Grep for å ta styring over tek-gigantene

Er det ikke rart at når regjeringen sier de innfører regulering av sosiale medier, som å sette en aldersgrense, så er det ikke sosiale medier de regulerer – makten rettes i stedet mot egen befolkning. Sier ikke det veldig tydelig at det ikke finnes politisk makt til å endre teknologien? Som teknolog mener jeg teknologiutviklingen egentlig ikke er så vanskelig å styre, men forståelsen av makt i sosioteknologiske systemer må endres.

Regjeringens skjermbruksutvalg har nettopp levert sin rapport. Dette essayet er ikke en kommentar til den rapporten, men jeg vil gå løs selve begrepet «skjermbruk» som eksempel på hvordan samfunnet ikke klarer å forstå teknologi da begrepet avslører to store problemer i samfunnsdebatten: Den er så grunn at den ikke kan ta opp de viktigste problemstillingene og kunnskapsskjevheten mellom teknologiselskapene og samfunnet. Det utgjør en avgrunn man ikke kommer over.

Det er avgjørende at teknologisk innsikt kommer alle til del. Jeg har advart mot sentralisering av makt i mer enn 25 år, og møtte likesinnede da jeg ble første ansatte i Inrupt i 2018, et selskap startet av Tim Berners-Lee, som fant opp World Wide Web. Før det hadde jeg tatt min ph.d. i informatikk etter å ha arbeidet som utvikler i mange år, blant annet med sosiale medier. Det første halvannet året i Inrupt var godt, men så kom det inn et lag med mellomledere som ville drive selskapet slik teknologiindustrien for øvrig drives. Jeg har sett maktbruken fra innsiden. Jeg gikk så til et års stilling i Norad og fant et nytt hjem blant statsvitere.

En Failed State

Jeg ser på teknologiverdenen som en stor katastrofe, en «failed state» styrt av krigsherrer med milliarder av dollar, som ikke har noen forståelse for hvordan man skaper gode samfunn. Når samfunnet preges av en lav forståelse av teknologi, kan krigsherrene styre. Det må vi endre.

Begge deler av ordet «skjermbruk» er svært problematisk hvis man skal forstå hvordan man kan styre teknologiutviklingen.

Skjermen er det man i de fleste tilfeller ser. Det er der presentasjonen av mye teknologi skjer. Men skjermen i seg selv gjør nesten ingenting, den lager bare lysende prikker i rødt, grønt og blått. Den er styrt av et stort antall andre komponenter i form av maskinvare og programvare. Ved å snakke om skjerm blir samfunnsdebatten uhyggelig grunn. Vi er nødt til å etablere forståelse på et helt annet nivå, og jeg mener det bør være åpenbart at regulering i form av lov er kun én måte å etablere normer på: Det finnes blant annet kulturelle, religiøse og biologiske normer – og teknologiske normer.

Det er programvarebaserte komponenter som har de største normative effektene. Programvare er fullstendig menneskeskapt, med svært få teoretiske begrensninger, svært få ting man virkelig ikke kan gjøre. Man kan enkelt skrive et program som gjør 2+2 til 5. Men på den andre siden er man gjerne begrenset av et rammeverk, av infrastruktur, som setter sterke føringer på hvordan en bestemt oppgave skal løses. Slike valg tas ofte av andre enn utvikleren selv. Ofte er det motebølger eller strategiske avgjørelser bak slike valg.

Det betyr at de som kontrollerer denne infrastrukturen har svært mye makt. Men infrastruktur som ingen bruker gir ingen makt, så industrien bruker også store ressurser på å fange brukere, fra utviklere og opp til sluttbrukere. Makt kan derfor bygges i alle deler av systemet. Det er krevende å analysere nøyaktig hvor den oppstår. Det er også krevende å finne ut hvilke komponenter som har normative effekter, men dette er helt nødvendige aktiviteter hvis samfunnet skal få styring med teknologiutviklingen.

Hver eneste bit av programvaren er skapt av et menneske som har gjort et valg om hvordan den skal oppføre seg. En bruker, enten det er en enkeltperson, en stor bedrift eller en regjering, har liten eller ingen makt – makten sitter hos dem som utvikler teknologien. Som utvikler har også jeg gjort valg som jeg mener burde vært gjort etter demokratisk debatt. Og som utvikler kunne jeg like godt hatt et demokratisk mandat, snarere enn et kommersielt. Nesten ingen utviklere har i dag et demokratisk mandat, og det er en av hovedgrunnene til at samfunnet mislykkes med å styre teknologien.

