Nära mållinjen: EU:s AI-förordning inne på upploppet

Inledning

Årets mest upphaussade lagstiftningsprodukt, EU:s AI-förordning, tog i fredags ett stort kliv framåt då parlamentet, kommissionen och ministerrådet nådde en överenskommelse. Det nya förslaget omfattar bla. transparenskrav för grundmodeller, begränsningar av biometriska identifieringssystem, klargörande av vissa krav för högrisk-modeller samt förstärkta rättigheter för individen. Nedan följer en sammanställning av det som kommer vara AI-förordningens huvudsakliga drag.

Gemensam definition av AI

Överenskommelsen innehåller en definition av AI framtagen av OECD som lyder:

“An AI system is a machine-based system that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments. Different AI systems vary in their levels of autonomy and adaptiveness after deployment.”

Förbjudna AI-system

Förordningen innebär strikta förbud mot:

• användningen av AI för biometriska kategoriseringssystem som baseras på känsliga egenskaper såsom politiska åsikter eller sexuell läggning;
• att skrapa ansiktsbilder från internet för att skapa databaser för ansiktsigenkänning,
• användningen av AI för känslomässig igenkänning på arbetsplatser och i utbildningsinstitutioner.
• social poängsättning;
• AI-system som manipulerar mänskligt beteende; och
• att utnyttja svagheter hos människor till följd av ålder, funktionsvariationer och social eller ekonomisk situation.

Undantag för polis och militär

Ett undantag till användningen av biometriska identifieringsteknik är för polis som får använda fjärrbiometrisk identifieringsteknik i offentliga miljöer under strikt definierade förhållanden och med förhandsgodkännande från domstol. Exempel på när sådana förutsättningar kan komma föreligga är för att lokalisera eller identifiera personer misstänkta för allvarliga brott som terrorism eller människohandel. Förordningen specificerar även att den inte kommer att gälla för områden som rör nationell säkerhet eller försvarsändamål.

Högrisk AI-system

För AI-system som klassificeras som högrisk (på grund av deras betydande potentiella skada på hälsa, säkerhet, grundläggande rättigheter, miljö, demokrati och rättsstatsprincipen) ska gälla särskilda skyldigheter som transparens och dokumentationskrav. Högrisksystem ska även ha ett effektivt sätt att hantera fördomar och tillse att det finns nivå av mänsklig tillsyn. Förordningen inkluderar även en obligatorisk konsekvensbedömning av grundläggande rättigheter (sk. fundamental rights impact assessment) för myndigheter och privata enheter som tillhandahåller viktiga offentliga tjänster som sjukhus, skolor, banker och försäkringsbolag. AI-system som används för att påverka resultatet av val och väljarnas beteende klassificeras också som högrisk. Medborgare inom EU kommer även ha rätt att lämna in klagomål och få förklaringar om beslut som baseras på AI-system med hög risk och som påverkar deras rättigheter.

General Purpose AI/grundmodeller (GPAI)

Förordningen inför transparenskrav på GPAI-modeller som omfattar utarbetande av teknisk dokumentation, efterlevnad av EU:s upphovsrättslagstiftning och spridning och detaljerade sammanfattningar av det innehåll som används för träning av GPAI. För GPAI-modeller som bedöms ha stor påverkan och innebära potentiella systemrisker har förordningen striktare krav. För dessa GPAI krävs det att de genomgår omfattande modellutvärderingar, aktivt arbetar med att identifiera och minska potentiella systemrisker, samt utför kontradiktoriska tester. Vidare måste leverantörer av GPAIs rapportera till kommissionen om eventuella allvarliga incidenter, upprätthålla höga standarder för cybersäkerhet och tillhandahålla rapporter om modellernas energieffektivitet.

Lågrisk AI-system eller specifika transparensrisker

Vid användning av AI-system såsom chatbotar är det viktigt att användaren förstår att den interagerar med en maskin. Innehåll skapat av AI, såsom deepfakes, måste tydligt märkas som sådant och användare ska också informeras när system som använder biometrisk kategorisering eller system för känsloigenkänning används. Dessutom måste leverantörer utforma dessa system så att syntetiskt ljud, video, text och bildinnehåll märks i ett format som maskiner kan läsa. Detta säkerställer att sådant innehåll kan identifieras som artificiellt genererat eller manipulerat.

Särskilt stöd för små och medelstora företag (SME)

För SME införs särskilda bestämmelser i syfte att de ska kunna utveckla AI-lösningar utan onödigt tryck från branschjättar som kontrollerar värdekedjan. Det ska därför införas regulatoriska sandlådor och miljöer för att uppmuntra innovation.

Sanktioner

Förordningens sanktionsbestämmelser innefattar betydande böter för överträdelser, de sträcker sig från €7,5 miljoner eller 1,5% av den globala omsättningen till €35 miljoner eller 7% av den globala omsättningen för det företag som bryter mot reglerna.

Nästa steg

AI-förordningen väntar nu på formellt godkännande från både Europaparlamentet och ministerrådet. Efter godkännandet kommer lagen att träda i kraft 20 dagar efter att den publiceras i Europeiska unionens officiella tidning och därefter börja gälla efter en implementeringstid om två år efter det att den trätt i kraft. Det finns dock vissa undantag från denna tidsram: Specifika förbud kommer att börja gälla redan sex månader efter ikraftträdandet, medan reglerna för GPAI kommer att tillämpas efter 12 månader. Under tiden kommer lagstiftningens innehåll vara föremål för pågående tekniska diskussioner, där olika intressenter inklusive forskare, civilsamhällesorganisationer och branschgrupper bidrar till finjustering av hur förordningen kommer tillämpas i praktiken.

Slutsats

Efter intensiva förhandlingar har EU tagit ett avgörande steg mot att reglera användningen av artificiell intelligens. Det nya förslaget till AI-förordning, som nu väntar på formellt godkännande, representerar en omfattande strategi för att hantera de utmaningar och möjligheter som AI medför.

Denna artikel är skriven av Associate David Suh.