2024-07-12

AI-förordningen är här – allt du behöver veta

Den 13 mars 2024 antog EU-parlamentet det framlagda förslaget om en förordning som reglerar artificiell intelligens. Efter att ha fått grönt ljus från rådet tidigare i maj har AI-förordningen nu slutligen publicerats i Europeiska unionens officiella tidning. Förordningen är omtalad som den första omfattande rättsliga regleringen av artificiell intelligens och träder i kraft tjugo dagar efter dess publikation.

Vad definieras som AI?

AI-förordningens definition av vad som utgör ett AI-system grundar sig i OECD:s begreppsförklaring och framgår av artikel 3.1 AI-förordningen:

Med ett AI-system avses ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi, vilket kan uppvisa en anpassningsförmåga efter användning och som för uttryckliga eller underförstådda mål drar slutsatser från den indata det tar emot om hur den ska generera utdata såsom, prognoser, innehåll, rekommendationer eller beslut som kan påverka fysiska och digitala miljöer.”

Något förenklat kan definitionen därmed sägas framhålla två särskiljande kännetecken för att ett system ska anses utgöra ett AI-system:

  • 1. Det fungerar med en viss nivå av autonomi.
  • 2. Det drar slutsatser från den indata den tar emot för att skapa utdata som kan påverka fysiska och digitala miljöer.

Vem påverkas?

I princip alla aktörer i värdekedjan omfattas av AI-förordningen. Förordningen är tillämplig på leverantörer av AI-system, det vill säga företag som tillverkar, släpper ut eller gör AI-system tillgängligt för ibruktagande. Förordningen är likaså tillämplig på importörer och distributörer av AI-system.

Därtill är AI-förordningen tillämplig på användare, såväl fysiska som juridiska personer, som använder sig av AI-system i sin yrkesmässiga verksamhet.

AI-förordningens utformning – en riskbaserad struktur

AI-förordningen kategoriserar AI-system utifrån vilken risk de utgör. Olika AI-system föreläggs därför med olika krav beroende på vilken kategori de faller in under.

Oacceptabel risk

Vissa former av AI-system anses innefatta sådana risker och hot mot människors grundläggande fri- och rättigheter att de förbjuds enligt artikel 5 i AI-förordningen. Förbudet omfattar bland annat AI-system som manipulerar mänskligt beteende, människors sårbarhet, eller exploaterar svagheter hos vissa utsatta grupper. Andra förbjudna användningsområden är social poängsättning, oriktad skrapning av ansiktsbilder från nätet eller övervakningskameror, analys av känslor på arbetsplatser eller skolor, biometrisk identifiering och kategorisering, samt biometrisk fjärridentifiering i realtid med vissa tillämpliga undantag.

Hög risk

Av artikel 6 framgår de AI-system som anses kunna utgöra en betydande risk för människors grundläggande fri- och rättigheter. För att släppas ut på marknaden måste dessa AI-system genomgå en bedömning och uppfylla viss krav. AI-systemen som anses utgöra en betydande risk är de vilka nyttjas i produkter som faller in under EU:s produktsäkerhetslagstiftning, samt förekommer inom områden som anges i bilaga III till AI-förordningen. De områden som anges i bilagan är:

  • Biometriska uppgifter.
  • Kritisk infrastruktur.
  • Utbildning och yrkesutbildning.
  • Sysselsättning, förvaltning av arbetstagare och tillgång till egenföretagande.
  • Tillgång och nyttjande av viktiga privata och offentliga tjänster och förmåner.
  • Brottsbekämpning.
  • Hantering av migration, asyl och gränskontroll.
  • Rättstillämpning.

Stora delar av de krav som ställs på AI-system vilka räknas som hög risk framgår av artikel 8–15 i AI-förordningen. Dessa krav innefattar:

  • Att det finns lämpliga system för riskbedömning och riskreducering beträffande AI-systemen.
  • Att det är hög kvalitet på den data som matas in i AI-systemet för att minimera risker och diskriminerande resultat.
  • Att loggning av aktivitet sker för att säkerställa spårbarhet av resultat.
  • Att det upprättas detaljerad dokumentation med all nödvändig information om AI-systemet och dess syfte för att myndigheterna ska kunna bedöma dess efterlevnad.
  • Att mänsklig tillsyn är möjlig för att minimera riskerna med AI-systemen.
  • Att AI-systemet kännetecknas av en hög nivå av robusthet, säkerhet och noggrannhet.

Krav på transparens

AI-system som inte omfattas av de ovan angivna kriterierna anses inte utgöra högrisksystem. Beträffande vissa AI-system, både högrisksystem och system som inte utgör hög risk, ställer AI-förordningen i stället olika former av transparenskrav.

Av artikel 50 AI-förordningen framgår att innehåll som är skapat eller manipulerat av ett AI-system i form av bild-, ljud- eller videoinnehåll, t.ex. deepfakes, tydligt måste märkas som artificiellt skapat. Märkningen är avsedd för att för att det på ett klart och säkert sätt ska framgå för användare att innehållet är skapat av ett AI-system.

Utöver detta ska AI-system för generella ändamål (”GPAIS”), t.ex. Chat GPT, enligt artikel 53 uppfylla vissa andra transparenskrav. Bland annat ska leverantörerna av GPAIS tillhandahålla:

  • Teknisk dokumentation om AI-systemet.
  • Information om hur efterlevnad av upphovsrättslagstiftning skett och sker.
  • Detaljerad dokumentation av det innehåll som använts för att träna modellerna.

För de kraftfullare GPAIS-modellerna som bedöms innefatta systemrisker ställs hårdare krav. Leverantörer av GPAIS måste genomföra modellutvärderingar, analysera och förhindra systemrisker, rapportera om incidenter samt försäkra att de upprätthåller en adekvat skyddsnivå beträffande cybersäkerhet.

Ikraftträdande och tillämplighet

Som tidigare nämnts träder AI-förordningen i kraft tjugo dagar efter att ha publicerats i Europeiska unionens officiella tidning. Förordningen blir dock först fullt tillämplig 24 månader från dess ikraftträdande, med undantag för:

  • Bestämmelserna som reglerar förbjudna AI-system, vilka bli tillämpliga sex månader efter att förordningen träder i kraft.
  • Bestämmelserna som reglerar upprättandet av uppförandekoder, vilka blir tillgängliga nio månader efter att förordningen träder i kraft.
  • Bestämmelserna som reglerar AI-system för generella ändamål, vilka blir tillämpliga 12 månader från att förordningen träder i kraft.
  • Bestämmelserna som reglerar högrisksystem, vilka blir tillämpliga först 36 månader efter att förordningen träder i kraft.

Häng med i utvecklingen – både legal och teknisk

Av världens lagstiftare är det alltså återigen EU som upprättat betydande lagstiftning med sikte på att reglera ny teknologi. Likt när unionen var först ut med en allomfattande reglering av personuppgifter genom GDPR är man först ut beträffande AI. Med effekterna av GDPR i åtanke är det därmed klokt för både leverantörer och användare att genomgå och granska de AI-system som tillhandahålls eller används av verksamheten. För att inte bli sinkad av EU:s nya krav gäller det som aktör att vara snabbfotad, såväl i sitt efterlevnadsarbete som den tekniska utvecklingen. Efterlevnadsarbetet är nämligen inte bara ett nödvändigt ont, det är ett sätt att inventera organisationen, hålla integriteten intakt och integrera innovation med strategi. Så ta och häng med, av flera anledningar bör man faktiskt göra det.