Mislykket lovgivning

Jeg tror ikke mange er klar over i hvilken grad vi mislykkes med lovgivning. Ta for eksempel reklame som er basert på overvåkning av vår atferd. Jeg har lagd et system der jeg undersøkte i hvilken grad offentlige virksomheter, både forvaltning og offentlige selskaper, bidrar med data som brukes i slik reklame. Jeg fant at 95 prosent av dem driver med det, og det på tross av at personvernforordningen nå har vært norsk lov i seks år.

Samtidig som Datatilsynet vant en seier mot Meta i tingretten, brukte alle norske partier nettopp produktet som tingretten sa var ulovlig i valgkampen. Flere av avisene som på lederplass uttrykker at Meta og andre ødelegger samfunnet og journalistikken, er blant verstingene til å bruke systemene. Jeg tok også Europaparlamentet på fersken i å bryte egne lover. Dette er farlig informasjon, fordi det bekrefter et sentralt narrativ som ideologene i teknologiselskapene bruker: at vi trenger tjenestene deres og at vår bruk bekrefter at det er dem som har rett. Det er lovene som er illegitime.

Tek-gigantene er selvfølgelig klar over at lovene brytes i stort omfang og at det er en situasjon vi ikke kan leve med. Det vi ikke vil innse, er at de kan vente på lovendring som samsvarer med deres praksis. Det er dette som er deres «Endgame». Vi er ikke klare til å spille det spillet, og vi er i ferd med å tape.

EU og USA har hatt flere runder rundt det at amerikanske lover ikke gir beskyttelse til personidentifiserbare data slik europeisk lovgivning gjør gjennom GDPR. Takket være Snowden-avsløringene vet vi dessuten at USA ikke har vært til å stole på.

Det har vært flere legale rammeverk som har falt i European Court of Justice, sist 16. juli 2020 i den såkalte Schrems II-dommen, oppkalt etter en aktivist ved navn Max Schrems. Dette isolerte i praksis europeisk teknologi-industri fra amerikansk konkurranse, men tross enkelte forsøk har ikke europeisk industri klart å erstatte denne infrastrukturen.

I Norge skrev Digitialiseringsdirektoratet og Direktoratet for økonomistyring en veileder som ba offentlige virksomheter holde seg for nesen og skrive en risikovurdering.

Amerikanske og europeiske myndigheter kom under press fra både brukere og tilbydere, noe som gjorde at Biden-administrasjonen og EU-kommisjonen gjorde et fullstendig knefall for industrien. Amerikanerne opprettet en domstol med en illusorisk klagemulighet for europeiske borgere og EU godtok dette i EU–US Data Privacy Framework, selv om EU-parlamentet har uttrykt sterke reservasjoner.

I sin tale om avtalen angrep EU-kommisjonens Didier Reynders Max Schrems for det arbeidet de gjør med å bringe disse avtalene til domstolen. Dette bør gjøre tre ting tydelig:

1. EU-kommisjonen ser det ikke som sin oppgave å beskytte egen befolkning mot amerikansk masseovervåkning

2. Europeiske personvernmyndigheter er ikke i stand til å gjøre den jobben. Den er overlatt til ubetalte aktivister

3. Politikerne har ikke makt til å endre teknologien, og selskapene gjør ikke jobben selv om de blir isolert fra konkurranse og det er et åpenbart behov

Tek-gigantene vet at politikerne ikke har makt til å endre teknologien, men til å endre loven. Jeg var på et møte i EU-parlamentet med tittel European Digital Independence, der mange talere så dette problemet, men hvor parlamentarikeren Axel Voss fra European People's Party også mente at GDPR måtte vekk fordi den hindret utvikling. Tek-gigantene er i ferd med å vinne fordi makten ikke sitter i demokratiet.

Lovene er formulert under sterk kunnskapsskjevhet. Personvernforordningen GDPR har mye bra ved seg, men er så vag og lett å omgå at den ikke får ønsket effekt. Ekom-lovgivningen har blitt snudd mot seg selv. Den lovpålagte masingen om cookies har industrien brukt til å underminere samtykke som skranke mot utnyttelse. Digital Services Act (som Skjermbruksutvalget, tilsynsmyndighetene og andre eksperter setter sin lit til) har samme problemer som GDPR, og AI Act sin tilnærming med risikoklasser forutsetter at man har den dybdeforståelsen for risiko som per i dag kun kan sitte i teknologiselskapene. Data Act har gode intensjoner om interoperabilitet, men en paragraf forbyr den viktigste måten interoperabilitet har blitt oppnådd på hittil.

