Det var på forhånd knyttet stor spenning til om man ville klare å sluttføre forhandlingene på dette møtet. Uten en enighet risikerte man en større forsinkelse i vedtakelsen av regelverket. Dette var ikke ønskelig for EU-institusjonene som har lagt mye prestisje i å være i førersetet for regulering av AI globalt. Les mer om de mest betente temaene i forkant av siste forhandlingsmøte i denne artikkelen.
Etter et maraton av et forhandlingsmøte ble det til slutt oppnådd politisk enighet om AI Act fredag 8. desember. Det er liten tvil om at dette anses som en viktig politisk seier for alle de involverte og EU-kommisær for det indre markedet Thierry Breton går så langt som å kalle enigheten historisk.
Overordnet følger den politiske enigheten hovedtrekkene i Kommisjonens første utkast til AI Act fra 2021. Formålet er fortsatt å skape et regelverk som sørger for at AI i Europa er trygg og respekterer grunnleggende menneskerettigheter og demokrati, samtidig som det legger til rette for innovasjon og investeringer. Regelverket blir en forordning der det anlegges en risikobasert tilnærming der alle AI-systemer skal klassifiseres i fire ulike risikogrupper: systemer med uakseptabel risiko, systemer med høy risiko, systemer med begrenset risiko og systemer med minimal eller ingen risiko. Systemer med uakseptabel risiko er forbudt, mens systemer som innebærer høy risiko tillates under streng regulering. For de øvrige kategoriene er reguleringen begrenset.
Nedenfor er en kort oppsummering av hovedtrekkene i det så langt er formidlet om det materielle innholdet i den politiske enigheten og endringene fra de tidligere utkastene til AI Act:
- Forordningens virkeområde: Det er nå enighet om en definisjon av hva som utgjør et “AI-system”. Definisjonen er ment å være fremtidssikker og teknologinøytral og følger tilnærmingen til den oppdaterte OECD-definisjonen, les mer om denne her. Det er også enighet om at AI Act ikke skal gjelde for AI-systemer som utelukkende brukes for forsvars- og militære formål, for forskning og innovasjon, samt for bruk av AI for ikke-kommersielle formål.
- Unntak for AI-system som er klassifisert som uakseptabel risiko: Listen over AI-systemer som anses å innebære uakseptabel risiko og som dermed er forbudt, er utvidet sammenliknet med EU-kommisjonens opprinnelige forslag. Samtidig er det også introdusert unntak fra forbudet mot sanntids biometrisk identifisering i det offentlige rom, det såkalte “masseovervåkningsforbudet”. Bruk av slike AI-systemer kan tillates der det er nødvendig ved etterlysning av ofre for bestemte former for kriminalitet slik som bortføring, for å forhindre trusler som terroristangrep og ved etterlysning av personer mistenkt for å ha stått bak bestemte former for alvorlig kriminalitet.
- General-purpose AI (GPAI): Det introduseres nye regler for GPAI-systemer og -modeller. Alle slike systemer og modeller blir underlagt transparenskrav som innebærer at det må utarbeides teknisk dokumentasjon, de må operere i samsvar med opphavsretten og de må dele detaljerte sammendrag av den treningsdata som er benyttet. I tillegg innføres det særlige krav for såkalte “high-impact” modeller, herunder at det skal iverksettes tiltak for å redusere systemrisiko, det skal gjennomføres bestemte former for testing og det skal rapporteres ved alvorlige hendelser og på energieffektivitet.
- Governance: Nasjonale myndigheter skal føre tilsyn med implementeringen av AI Act på nasjonalt plan, mens det på europeisk plan også skal etableres et eget AI Office underlagt EU-Kommisjonen. AI Office skal blant annet bidra til å skape standarder og testprosedyrer og til håndhevelse av reglene om GPAI-systemer og -modeller. Et AI Board bestående av representanter fra medlemsstatene vil få en koordinerende rolle og være et rådgivende organ for Kommisjonen. Det skal også etableres et rådgivende forum for aktører i næringslivet og akademia som kan bidra med teknisk ekspertise.
- Sanksjoner: Brudd på AI Act sanksjoneres med bøter tilsvarende det høyeste av en forhåndsdefinert sum eller en prosent av selskapets årlige globale omsetning. Beløpene er 35 millioner euro eller 7 % for brudd på reglene om forbudte AI-systemer, 15 millioner euro eller 3 prosent for brudd på de andre pliktene i AI Act og 7,5 millioner euro eller 1,5 % for å oppgi feilaktig informasjon. Det er tiltenkt egne beløpsgrenser for SMBer og start-ups.
Neste skritt er nå at forordningsteksten må formelt vedtas av Europaparlamentet og Ministerrådet og publiseres i Official Journal. Deretter vil regelverket bli gjeldende i EU etter to år. Noen deler av forordningen vil imidlertid bli gjeldende tidligere. Dette gjelder forbudsreglene som gjelder etter 6 måneder og GPAI-reglene som gjelder etter 12 måneder.
For videre lesning kan det vises til pressemeldingene fra EU-kommisjonen, Europaparlamentet, Ministerrådet, samt den felles pressekonferansen avholdt 9. desember.