- och kontoinformationstjänster på betaltjänsteleverantörens kunders begäran. Uppgifter som betaltjänstleverantörer då kan få tillgång till är t.ex. uppgifter om kundernas kontohistorik och transaktionsdata som tillhör kundernas betalkonton. Enligt BTL får dock betaltjänstleverantörer inte initiera en betalning eller tillhandahålla kontoinformationstjänster utan kundens uttryckliga godkännande. Därutöver får betaltjänstleverantörer inte använda, ha tillgång till eller lagra uppgifter för andra ändamål än de som uttryckligen begärts av kunden. För att ett AI-system lagligen ska kunna analysera uppgifter som inhämtats med stöd av BTL krävs det således att betaltjänstleverantören förklarar ändamålen med inhämtningen av uppgifter och hur uppgifterna ska användas för sina kunder samt att kunden godkänner denna användning.

Dataskydd och GDPR

Om den data betaltjänstleverantören avser låta AI-systemet analysera innehåller personuppgifter blir EU:s dataskyddsförordning (GDPR) tillämplig. En personuppgift är förenklat varje upplysning som direkt eller indirekt kan identifiera en identifierbar fysisk person. Personuppgifter kan exempelvis vara namn, kontonummer och transaktionsdata.

Eftersom AI-system behöver analysera stora mängder data för att uppnå önskade resultat, är det naturligt att vilja använda så mycket data som möjligt för att ett AI-system ska kunna analysera den och nå goda resultat. Dock bör betaltjänstleverantörer besvara några GDPR-relaterade frågor innan data som innehåller personuppgifter hanteras vid användning av ett AI-system. Några centrala frågor som bör besvaras vid behandling av personuppgifter i en situation som denna är:

• huruvida betaltjänstleverantören har en laglig grund för behandlingen av personuppgifter enligt artikel 6 i GDPR;
• vad ändamålen med behandlingen är; och
• vilka personuppgifter betaltjänstleverantören behöver behandla samt hur länge behandlingen behöver ske för att kunna uppnå de angivna ändamålen.

Om behandlingen saknar laglig grund enligt artikel 6 i GDPR är den inte tillåten. Det är viktigt att ha i åtanke att godkännande från kunden enligt BTL inte i sig innebär att det finns en laglig grund för behandling av personuppgifter enligt GDPR för alla tänkbara ändamål. De lagliga grunder i artikel 6 i GDPR som en betaltjänstleverantör bör överväga är fullgörande av avtal, intresseavvägning och samtycke. Utgångspunkten enligt BTL är att uppgifterna som betaltjänstleverantören samlar in enbart får behandlas för att tillhandahålla de betalinitierings- eller kontoinformationstjänster kunden uttryckligen godkänt. Betaltjänstleverantören får då behandla kundens personuppgifter med grund i att det är nödvändigt för att fullgöra ett avtal för de ändamål som framgår av avtalet med kunden. För att behandling av personuppgifter för andra ändamål än de som kunden godkänt i avtalet med betaltjänstleverantören ska vara tillåten krävs att de nya ändamålen med behandlingen inte är oförenliga med de tidigare ändamålen, alternativt att en annan rättslig grund finns för att hantera personuppgifterna, exempelvis kundens samtycke.

Det är vidare viktigt att betaltjänstleverantörer tänker på att tydligt informera kunden om ändamålen för behandlingen samt om vilka kategorier av personuppgifter som ska behandlas om betaltjänstleverantören vill att ett AI-system ska analysera kundens personuppgifter. Detta bör i första hand ske i samband betaltjänstleverantörens avtal med kunden, exempelvis i tjänstevillkoren, samt i betaltjänstleverantörens integritetspolicy.

