Dette er tredje indlæg i min miniserie med overskriften “Stigende regulering af tech”. Det første indlæg beskrev den aktuelle “techlash”-bølge og deraf følgende polisk fokus på regulering af tech. Det næste indlæg så på regulering af tech i et historisk perspektiv. I dette indlæg er fokus på EU's stadigt stigende rolle i relation til regulering af diverse former for tech, såvel indenfor og udenfor EU's grænser.
Nye industrier og teknologier bliver reguleret i takt med deres betydning for samfundet
Som også nævnt i de forrige indlæg, er det ikke tilfældigt, at det netop er i disse år, at vi ser et stigende fokus på regulering af tech. Den toneangivende techguru Benedict Evans udtrykker det på følgende måde:
"Technology was a small industry until very recently. It was exciting and interesting, and it was on lots of magazine covers, but it wasn‘t actually an important part of most people’s lives. When Bill Gates was on every magazine cover, Microsoft was a small company that sold accounting tools to big companies. When Netscape kicked off the consumer internet in 1994, there were only 100m or so PCs on earth, and most of them were in offices. Today 4bn people have a smartphone - three quarters of all the adults on earth. In most developed countries, 90% of the adult population is online."
Med andre ord: Tech-industrien gennemgår præcis samme udviklingstrin som bil-industrien, mediebranchen, den finansielle sektor mv. har gjort:
EU sætter dagsordenen
I 2019 lancerede EU Kommissionen en ny overordnet strategi under overskriften "The Digital Decade”, og der bl.a. havde følgende budskab:
"The Commission is determined to make this Europe's “Digital Decade”. Europe must now strengthen its digital sovereignty and set standards, rather than following those of others – with a clear focus on data, technology, and infrastructure."
Det handler om regulering, men det handler også om fælles strategier og investeringer, fx i relation til “High Performance Computing” (HPC), med en udtrykkelig ambition om at have den første kvanteaccelererede computer (Quantum Computing) inden 2030. Et andet eksempel er “Edge Computing” (= lokal cloud-infrastruktur til gavn for fx selvkørende biler, Smart Farming, Manufactoring-as-a-Service mv), hvor EU har en ambition om at nå “10,000 climate neutral highly secure edge nodes (that will allow data processing at the edge of the network)” i EU inden 2030. For nogle uger siden offentliggjorde Kommissionen et “Digital Compass”, hvor man kan læse mere om strategier for de konkrete teknologier.
Digital Sovereignty
EU laver altså tech-regulering på højtryk, og der er særligt ét begreb, som går igen i EU's mange reguleringsinitiaitver: "Digital Sovereignty". Begrebet dækker over mange forskellige aspekter, men særligt tre skal fremhæves her:
Innovation med respekt for grundrettigheder:
Som en generel overskrift på såvel lovregulering fra EU og EU-Domstolens praksis, er det værd at fremhæve, at EU høj grad lægger vægt på "forfatningen" (det såkaldte "EU's Charter om Grundlæggende Rettigheder"). Det er ikke en tradition vi har i Danmark, hvor forfatningen spiller en meget lille rolle i praksis. Det er således uundgåeligt, at rettigheder såsom privatlivsbeskyttelse og beskyttelse af personlige oplysninger (artikel 7 og 8 i charteret) vil få en langt mere fremtrædende rolle, når det er EU, der sætter dagsordenen, end hvis det havde været danske politikkere, der var i førersædet.
Til illustration kan nævnes, at et parlamentsmedlem i forbindelse med en høring om EU's digitale strategier spurgte Margrete Vestager (som er ledende næstformand af Kommissionen) om man i EU ville satse på innovation eller på beskyttelse af grundrettigheder, hvortil hun svarede:
“Maybe it’s important that you want to achieve both and not see it as contradictions. Because I don’t think that all innovation is good innovation... There is innovation where we say “Thank you but no thank you”. The kind of innovation that we want is the kind of innovation that is built on procedures and... where we feel comfortable that it is made in a proper way."
Digitale platforme:
Der har de seneste år været meget fokus på de negative sider af digitale platforme, herunder sociale medier. Mange lande rundt om i verden vedtager i disse år regler rettet mod disse platforme, og i EU har man allerede vedtaget ét regelsæt (Platform-to-business forordningen) og flere er på vej, fx. Digital Services Act og Digital Markets Act. EU-Kommissionens Thierry Breton opsummerer målsætningen med reglerne på følgende måde:
"We need to set the rules of the game and organize the digital space with clear rights, obligations and safeguards. We need to restore trust in the digital space. It is a matter of survival for our democracies in the 21st century.... What is illegal offline should also be illegal online."