Kunnskapsskjevhetens kilde

Det er ikke vanskelig å forstå hvordan denne kunnskapskjevheten oppstår. Det er bare helt vanlig forretningsstrategi. Et vanlig rammeverk for forretningsstrategi kalles VRIO, der R står for «rare» og I for «Imperfectly imitable». For å lykkes må man ha et konkurransefortrinn, og teknologibedrifter er kunnskapsorganisasjoner. Det er helt kritisk for dem å bygge intern kunnskap som ingen andre har. Min erfaring er at programvare er nokså lett å imitere hvis man har riktig kunnskap og klare ideer, så derfor må selskapene være svært strategiske med eksklusiv kunnskap.

Som oftest er ikke dette et problem, tvert imot, ofte medfører det sunn konkurranse. Men når teknologiselskapene holder eksklusiv kunnskap om teknologi med sterke normative konsekvenser medfører det privatisert styring av samfunnsutviklingen som har skapt det uføret vi nå er i. Det gjør også at ansatte ikke har ytringsfrihet til å uttale seg om teknologiens betydning for samfunnet.

Dessuten mener industriens ideologer at deres overlegne teknologiske kunnskap gjør at de er best egnet til å styre samfunnet.

Tilsyn og rapportering

Lovgiver, spesielt EU, legger opp til et omfattende regime med rapportering og tilsyn, i håp om å gjøre det mulig å håndheve reguleringene.

Det vil mislykkes fordi utviklere kan legge inn kode som introduserer systematiske feil og som knapt nok kan oppdages. Da Ken Thompson fikk Turing-prisen («informatikkens Nobelpris») i 1984 foreleste han over en artikkel med tittel “Reflections on Trusting Trust”, der han konkluderer med at man ikke kan stole på noe man ikke har skrevet selv.

I Dieselgate la Volkswagen inn programvare for å jukse under testing av bilene. Selv om forskere hadde tilgang til koden og man visste hvilken effekt den hadde, tok det et år å finne jukset, uten at Volkswagen hadde brukt Thompsons teknikker.

Et tilsyn vil ikke finne juks hos leverandører man ikke allerede har tillit til. Et eksempel på hvor galt det kan gå er Post Office-skandalen, der over 700 mennesker ble uskyldig dømt for underslag på grunn av alvorlige feil i programvare levert av Fujitsu. Når et firma er villig til å gå over lik, har ikke tilsyn noe å stille opp med.

Et omfattende rapport-regime, slik flere av EU-lovene legger opp til, vil ikke være særlig nyttig. Det er åpenbart at industriaktører vil bruke generativ KI til formålet, og at man trener opp verktøyet til å utnytte kunnskapsskjevheten mellom industrien og myndighetene.

Alt er ikke negativt med lovene som utarbeides i disse dager. Personvernforordningen GDPR har seks prinsipper som er både viktige og riktige. Disse har alle vært tilstrebet av ansvarlige utviklere i mange år før loven kom og er bare blant en del andre prinsipper som er like viktige. Problemet har aldri vært mangel på forståelse av prinsipper, problemet er at de som ser seg tjent med å bryte prinsippene har mye mer makt enn dem som prøver å etterleve dem. Lovgiver tar ikke innover seg hvordan den makten oppstår, og lovene endrer derfor ikke denne maktbalansen.

Den åpenbare middelveien

Ytringsfrihetskommisjonen slo fast at Internett er en grunnleggende infrastruktur men eksemplifiserer samtidig den mest sentrale misforståelsen politikerne og mange ekspertutvalg har, når de skriver:

«Tjenester som leveres av selskap som Alphabet, Amazon og Meta, kan ses på som de nye jernbanelinjene i samfunnet. Å definere dem som leverandører av infrastruktur, betyr ikke at selskapene bør nasjonaliseres. Det betyr derimot at virkeområdet deres må reguleres.»

Et nasjonaliseringsprosjekt vil åpenbart være galt, men man vil mislykkes igjen og igjen hvis man ikke ser på alle mulighetene man har for å skape normer.

Open Source Software programvare er utviklet i fellesskap, ofte store med tusenvis av bidragsytere, ofte med konkurrerende virksomheter som samarbeider. Selv i lukkede systemer har studier vist at mesteparten av koden er i utgangspunktet åpen, selskapene har kun bygd strategiske komponenter oppå for å oppnå en konkurransefordel

Den skapende staten

Jeg tror ikke mer regulering gir svakere innovasjon. Det kan like gjerne følge av god regulering. Likevel er god regulering nesten umulig å lage så lenge kunnskapsskjevheten består. Lovgiver bruker store ressurser, men blir liggende på etterskudd med tekster som får svært liten innflytelse. Tilsynsordningen vil være ressurskrevende og gi falsk trygghet. Jeg har vært i referansegruppen for barns forbrukervern i digitale medier, men både som far og teknolog fant jeg at gruppen diskuterte stort sett irrelevante problemstillinger basert på en idealisert virkelighet som aldri kommer tilbake. Tilnærmingen fungerer rett og slett ikke.

