EU har en tydlig strategi kring digitalisering vilket generar en uppsjö av nya legala krav på områden som rör bland annat personuppgiftshantering, informationssäkerhet och artificiell intelligens. Denna artikel är en del i en serie där vi belyser några av de initiativ och regleringar som är på gång. Vi har tidigare skrivit om Cyber Resilience Act som du kan läsa om här.
AI-förordningen - första i världen
Som del av EU:s digitaliseringsstrategi presenterade EU-kommissionen under 2021 ett förslag till förordning AI-förordningen (AI Act),ett rättsligt ramverk för utveckling och användning av AI. Bakgrunden var ett behov av en harmoniserad reglering inom unionen, både i syfte att skydda hälsa, säkerhet och grundläggande friheter men också för att ta tillvara de positiva aspekterna av AI och säkerställa fri rörlighet av AI-system inom unionen och på så sätt stärka den inre marknadens konkurrenskraft på området.
Vid årsskiftet landade sedan EU:s ministerråd i sin ståndpunkt kring förslaget vilket innebar vissa förtydliganden och förändringar av förslaget t.ex. en snävare definition av AI-verktyg. Den 14 juni i år röstades sedan förslaget till AI-förordning igenom i Europaparlamentet. Den version av förslaget som då röstades igenom innehöll ytterligare förändringar mot Kommissionens ursprungliga förslag, främst i skärpande riktning.
När nu EU:s alla tre ben har antagit sina respektive ståndpunkter avseende förslaget påbörjas förhandlingar om AI-förordningens slutliga innehåll, genom ett s.k. Triologmöte. Målsättningen är att nå en överenskommelse mot slutet av 2023 vilket innebär att förordningen troligen kommer att börja gälla ca två år därefter. AI-förordningen blir därmed det första ramverket i världen om specifika användningsområden för AI vars syfte är att främja en pålitlig AI med människan i centrum.
En framtidssäkrad definition
Då arbetet kring AI är en del av det mer omfattande och långsiktiga arbetet med EU:s digitala strategi har man sett ett behov av en framtidssäkrad definition av AI.
I förslaget definieras AI-system som programvara som utvecklats med en eller flera av de tekniker och metoder som framgår av regelverket och som för en viss uppsättning människodefinierade mål, kan generera utdata såsom innehåll, förutsägelser, rekommendationer eller beslut som påverkar de miljöer som de samverkar med. Eftersom syftet är att förordningen ska hålla även för kommande teknik är utgångspunkten för bedömningen av systemen inte heller någon specifik teknik.
En riskbaserad reglering
Som vi redan har beskrivit så har instiftandet av AI-förordningen alltså till syfte att både främja innovation och att skydda medborgarnas rättigheter. Det som däremot är mest framträdande i förslaget är ambitionen att skydda såväl människor som demokrati från AI:s skadliga effekter. Av den anledningen har man valt ett riskbaserat regelverk som innebär att olika krav kommer att ställas på leverantörer och användare av AI beroende på det aktuella systemets risknivå. Riskerna delas in i nivåerna oacceptabel risk, hög risk, begränsad risk och slutligen minimal eller ingen risk.
- System med oacceptabel risk - Förbjudna användningsområden
Vissa AI-system anser man innebär en så hög risk mot människors säkerhet att den anses oacceptabel och att användandet av system på denna nivå därmed ska vara förbjuden. Det rör sig framförallt om AI-system som använder sig av särskilt känsliga personuppgifter vilka anses utgöra en oacceptabel risk för människors säkerhet. Det är till exempel inte tillåtet med fjärrbiometrisk övervakning i realtid eller att använda AI-system som utgör känsloigenkänningssystem eller system för social poängsättning baserat på socioekonomisk status, personliga egenskaper eller beteenden med mera.
- System med hög risk – reglerade områden
AI-system som anses ha en hög risk är bland annat system som avsevärt skadar miljön eller vår hälsa, säkerhet eller grundläggande rättigheter. Som exempel ges system som används i kritisk infrastruktur (som transport), säkerhetskomponenter i produkter (t.ex. vid robotassisterad kirurgi) eller vid brottsbekämpning (t.ex. vid bevisvärdering). Sådana högrisksystem kommer att omfattas av omfattande krav för att få släppas ut på marknaden, i form av utvärdering, registrering och sannolikt en CE-märkning.
- System med begränsad risk – krav på transparens
System som anses ha en begränsad risk kan vara olika system som genererar eller manipulerar bild-, ljud- eller videoinnehåll (t.ex. Deepfakes). Dessa system föreslås omfattas av vissa minimikrav på transparens i syfte att användare ska kunna fatta välgrundade beslut. Generativ AI i from av olika chatbotar såsom ChatGPT och liknande omfattas också av kravet på transparens och mer specifikt i form av en märkning som visar att visst innehåll är AI-genererat, samt krav på systemuppbyggnad som förhindrar olagligt innehåll, och slutligen krav på att offentliggöra vilka upphovsrättsskyddade data som används för att träna systemet.
- System med minimal eller ingen risk – oreglerade områden
Den stora majoriteten av de AI-system som används inom EU för närvarande tillhör kategorin som anses innebära minimal eller ingen risk. Exempel på dessa är applikationer som AI-aktiverade spel eller spamfilter. Dessa får enligt förslaget användas fritt.
30 miljoner euro eller 6 % av den globala omsättningen
Om man bryter mot bestämmelserna i förordningen riskerar man en sanktionsavgift på upp till 30 miljoner euro eller 6 % av en koncerns årliga globala omsättning. En parallell kan dras till GDPR där organisationer riskerar en administrativ sanktionsavgift på upp till 20 miljoner euro eller 4 % av den globala årliga omsättningen. Överträdelser av AI-förordningen kan därmed komma att innebära betydande kostnader.
Var börjar man?
Oavsett hur stor påverkan AI-förordningen kan tänkas ha på verksamheten, kan det vara bra att fundera över hur man vill arbeta med AI inom organisationen – att helt enkelt slå fast en strategi eller interna riktlinjer för användandet.
Dessutom väcker användandet av AI en rad frågor som inte täcks direkt av AI-förordningen. Hur vet man t.ex. att man inte riskerar att begå upphovsrättsintrång genom användningen av AI? Hur försäkrar man sig om att företagshemligheter inte läcker ut genom anställdas användande av AI? Och hur förhåller sig egentligen AI till GDPR?
En bra början för att bli AI-compliant är följande fyrstegsraket:
- Inventera den egna verksamheten för att se hur AI används i verksamheten idag - såväl internt som i produkter och tjänster som bolaget distribuerar.
- Utvärdera vilka risknivåer enligt AI-förordningen som kan bli aktuella i er verksamhet och vilka övriga risker som användandet av AI internt kan innebära.
- Förbered er genom att slå fast en AI-strategi och riktlinjer för det interna användandet.
- Informera organisation om det ansvar införandet av förordningen kommer medföra och utbilda medarbetare i hur de ska tänka kring AI i sitt dagliga arbete.
Sammanfattningsvis kan användandet av AI alltså medföra såväl risker som ett potentiellt ansvar för verksamheter, men vi är övertygade om att tekniken framförallt ger oss oanade möjligheter. För de som har gjort jobbet och är väl förberedda kan AI vara ett effektivt verktyg som både skapar värde och reducerar kostnader.