Processorkraft och outsourcing

Inköp av lagringsutrymme och processorkraft

För att AI-system ska kunna behandla och analysera stora mängder data krävs mycket processorkraft och lagringsutrymme. Det kan vara dyrt att köpa in, drifta och uppgradera denna processorkraft och det lagringsutrymme som krävs. Av detta skäl kan outsourcing av IT-driften till en extern leverantör eller en molntjänstleverantör vara aktuellt. För betaltjänstleverantörer gäller dock enligt 3 kap. 28 § BTL särskilda regler för outsourcing av verksamhet.

Bestämmelser om outsourcing i BTL

Enligt 3 kap. 28 § BTL ska betaltjänstleverantörer anmäla till Finansinspektionen (FI) om de uppdrar åt någon annan att utföra visst arbete eller vissa operativa funktioner som ingår i dess verksamhet med betaltjänster. Anmälningsplikten gäller dock inte när det gäller kontoinformationstjänster. Uppdrag åt någon annan att utföra sådana funktioner som är av väsentlig betydelse för betaltjänstverksamheten får, enligt BTL, bara ges om betaltjänstleverantören ansvarar för att:

1. verksamheten drivs av uppdragstagaren under kontrollerade och säkerhetsmässigt betryggande former; och
2. uppdraget inte väsentligt försämrar kvaliteten på betaltjänstleverantörens internkontroll och Finansinspektionens möjligheter att övervaka att betaltjänstleverantören följer de regler som gäller för verksamheten.

Förenklat är ett uppdragsavtal av väsentlig betydelse för verksamheten om ett fel eller en brist i funktionen väsentligt skulle försämra betalningsinstitutets förmåga att fullgöra sina skyldigheter enligt BTL, dess finansiella resultat eller sundhet eller kontinuiteten i betaltjänstverksamheten. För sådana uppdragsavtal finns ytterligare krav i FI:s föreskrifter i FFFS 2010:3 och i Europeiska bankmyndighetens (EBA) riktlinjer för outsourcing av bank- och finansverksamhet. Reglerna i FFFS 2010:3 är tillämpliga på betalinstitut och registrerade betaltjänstleverantörer medan EBA:s riktlinjer för outsourcing enligt FI är tillämpliga på kreditinstitut, värdepappersföretag, betalningsinstitut och institut för elektroniska pengar.

Outsourcing och AI-teknik

Avgörande för om kraven på outsourcingavtalet enligt FFFS 2010:3 blir tillämpliga eller inte är om processorkraft och lagring av data för ett AI-system är av väsentlig betydelse för betaltjänstverksamheten. För att avtalskraven i EBA:s riktlinjer om outsourcing ska bli tillämpliga ska den outsourcade funktionen vara kritisk eller viktig för betaltjänstverksamheten. Kriterierna ”av väsentlig betydelse för” och ”kritisk eller viktig funktion” liknar varandra väsentligen. Svaret på frågan om processorkraft och lagring av data för ett AI-system är av väsentlig betydelse, eller är en kritisk eller viktig funktion, för betaltjänstverksamheten beror på vilken funktion AI-systemet är ämnat att utföra. Desto viktigare AI-systemet är för betaltjänstleverantörens affärsverksamhet och verksamhet mot kunder, desto högre är sannolikheten att reglerna om outsourcing i FFFS 2010:3 och EBA:s riktlinjer för outsourcing blir tillämpliga.

Avslutande kommentar

Att använda AI-teknik vid tillhandahållande av betaltjänster väcker många intressanta frågor. Detta är dock snarare för framtida inlägg. Sammanfattningsvis kan dock sägas att betaltjänstleverantörer som vill använda AI-system i leveransen av tjänster bör säkerställa att de är med trygga i att följande frågor är hanterade:

• Hur får vi tillgång till data och har vi rätt att använda denna data som vi avser?
• Tillåter våra användarvillkor/kundavtal att vi använder kunduppgifter som vi avser?
• Har vi laglig grund för behandling av personuppgifter, är vår behandling ändamålsenlig och har våra kunder informerats om behandlingen?
• Måste vi meddela FI om outsourcing och måste våra avtal med IT- och molntjänstleverantörer uppfylla några regulatoriska krav?