Dataskydd i kris och krig – del 2: Personuppgifter och ny teknik som vapen, risk & möjlighet
Krig har alltid drivit fram ny teknik. Från radar till satelliter, från internet till drönare - militära behov i strid har ofta accelererat innovationen genom historien. Idag är det artificiell intelligens (AI) och biometriska system som står i centrum för utveckling av nutida krigföring. Utvecklingen har gått mot en allt mer hyperpersonlig krigföring genom att personuppgifter i stor skala kombineras med AI för militära ändamål. I detta blogginlägg går folkrätts- och dataskyddsjuristen Kristin Haselhofer in på aspekter av dataskydd i krig och kris och hur personuppgifter i kombination med ny teknik kan bli ett vapen i en väpnad konflikt.
Biometri som kontrollmedel
Biometriska system har blivit en central del av modern konflikthantering. NATO använde tidigt biometriska databaser i Afghanistan och Irak för att effektivt identifiera personer med koppling till terrornätverk. Det har historiskt också fungerat som ett sätt att identifiera stupade soldater genom fingeravtryck.
Ur ett militärt perspektiv innebär biometri generellt en garant för att fienden förlorar sin anonymitet. Genom att identifiera iris, fingeravtryck eller annan biometri kan man säkerställa personens identitet och därmed bestämma dess status i en väpnad konflikt och avgöra om personen är ett lagligt mål och därmed uppfylla sina skyldigheter enligt internationell rätt. Ur ett civilt perspektiv kan det dock innebära en massiv övervakning, ofta utan möjlighet att protestera eller förstå vad personuppgifterna används till. Väsentligt skiljt från hur fredstida dataskydd opererar och ett perspektiv som ännu inte belysts tydligt i internationell rätt.
AI som beslutsstöd och vapensystem
Ett aktuellt exempel på hur stora mängder insamlade data spelar stor roll i väpnade konflikter är Israels AI-verktyg ”The Gospel”, som använts för att välja ut mål i den väpnade konflikten mot Hamas. Genom att bearbeta stora insamlade datamängder kan systemet generera hundratals nya mål per dag, en dramatisk ökning jämfört med de manuella analyser som tidigare gjorts för att hitta ”lawful targets” och skilja civila från kombattanter[1] i strid. Liknande tekniker kan användas för att beräkna hur många civila som befinner sig i en byggnad inför en attack, där vapensystemet blir ett beslutsstöd och den mänskliga faktorn minimeras till att endast ta det slutgiltiga beslutet. Denna data kan i högsta grad vara ett sätt att säkerställa att attacker är lagliga och följer krigets lagar. Utvecklingen med ”human out of the loop” sker snabbt och den snabba utvecklingen pekar åt att den mänskliga faktorn i vissa hänseenden kommer ha spelat ut sin roll i vissa aspekter av krigföring. Kombinationen av smarta vapensystem och drönare möjliggör en nästan helt automatiserad process där data är nyckeln för att kunna utföra en attack mot rätt mål, vid rätt tid, på rätt plats.
Att använda automatiserade system kan vara ett sätt att minska civila skador och eliminera mänskliga fel. Med storskalig behandling kan beslutsstödsystem fatta mer korrekta beslut och risken för bias och mänskligt handhavandefel minskar. Ett viktigt perspektiv att ha i beaktande är dock att AI-beslut bygger på data som i sin tur löper risk att i något skede vara ofullständig, eller direkt felaktig. En algoritm som drar slutsatser från biometriska data kan exempelvis under vissa omständigheter riskera falska träffar, vilket kan leda till att fel mål pekas ut som lagliga och beskjuts. Här finns således en risk för kollision i användandet av personuppgifter och dataskyddsrättsliga principer.
Humanitära möjligheter – och risker
Tekniken har som alltid olika användningsområden vilket bör belysas i sammanhanget. Organisationer som Internationella Röda Korset (ICRC) ser stor potential i att använda biometrisk identifiering för humanitära syften, till exempel för att säkerställa rättvis fördelning av mat eller återförening av familjer där fingeravtryck och ansiktsigenkänning kan vara ypperliga identifieringsmetoder. Exempelvis har UNHCR nyttjat denna teknik i Uganda för identifiering av människor i flyktingläger. ICRC har ett pågående dataskyddsarbete som syns allt mer där just nyttan i humanitära aspekter lyfts fram och möjligheterna med ny teknik kan bli avgörande för att ge effektivt humanitärt stöd.