Cloud og data-infrastruktur baseret på EU-regler:
Et af mine tidligere blogindlæg havde overskriften “Er vi på vej mod en EU Cloud?”, bl.a. under henvisning til Schrems II-dommen og Gaia X-projektet. Nogle måneder senere er jeg overbevist om at svaret er “Ja”. Ikke fordi Schrems II-dommen betyder, at vi aldrig mere kan bruge US-cloududbydere, og heller ikke fordi jeg er sikker på, at Gaia X-projektet (eller det det parallelle "Nextcloud-projekt" bliver en bragende succes.
Der er således en række andre EU-initiativer, som trækker dataudnyttelse og hele cloud-branchen i en mere EU-orienteret retning. Et stort skridt i denne retning blev taget med det forslag til Data Governance Act, der blev fremsat i november 2020. Dernæst varslede Kommissionen i data-strategien fra sidste år, at vi i 2022 kan forvente at have en samlet “EU Cloud Rule Book” klar bestående af bl.a. adfærdskodekser, et kommende "”Cybersecurity Certification Scheme for Cloud Services” samt "development of common European standards and requirements for the public procurement of data processing services."
"The Brussels Effect"
Jeg har efterhånden brugt mange timer på at sætte mig ind i, hvordan hhv. EU-lovgivere og danske lovgivere arbejder med disse områder, og min foreløbige konklusion er, at vi skal være glade for at EU har taget teten ift. regulering af nye teknologier. EU går altid grundigt til værks, og de fleste tiltag er således baseret på langsigtede strategier, omfattende forarbejde, dialog med berørte brancher og en fornuftig balance mellem lovregulering og "selvregulering", fx i form af standarder, certificeringer, adfærdskodekser mv.
Tager man et område som data-økonomien som eksempel, så har EU i de seneste 10 år udarbejdet en række strategier, analyser, høringer, konkrete lovforslag, evalueringer osv. På denne tidslinje findes en opsummering af de væsentligste tiltag. I det sidste års tid er resten af verden også ved at vågne op og har fået fokus på regulering af data, og alt tyder derfor på, at vi i EU kan udnytte et stort forspring.
Det er formentlig også denne grundige tilgang, der er årsagen til, at EU i stigende grad har held med at “eksportere” sine værdier og principper til resten af verden, særligt når det gælder regulering af tech.
Anu Bradford, en professor fra Columbia University, skrev i 2019 bogen “The Brussels Effect”, hvori hun dokumenterer, at resten af verden i stigende grad følger i EU’s fodspor når det gælder lovregler og regulering. Med andre ord: Selvom EU sjældent er “first mover” når det gælder udviklingen af nye teknologier, så er vi det ofte, når det gælder reguleringen af samme. Forfatteren fremhæver flere områder i sin bog, og et af dem er databeskyttelse: EU har siden 1990’erne arbejdet på at få resten af verden til at respektere de grundlæggende principper vi i EU altid har baseret vores databeskyttelsesregler på, men det var først med vedtagelsen af GDPR, og det medfølgende bødeniveau, at der for alvor begyndte at komme skub i tingene. Og sidste år kom der så en vis afgørelse fra EU-Domstolen, som gav endnu en booster til opmærksomheden, ikke mindst i USA...
Der har været meget kritik af GDPR (og noget af det er også berettiget), men det kan ikke diskuteres, at EU er lykkedes med at få sat databeskyttelse på den globale dagsorden.
Det er langt fra alle, der er begejstrerede for EU’s tilgang, og særligt USA konflikter den med en tradition for at lade tech-branchen gøre mere eller mindre som det passer den. Men ifølge Anu Bradford har EU, bevidst eller ubevidst, fundet en opskrift på at få indflydelse i det ellers så egenrådige land:
Step 1: Tving US-techgiganter til at overholde EU’s regler og principper, hvis de vil sælge til EU-kunder.
Step 2: De store Tech-giganter er baseret på strømlinet stordrift, så det er billigere for dem at overholde GDPR og andre regler i hele verden end at have forskellige løsninger til forskellige markeder.
Step 3: De mest progressive US-stater hører om de rettigheder EU’s borgere får (bl.a. fordi mange af dem arbejder hos tech-giganter, som er tvunget til at sætte sig ind i reglerne), og derfor kræver de handling fra deres lokale politikere, hvilket indtil nu har ført til lovkrav om privatlivsbeskyttelse og Cybersikkerhed i stater såsom Californien, Washington og Oregon og med flere på vej.
