EUs kommende AI-regelverk

Etter mye debatt mellom EU-organene ble det politisk enighet om EUs regulering av kunstig intelligens (AI Act, også omtalt som forordningen) mellom Parlamentet og Rådet fredag 8. desember. Les en oppsummering av innholdet i den politiske enigheten her.

Kommisjonens forslag til en forordning for kunstig intelligens kom våren 2021. Siden den gang har teknologien utviklet seg betraktelig, særlig fremmarsjen av såkalt «general purpose AI» (GPAI) som Chat GPT er et eksempel på. EU har ikke hatt en lett oppgave med å regulere teknologi som forandrer seg raskt. Les mer om tema som har vært sentrale i debatten mellom EU-organene her.

To regelverk

I hovedsak er det to EU-regelverk som skal regulere AI direkte:

  • AI Act
  • AI Liability Directive

AI Act skal forhindre at skade oppstår ved å stille krav til utvikling og bruk av kunstig intelligens, mens AI Liability Directive skal gi regler som sikrer at EU-borgere får oppreisning når skade oppstår. I tillegg vil det gjøres endringer i eksisterende regelverk for å harmonisere og modernisere. Blant annet er det foreslått at produktansvarsdirektivet oppdateres for presisere at også AI- systemer som forårsaker visse skader som følge av en defekt vil omfattes av direktivet.

Hva er AI Act?

EUs AI Act er verdens første omfattende juridiske rammeverket for kunstig intelligens. Formålet med regelverket er å sørge for at bruk av AI i Europa er trygg og fremmer grunnleggende menneskerettigheter og demokrati, samtidig som det legges til rette for innovasjon og investeringer. Forordningsforslaget benytter en risikobasert tilnærming der alle AI-systemer skal klassifiseres i fire ulike risikogrupper: systemer med uakseptabel risiko, systemer med høy risiko, systemer med begrenset risiko og systemer med minimal risiko. I tillegg til den risikobaserte reguleringen har EU introdusert egen regulering av en type kunstig intelligens, nemlig general purpose AI.

  • Uakseptabel risiko – forbudt: AI-systemer som anses som en klar trussel mot grunnleggende menneskerettigheter, forbys. Forbudene omfatter noen biometriske systemer: Bruk av følelsesgjenkjenningssystemer på arbeidsplasser og utdanningsinstitusjoner, biometriske kategoriseringssystemer som bruker sensitive kjennetegn (f.eks. politiske eller religiøse overbevisninger) og sanntids biometriske identifisering på offentlig tilgjengelige områder som skal brukes ifbm. rettshåndhevelse (snevre unntak gjelder). Det gjelder snevre unntak fra forbudet mot. Andre forbud inkluderer sosial rangering («social scoring») basert på sosial atferd eller personlige kjennetegn, bruk av AI-systemer for å manipulere menneskelig atferd og overstyre fri vilje, samt utnyttelse av sårbarheter hos enkeltpersoner (basert på faktorer som f.eks. alder og økonomisk situasjon).
  • Høy risiko – strenge krav: Slike AI-systemer må overholde strenge krav. Det stilles bl.a. krav til å ha et system for risikominimering, høy datakvalitet, logging av aktivitet, detaljert dokumentasjon, klar brukerinformasjon, menneskelig tilsyn og en høy grad av robusthet, nøyaktighet og cybersikkerhet. Eksempler på slike høyrisiko-AI-systemer inkluderer visse former for kritisk infrastruktur, medisinsk utstyr; systemer for å bestemme tilgang til utdanningsinstitusjoner samt visse systemer som brukes ved håndhevelse av loven og grensekontroll. I tillegg kategoriseres AI-systemer for biometrisk identifisering, kategorisering og følelsesgjenkjenning også som høy risiko.
  • Begrenset risiko – informasjonskrav: For noen AI-systemer stilles det krav til informasjon for å sikre transparens. Når man bruker AI-systemer som chatbots, bør brukerne være klar over at de samhandler med et kunstig intelligent system. Deepfakes og annet AI-generert innhold må merkes, og brukere må informeres når det benyttes biometrisk kategorisering eller systemer for følelsesgjenkjenning. I tillegg pålegges leverandører å designe systemer slik at syntetisk lyd-, video-, tekst- og bildeinnhold merkes i et maskinlesbart format og kan identifiseres som kunstig generert eller manipulert.
  • Minimal risiko – ingen krav: Applikasjoner som innebærer minimal eller ingen risiko for borgernes rettigheter eller sikkerhet, er ikke underlagt noen krav etter forordningen. Selskaper kan imidlertid frivillig forplikte seg til «codes of conduct» for disse AI-systemene. Flertallet av AI-systemer faller inn under kategorien minimal risiko. Eksempler på slike system er spamfiltre og anbefalingssystemer.
  • General purpose AI: AI Act introduserer egne regler for GPAI-modeller. Alle slike modeller blir underlagt transparenskrav som innebærer at det må utarbeides teknisk dokumentasjon, de må operere i samsvar med opphavsretten og de må dele detaljerte sammendrag av treningsdataen som er benyttet. I tillegg innføres det særlige krav for såkalte «high-impact» modeller, herunder krav til iverksettelse av tiltak for å redusere systemrisiko, gjennomføring av bestemte former for testing og rapportering ved alvorlige hendelser og på energieffektivitet.        

Brudd på AI Act sanksjoneres med bøter tilsvarende det høyeste av en forhåndsdefinert sum eller en prosent av selskapets årlige globale omsetning. Beløpene er 35 millioner euro eller 7 % for brudd på reglene om forbudte AI-systemer, 15 millioner euro eller 3 prosent for brudd på de andre pliktene i AI Act og 7,5 millioner euro eller 1,5 % for å oppgi feilaktig informasjon. Det er tiltenkt egne beløpsgrenser for SMBer og start-ups.

Vedtakelse og overgangsperiode

Den politiske avtalen må formelt godkjennes av Europaparlamentet og Rådet. Når regelverket er vedtatt, vil det være en overgangsperiode på to år før AI Act blir gjeldende, med unntak for noen regler som blir gjeldende tidligere. Forbudsreglene gjelder etter 6 måneder og GPAI-reglene vil gjelde etter 12 måneder. Det ventes at den formelle vedtakelsen skjer over nyttår, dermed blir hele AI- forordningen først gjeldende i 2026, mens forbudene og GPAI-reglene sannsynligvis vil gjelde allerede i 2024 og 2025. For EØS-landet Norge kan det ta litt lenger tid før forordningen blir gjeldende.

Selv om noen regler gjelder kort tid etter vedtakelse, vil det ta tid før alle reglene blir gjeldende i EU. Derfor har Kommisjonen besluttet å lansere en AI-pakt. Selskaper oppfordres til å signere denne.

Nasjonale myndigheter skal føre tilsyn med implementeringen av AI Act på nasjonalt plan. På europeisk plan skal det etableres et eget AI Office, underlagt EU-Kommisjonen, som skal sikre koordineringen på europeisk nivå. Det såkalte AI Board, som består av representanter fra medlemslandene, skal bestå. AI Board vil ha en koordinerende rolle og være et rådgivende organ for Kommisjonen.