Facebook var slutten på sosiale medier, ikke starten. Det var da alle kamper var tapt. Sosiale medier hadde potensial til å bli veldig bra for menneskeheten. Psykologen Martin Seligman forteller om et møte med tek-industrien i 2010 i sin bok “Flourish”, oversatt og lett omskrevet:

«Facebook kan faktisk være i gang med å bygge fire av elementene i well-being: positive følelser, engasjement, positive relasjoner og prestasjon. Det femte elementet må dere jobbe med, i det narsissistiske miljøet på Facebook haster det å bygge noe for å kjenne at man er med på noe større enn seg selv, finne en mening.»

Dette er noe vi kan klare! Sosiale medier er ikke skadelig fordi de bare har «blitt sånn», de har blitt skrevet av mennesker som ikke har noen forståelse for hvordan man skaper produkter som er gode for folk, og med en slik forståelse kan vi dyrke de sterke positive sidene.

To framstående økonomer er verdt å trekke fram: Nobelprisvinner Elinor Ostrom og Mariana Mazzucato. Det er ikke alle åpne systemer som forvaltes som gode økosystemer selv om det finnes 35 år med erfaring med styring av dem, men i Ostroms teori om allmenninger («Commons») er slik programvare «Public Goods», og med Ostroms teorier mener jeg det er mulig å styrke styringen av dem. Digital Commons oppstår når Open Source Software får gode styringsmodeller.

Mazzucato skriver om «The Entrenepeneurial State», og selv om jeg også ser svakheter ved analysen hennes gir den også gode og velbegrunnede eksempler på hvordan stater har lykkes med skapende virksomhet.

Å kjenne igjen «Technosolutionism»

En skapende stat må ikke henfalle til «technosolutionism». Teknologi er ikke en løsning på alle problemer, ei heller den viktigste ingrediensen. Det viktigste nå er å forstå hvordan teknologiselskapene bygger sin makt og forstå hvordan man balanserer den.

Men i dette arbeidet finnes en teknologisk komponent, som en del av arbeidet som må gjøres. Å innføre en aldersgrense og verifisere den gjennom en elektronisk id, slik regjeringen foreslår, er derimot technosolutionism. Her presenteres en enkel fiks som skal innføres i et system der man ikke har makt til å korrigere kursen. Derfor retter man makten mot egen befolkning, faktisk mot ofrene for dagens sosiale medier.

Dette er uetisk og vil føre til mer misbruk av våre data. Teknologi kan brukes som et virkemiddel i et frigjøringsprosjekt. Da kan den samme id-teknologien være god, men staten kan ikke frigjøre befolkningen ved å rette sin tvangsmakt mot oss.

Polysentrisk styring

Måten å få styring på er at stater oppretter en ny type tverrfaglig samfunnsinstitusjon, offentlig eide produktfokuserte stiftelser eller selskaper som utvikler Digital Commons med et demokratisk mandat. Det er nødvendig for å skape normer og for å balansere selskapenes makt. Dette blir ikke sentraliserte eller hierarkiske strukturer, men polysentriske, fordi det er så mange aktører som har legitime interesser.

En slik samfunnsinstitusjon må selv ha ekspertise til å finne ut hvordan ressursene best kan brukes til å gjenvinne demokratisk kontroll. Det fordrer også en viss uavhengighet, men ikke så stor uavhengighet som en allmennkringkaster, som er det den vil ligne mest på. Uten å foregripe for mye tror jeg at å inngå samarbeid med noen av aktørene som lager nye sosiale medier vil være en mulig vei å gå for å sikre at sosiale medier kan nå sitt positive potensiale.

De fleste utviklere liker å jobbe i åpne økosystemer. Det gir den største friheten til faktisk å innovere. Det har gjort at også teknologigigantene er blant de største bidragsyterne. Selv om jeg er svært negativ til tek-gigantene og tror at de vil falle sammen hvis vi etablerer alternativer, så vil det være rom for innovasjon fra større selskaper.

Den delen av programvare som må utvikles direkte av det offentlige, vil være nokså liten, fordi det vil inngå i mye større økosystemer. Vi teknologer vet allerede mye om hvordan vi kan gjøre vår bit. Den største innovasjonen må komme fra samfunnsviterne. De må finne ut av forholdet mellom staten og utviklingsinstitusjonene, hvordan man bygger bedre interne styringsstrukturer i prosjektene, hvordan detaljerte teknologiske valg påvirker befolkningen. Så må vi bli bedre til å snakke med hverandre.