Mens vi venter på «AI Act»
Forskere og teknologer etterlyser regulering av AI og vi leser om høyprofilerte AI-oppfinnere som slutter hos tech-gigantene i protest og roper varsko. Lovgivningsprosesser tar som kjent tid og det er ikke første gang teknologien løper raskere enn loven.
EU-organene har siden 2021 behandlet Kommisjonens forslag til ny AI-forordning, «AI Act», som skal beskytte samfunnet og fundamentale rettigheter, men med et mål om å legge til rette for innovasjonsmulighetene som finnes i AI. Det er også et uttalt mål å sikre EU en ledende rolle i å fastsette en global standard for AI. Det nærmer seg slutten på krevende forhandlinger i EU-organene for å jobbe frem et endelig forslag, men hva kan vi vente oss og hvem vil loven gjelde for?
Det foreliggende forslaget til AI Act omfatter alle tilbydere av AI-systemer innenfor EU og brukerne av AI i EU (profesjonelle brukere). Også tilfeller der virksomheter benytter data («output») i EU fra AI-systemer utenfor EU omfattes. AI Act synes dermed å kunne få betydning for de fleste virksomheter på linje med GDPR, gitt at også definisjonen av AI er vid. Forordningens definisjon av AI er imidlertid et av mange diskusjonstemaer i EUs behandling av forslaget. Det er ikke vanskelig å se for seg at debattene endrer karakter ved hvert kvantesprang teknologien gjør.
Kommisjonens forslag til forordning har en risikobasert tilnærming og kategoriserer videre AI-systemer innenfor fire ulike risikokategorier;
Blir et AI-system kategorisert som «Høyrisiko», vil dette blant annet innebære krav om CE-merking.
- Uakseptabel risiko (forbudt AI); eksempelvis biometrisk ansiktsgjenkjenning i sanntid, sosiale poengsystemer, systemer som manipulerer atferd osv.
- Høyrisiko; eksempelvis AI som brukes innenfor særskilte sektorer, f.eks. i kritisk infrastruktur. AI i leker, maskiner og kjøretøy, medisinskteknisk utstyr, men også innenfor opplæring, rettspleie, politiarbeid og f.eks. i utlendingssaker.
- Begrenset risiko; for eksempel chatbots, deepfake og følelsesgjenkjenning
- Minimal risiko; eksempelvis til bruk i spamfiltre og dataspill.
Det gjelder ulike regelsett for de ulike lovlige kategoriene og forpliktelsene varierer ut fra om man f.eks. er tilbyder eller bruker. Det er særlig «Høyrisiko» AI som forordningen tar sikte på å regulere. Et vesentlig diskusjonstema i EU er naturligvis hvilke systemer som skal kategoriseres innenfor de ulike kategoriene (særlig hvilke systemer som (ikke) skal kategoriseres som «Høyrisiko») og hvilke situasjoner som kan begrunne unntak fra forbud. Det er for eksempel foreslått unntak for forbudet mot bruk av biometrisk ansiktsgjenkjenning i sanntid ved særlige tilfeller av alvorlig kriminalitet.
Blir et AI-system kategorisert som «Høyrisiko», vil dette blant annet innebære krav om CE-merking, omfattende forpliktelser for tilbydere og brukere knyttet til risikovurderinger, dokumentasjon, datastyring og kvalitetssikring, herunder tilsyn- og kontroll av mennesker («human oversight»). Er systemet innenfor kategorien «Begrenset risiko» handler forpliktelsene i større grad om å gi tilstrekkelig informasjon og sikre transparens.
Virksomheter som ikke overholder kravene, risikerer i henhold til forslaget bøter på inntil € 30 000 000 eller inntil seks prosent av årlig omsetning. Det foreslås også å opprette både Europeiske og nasjonale tilsyn.
Selv om de fleste synes å være enige om at det er på høy tid med lovregulering og større kontroll med AI, er det fortsatt et godt stykke frem til de nye reglene er fullt implementert. Etter ev. enighet i trilogforhandlingene de neste månedene følger en 24 måneders implementeringsperiode i medlemslandene. Forordningen anses å være EØS-relevant. Siden det er en forordning, vil den dermed måtte tas inn direkte i norsk lov.