Det har blitt avholdt en rekke forhandlingsmøter i EU gjennom høsten og det siste planlagte forhandlingsmøtet er i dag. Det ligger mye prestisje for alle involverte i å nå komme til enighet på de siste punktene, men lekkasjene i forkant av møtet viser at frontene på mange områder fortsatt er steile. Det er særlig to temaer der skoen trykker.
Oppdatering: Denne artikkelen handler om prosessen rundt vedtakelse av AI Act. Les også denne artikkelen for informasjon om den politiske enigheten som ble oppnådd om AI Act den 8. desember.
Debatten om politiets masseovervåkning
AI Act er ment til å beskytte oss mot AI-systemer som utgjør en risiko for helse, sikkerhet og grunnleggende menneskerettigheter. For å realisere dette formålet er utkastet til AI Act lagt opp med en risikobasert tilnærming der alle AI-systemer skal klassifiseres i fire ulike risikogrupper: systemer med uakseptabel risiko, systemer med høy risiko, systemer med begrenset risiko og systemer med minimal eller ingen risiko. Systemer med uakseptabel risiko er forbudt, mens systemer som innebærer høy risiko tillates under streng regulering. For de øvrige kategoriene er reguleringen begrenset.
Et eksempel på en type system med uakseptabel risiko er AI-systemer for sanntids biometrisk identifisering i det offentlige rom. Forbudet mot slike systemer blir ofte kalt for masseovervåkningsforbudet. Et av temaene det har vist seg vanskelig å enes om i EU er i hvilken grad det bør være adgang til å gjøre unntak fra dette forbudet.
I Kommisjonens første forslag til AI Act lå det inne flere unntak for politiets bruk av slike systemer. Europaparlamentet har imidlertid foreslått å stryke alle unntakene. Mange mener dette er å gå litt langt. Her må EU-institusjonene balansere hensynet til privatliv og personlig integritet mot sikkerhetshensyn. Den informasjon som har sivet ut i offentligheten i forkant av dagens møte kan tyde på at det går mot noen kompromisser.
Kampen om grunnmodellene
De siste ukene har vi sett flere overskrifter om interne stridigheter og støy i OpenAI, selskapet bak det kanskje mest kjente AI-verktøyet ChatGPT. Mens OpenAI-lederen Sam Altman klarte å få sparken og deretter jobben tilbake igjen i løpet fire dager, har det også pågått en intens drakamp bak kulissene i EU om reguleringen av teknologien som ligger til grunn for ChatGPT og tilsvarende tjenester – de såkalte grunnmodellene.
En grunnmodell er en stor AI-modell som er trent på massive datasett og kan brukes til mange ulike formål. I mange tilfeller vil én og samme grunnmodell kunne finjusteres og anvendes i systemer med svært ulikt risikopotensiale. Man kan for eksempel tenke seg at en stor språkmodell brukes i et uskyldig system som skriver referat fra møter og lager presentasjoner, men den kan også brukes i systemer som automatiserer vurdering av jobbsøknader. Kun det siste systemet vil være høyrisiko og underlagt strenge krav etter AI Act. Problemet er at siden grunnmodellene mangler et spesifikt bruksområde, passer de ikke inn i AI Act’ens risikobaserte system, som jo forutsetter at man nettopp skal klassifisere hvert AI-system etter risikoen ved bruken.
Sett med dagens øyne virker det kanskje rart at man i AI Act har valgt en hovedtilnærming som passer dårlig med den type AI-teknologi som det har vært mest oppmerksomhet rundt det siste året. Dette bør imidlertid ses i lys av at det første utkastet til AI Act kom allerede i våren 2021, altså over ett år før ChatGPT ble lansert for offentligheten. På det tidspunktet var det få som hadde sett for seg at slike tjenester ville bli tatt i bruk av “alle” over natten. I dag er det bred enighet om at grunnmodeller bør reguleres, men nøyaktig hvordan slik regulering skal se ut er det ingen enighet om.
På den ene siden har man dem som mener at grunnmodeller er en form for teknologi og at EU burde holde fast på den teknologinøytrale tilnærmingen i AI Act og heller regulere anvendelsen av teknologien nedstrøms. På den andre siden har man motstanderne som mener at dette er problematisk fordi grunnmodellenes generelle anvendelse, høye utviklingskostnader og potensiale for å bli et “single point of failure” for tusenvis av nedstrømsapplikasjoner, tilsier at det er særlig risiko knyttes til disse modellene. Etter deres syn vil denne risikoen ikke kunne håndteres på en meningsfull måte uten at også grunnmodellene reguleres og utviklerne av slike modeller pålegges plikter etter AI Act. Et annet sentralt spørsmål i debatten er også om man skal skjære alle grunnmodeller over en kam eller om det bør stilles strengere krav til de virkelig store grunnmodellene, målt etter datakraften gått med til trening eller antall brukere i Europa.
Ved forhandlingsmøtet som ble avholdt i slutten av oktober så det ut til at EU-institusjonene var nær enighet om en løsning med rettslig bindende regler og gradert tilnærming med strengere krav til tilbyderne av de kraftigste grunnmodellene. I løpet av november kom det imidlertid rapporter om at representantene fra de EU-politiske tungvekterne Tyskland, Frankrike og Italia ikke lenger ønsket en slik form for regulering. De frykter dette vil svekke Europeiske selskapers konkurranseevne og mener heller at tilbyderne av grunnmodeller bør pålegges selvregulering gjennom utvikling av egne “codes of conduct”. Dette er uaktuelt for Europaparlamentet som mener strengere regulering er nødvendig. Situasjonen virker fastlåst.
Mot slutten av november kom Kommisjonen opp med et nytt forslag som er ment som et mulig kompromiss. Forslaget går etter sigende ut på at den graderte tilnærmingen beholdes, men pliktene som pålegges tones mer ned. Det er antatt at det er dette forslaget som vil diskuteres i dag. Om partene kommer til enighet gjenstår å se.
Veien videre herfra
Det siste planlagte forhandlingsmøtet for AI Act er som sagt i dag, 6. desember. Hvis det ikke er mulig å oppnå enighet i dag, vil forhandlingene sannsynligvis fortsette over nyttår. Det er likevel ikke ønskelig å skyve på forhandlingene for lenge. I juni 2024 skal Europaparlamentet på valg og en ny politisk sammensetning i parlamentet vil åpne opp for nye diskusjoner og sannsynligvis en betydelig forsinkelse. Dette er ikke ønskelig for de involverte EU-institusjonene, som har lagt mye prestisje i AI Act og ønsker at regelverket virkelig skal sette standarden for regulering av AI globalt.
Etter at AI Act vedtas vil den sannsynligvis tre i kraft 2 eller 3 år etter vedtakelsen. Om det oppnås enighet i dag vil regelverket altså tidligst tre i kraft i EU i 2026 og for oss i EØS-landet Norge blir det antagelig noe senere.