Likt tidigare nämnt bör det dock även för dessa tillämpningar tas höjd för att det är förenat med risker om data hamnar i fel händer, där historien har flera skräckexempel på vad priset kan bli när databaser med biometriska data hamnar i fel händer. För några år sedan rapporterades det om hur Talibangrupper tagit över biometriska system och kontrollmedel som lämnats kvar av USA i Afghanistan. Systemet HIDE, som samlade in iris-skanningar, fingeravtryck och annan biometrisk data för att registrera och kunna identifiera rebellkrigare. När talibanerna fick tag i databasen har den använts för att spåra personer med koppling till den amerikanska militären. Exemplet demonstrerar riskerna med att behandla känsliga personuppgifter och det yttersta priset för vad som kan hända när uppgifterna hamnar i fel händer. Något som samlats in för goda ändamål, såsom vård eller hälsa, kan även användas för fientliga ändamål under andra omständigheter. Förr eller senare kan situationer uppstå där makten i vårt land utövas av aktörer utan respekt för demokratiska principer. I ett sådant scenario finns en påtaglig risk att register och biometriska uppgifter, som i dag används för legitima syften, istället kan vändas mot den egna befolkningen.
Rättsliga gråzoner
Internationell rätt och sedvanerätten bygger på Genèvekonventionerna från 1948, regelverket är därför inte i alla avseenden kapabelt att adressera moderna hot såsom AI-användning. Internationell rätt ger således inte några särskilda regler för AI eller biometri i krig. Däremot kan redan existerande regler, exempelvis kravet på juridisk granskning av nya vapen i det första tilläggsprotokollet Artikel 36 tolkas som att även integritetsrisker bör bedömas innan nya system används. I likhet med konsekvensbedömningen som återfinns i GDPR skulle kravet på juridisk analys kunna innehålla aspekter av dataskydd och proportionalitet. Det är en tolkning som ännu inte fått fullt genomslag, men som kan bli avgörande framåt i takt med att frågan om juridiken, personuppgifter och AI blir allt mer aktuell i väpnade konflikter. Vidare väcks frågor som - kan AI någonsin bli klassat som ett vapen eller är det snarare att betrakta som ett vapensystem?
Avslutning
Sammantaget innebär användandet av ny teknik i väpnade konflikter att dataskydd blir viktigare än någonsin. Biometri och AI har gjort personuppgifter till en strategisk resurs i krig, med kraft att både skydda och skada. Samma system som kan minimera civila skador med goda intentioner kan också legitimera övervakning och användas för att övervaka, kontrollera och i värsta fall möjliggöra storskalig övervakning med fatala konsekvenser om fel person attackeras på grund av felaktiga data eller om demokratiska fri- och rättigheter begränsas. Det är inte otänkbart att en databas som byggs upp för att tjäna ett gott syfte för Sveriges invånare i andra händer kan utgöra ett potentiellt mycket stort hot.
Dataskyddsjurister möts ibland av inställningen att dataskydd inte är så viktigt och att det är en compliancefråga, men i perspektiv av säkerhet, krig och AI så blir det oerhört mycket mer än så. För när personuppgifter blir en del av vapensystemen måste dataskydd ses som en del av totalförsvaret. Att värna integritet och rättssäkerhet i krig är inte bara en juridisk skyldighet, utan jag menar att det är en nödvändighet för att ytterst bevara mänskliga rättigheter i en tid av automatiserad och hyperpersonell krigföring.
I den tredje delen av bloggserien går vi in på temat: Cybersäkerhet som försvar.
1. En kombattant är en person som är en medlem av en krigförande parts väpnade styrkor och har rätt att delta i strid enligt internationell folkrätt.
Länkar
International review of the ICRC, A Guide to the Legal Review of New Weapons, Means and Methods of Warfare: Measures to Implement Article 36 of Additional Protocol I of 1977, (Volume 88 Number 864, International Committee of the Red Cross Geneva, 2006)
ICRC, 'What You Need to Know About Artificial Intelligence in Armed Conflict' (International Committee of the Red Cross, 2023). Läs på ICRC.
UNODC, Privacy and intelligence gathering in situations of armed conflict, 2018.
Läs på UNODC.
Davies, H., McKernan, B., Sabbagh, D., 'The Gospel: How Israel Uses AI to Select Bombing Targets' (1 December 2023) The Guardian. Läs på The Guardian.
Hood, Laura. The Taliban may have access to the biometric data of civilians who helped the U.S. military. Läs på The Conversation.
UNHCR, the UN Refugee Agency. Uganda starts biometric refugee verification by UNHCR. Se på Youtube.
