스웨덴 사회보험청(Försäkringskassan), AI 'VAB' 부정 사용 의혹 감사
스웨덴의 사회보험청(Försäkringskassan)이 자녀 간호 수당(VAB, Vård av barn) 관련 부정 사용을 감시하기 위해 사용한 인공지능(AI) 시스템이 특정 집단을 차별했다는 의혹이 제기되어, 스웨덴 데이터보호청(Integritetsskyddsmyndigheten, IMY)의 감사를 받게 되었습니다. 이 시스템은 여성, 외국 출신 부모, 저소득층을 불리하게 대우한 것으로 밝혀졌습니다.
배경 및 조사 결과
스웨덴 일간지 Svenska Dagbladet(SvD)와 탐사보도 매체 Lighthouse Reports의 공동 조사에 따르면, 사회보험청은 VAB 부정 사용 감지를 위해 비밀리에 개발된 수학적 위험 모델을 사용했습니다. 이 시스템은 AI를 활용하여 VAB 수당 신청자의 위험도를 평가하고, 부정 사용 의심자를 선별했습니다. 그러나 조사 결과, 이 시스템이 여성, 외국 출신 부모, 저소득층을 중심으로 차별적인 결과를 초래한 것으로 나타났습니다.
IMY의 감사 및 조치
IMY는 개인정보 보호 및 처리에 관한 규정인 GDPR(General Data Protection Regulation, 일반 개인정보 보호법)에 따라 사회보험청의 VAB 관련 시스템 운영의 적절성을 감사할 예정입니다. IMY의 법률가인 나디아 잔드푸르(Nadja Zandpour)가 감사를 이끌며, 사회보험청에 정보 제공을 요구했습니다. IMY는 시스템의 개인정보 처리 방식과 GDPR 준수 여부를 중점적으로 조사할 계획입니다.
잔드푸르(Nadja Zandpour)는 “이번 감사는 많은 개인에게 영향을 미칠 수 있는 사안입니다. 저희는 SvD의 기사 및 기타 보고서를 검토한 후, 사회보험청에 정보 요청을 보냈습니다. 기관 내에서 이 작업이 어떻게 진행되는지, 개인 정보가 처리되는지, 그렇다면 어떻게 처리되는지 파악하고자 합니다.”라고 밝혔습니다.
감사 범위 및 한계
IMY는 사회보험청의 VAB 관련 시스템만을 감사하며, 시스템이 특정 집단을 차별한 이유에 대한 조사는 진행하지 않습니다. 즉, 여성들이 불리하게 대우받은 이유 등은 감사 대상이 아닙니다. IMY는 사회보험청의 답변을 검토한 후, 추가 질문을 하거나 시정 명령, 제재금 부과 등의 조치를 취할 수 있습니다.
사회보험청의 입장
사회보험청은 IMY의 감사에 대해 “저희는 개인 정보를 올바르게 처리하고 GDPR을 준수하기 위해 최선을 다하고 있습니다. 저희의 운영 방식에 의문이 있다면 IMY가 질문하는 것을 환영합니다.”라는 입장을 밝혔습니다.
추가 정보
IMY는 2025년까지 AI 활용 시스템 및 개인정보 처리에 대한 감사를 우선적으로 진행할 계획이며, 이번 사회보험청 감사는 그 일환입니다. 사회보험청은 8월 22일까지 IMY의 질문에 답변해야 하며, 답변의 기밀 유지는 어려울 것으로 예상됩니다.
Granskas av myndighet efter vab-avslöjandet Försäkringskassans fuskjagande AI-system för kontroll av vab har missgynnat mammor.
Det kunde SvD och grävorganisationen Lighthouse Reports visa.
Nu ska Integritetsskyddsmyndigheten granska kassans kontroller.
Myndigheten IMY ska se till så att dina personuppgifter skyddas och behandlas korrekt.
SvD och Lighthouse Reports kunde i en granskning i november visa hur Försäkringskassan använt hemliga matematiska riskmodeller för att peka ut potentiella vab-fuskare.Statistiska analyser som vi gjort visade att systemet missgynnat framför allt kvinnor, men också bland annat föräldrar med utländsk bakgrund och låginkomsttagare.Med hänvisning till granskningen har IMY nu öppnat ett tillsynsärende mot Försäkringskassan.
Tillsynen leds av Nadja Zandpour som är jurist på IMY.
Den går ut på att reda ut om Försäkringskassans arbete är förenligt med dataskyddsförordningen, GDPR, som reglerar hur personuppgifter får användas.Begär svar av FörsäkringskassanFrågan om likabehandling ligger däremot utanför IMY:s ansvarsområde.
Tillsynen kommer därför inte att undersöka varför exempelvis mammor missgynnats.– Det här är en behandling som potentiellt rör många enskilda individer.
Efter att ha tagit del av er artikel och andra rapporter beslutade vi i torsdags att inleda en tillsyn genom att skicka en begäran om information till Försäkringskassan, säger Nadja Zandpour.– Vi vill ta reda på hur det här arbetet inne på myndigheten ser ut, och i ett första läge reda ut om personuppgifter behandlas och i sådana fall hur.
Vi har också för avsikt att i ett senare skede ställa mer detaljerade frågor.Nadja Zandpour, jurist på IMY Foto: IntegritetsskyddsmyndighetenBeslutet om att inleda tillsyn bygger också på att IMY under 2025 prioriterar att granska system som kan involvera både AI och behandling av personuppgifter.
Tillsynsärendet mot Försäkringskassan är det första inom det prioriteringsområdet.– Vi ser att AI-användningen spelar en central roll för både offentliga och privata aktörer, som nu integrerar och använder AI i allt större utsträckning samtidigt som systemen ofta kan bygga på stora mängder personuppgifter.
Det gör att vägledningsbehovet är väldigt stort.Tittar bara på vabbareFörsäkringskassan har fram till den 22 augusti på sig att svara på IMY:s frågor.
Därefter kan det komma kompletterande frågor innan IMY fattar sitt beslut.– Vad utfallet blir vet vi inte än.
Det kan vara så att vi finner brister, och då har vi vissa verktyg som att utfärda en reprimand eller kräva åtgärder.
I vissa fall kan vi också utfärda sanktionsavgifter.
Men det kan ju också vara så att vi konstaterar att det inte finns några brister utifrån dataskyddsförordningen.Varför ska ni bara titta på Försäkringskassans profilering av just vabbare?– Det är den avgränsning vi valt för den här tillsynen, säger Nadja Zandpour.Flera av de frågor IMY vill ha svar på har tidigare ställts av SvD och Lighthouse Reports.
Då meddelade Försäkringskassan att svaren omfattas av sekretess eftersom de kan användas för att kartlägga och i förlängningen kringgå systemet.Nu kommer myndigheten däremot vara tvungen att svara på frågorna.– Försäkringskassan är skyldiga att svara på våra frågor och ska lämna all information vi behöver för att fullgöra vår tillsyn, säger Nadja Zandpour som också förklarar att IMY kan komma att bedöma att uppgifterna de får från myndigheten omfattas av sekretess.Välkomnar IMY:s frågorFörsäkringskassan kommenterar IMY:s tillsyn via mejl till SvD:"Som myndighet är vi oerhört måna om att behandla personuppgifter på ett korrekt sätt och i enlighet med dataskyddsförordningen.Om det finns frågetecken gällande vår hantering i någon del av verksamheten så välkomnar vi att IMY ställer frågor om detta", skriver myndighetens presstjänst.