Step 4: De store tech-giganter bliver trætte af både at forsøge at overholde EU’s regler og et kludetæppe af forskellige krav på statsniveau, og bruger derfor deres lobbyisme-milliarder på at forsøge at få indført ensartede nationale regler med EU som forbillede.
Ovenstående, kombineret med Schrems II-sagen, har ført til, at opbakningen til indførelse af nationale regler for privatlivsbeskyttelse i USA aldrig her været større.
Tiden må vise, hvor mange regler der rent faktisk bliver vedtaget rundt om i verden med EU som forbillede. Men allerede nu kan vi se, at EU’s klare signaler er blevet hørt af tech-branchen, som de seneste år har iværksat en række selvreguleringstiltag med tydeligt fokus på at leve op til EU’s regler og principper. Som Brad Smith, President og CLO hos Microsoft udtaler i hans bog “Tools and weapons”;
“The Tech-sector cannot address these challenges by itself. The world needs a mixture of self regulation and legislation.”
Denne erkendelse er efterhånden gået op for de fleste store tech-virksomheder, og derfor ser vi omfattende opbakning til initiativer såsom Contract for The Web, The Cyber Accord, Partnership on AI, Cloud Security Alliance Code of Conduct for GDPR Compliance samt Gaia X. Og vi har set de store tech-giganter konkurrerere om at lave privatlivsfremmende tiltag, senest i form af Google "FloC" og Apples spritnye "App Tracking Transparency"-opdatering.
Til sidst er det også værd at bemærke, at selv USA’s kongres anerkender EU’s stigende globale indflydelse på digitale teknologier: I en rapport fra marts 2021 med overskriften “EU Digital Policy and International Trade” anføres bl.a. at:
”In the absence of U.S. or international action, the EU could be setting de facto global rules or standards. For example, when the EU adopted the GDPR, some U.S. companies found it easier and cheaper to apply GDPR protections to all users worldwide rather than maintain different policies for users in different countries. Companies could take the same approach to implementing changes required by new EU rules such as in the DSA or DMA. U.S. policymakers, the private sector, and civil society organizations are therefore voicing their opinions as the EU considers its various technology and digital initiatives...
Like some countries who see EU rules as models worth imitating, individual U.S. states could decide to copy, in part or in whole, the EU rules, leading to greater fragmentation in the U.S. market. For example, California’s privacy legislation is based in part on the EU’s GDPR, and Virginia enacted similar, though less comprehensive, privacy legislation. Maryland approved a tax on the revenue from digital advertisements, in part inspired by European digital service taxes. These examples demonstrate the influence that new EU rules on the digital market could have on U.S. state regimes...
With no multilateral rules on many of the digital issues the EU seeks to address, new EU rules may effectively set new de facto global standards, as firms and organizations strive for compliance to avoid being shut out of the EU market or penalized, and as other countries replicate the EU rules. Such developments could limit U.S. influence in future trade or standards negotiations. Congress may examine the EU proposals and engage the Biden Administration to help shape U.S. positions and responses...”
Hvor er Folketinget henne?
EU er således i disse år ved at lægge fundamentet for regulering af den digitale verden og moderne teknologier, som vil komme til at præge tech-industrien i mange år frem.
Søren Gade har kaldt EU for en "sulten baby" under henvisning til, at flere og flere forhold med tiden bliver reguleret i EU fremfor af danske politikere. Der er ingen tvivl om, at Søren Gade har ret i sit postulat, når det gælder digitale teknologier.
Søren Gades budskab i det omtalte interview var, at politiske beslutninger bør træffes i Danmark fremfor i EU. Der er mange holdninger til dette spørgsmål, men under alle omstændigheder giver det vel kun mening at overlade opgaven til danske politikere, hvis de har tilstrækkelig indsigt og fokus og muskler til at løfte opgaven. Og det tvivler jeg personligt er tilfældet for Danmark, når vi taler regulering af digitale teknologier.
Som også påpeget af Erhvervsministeriet i 2019, nytter det ikke noget, at vi i Danmark bliver ved med at klappe os selv på skulderen over, at vi har en af verdens mest digitalisererede offentlige sektorer, når fremtidens teknologier hedder Cloud, Edge, Big Data, AI, IoT, Blockchain, Quantum Computing mv. Jeg tilslutter mig derfor koret af folk, som efterspørger mere fokus på regulering af tech fra danske politikkere.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
