Den 11 maj genomförs en omröstning inom EU-parlamentet om förslaget till förordning för att reglera användningen av artificiell intelligens (AI-förordningen). Förslaget publicerades redan under våren 2021 och har sedan dess varit föremål för förhandlingar inom EU. De senaste diskussionerna har framför allt behandlat den snabba utvecklingen av generativ AI, där bland annat ChatGPT ingår.
Syftet med AI-förordningen är att fastställa harmoniserade regler som säkerställer att alla AI system inom EU är tillförlitliga och förenliga med EU:s värden och grundläggande rättigheter. Efter den första omröstningen i maj kommer ytterligare en omröstning att ske innan förhandlingar inleds med EU:s medlemsstater. AI-förordningen förväntas träda i kraft först 2024. Företag som använder eller utvecklar AI-system rekommenderas dock redan nu att vara medvetna om de krav som sannolikt kommer att börja gälla så snart förordningen trätt i kraft, bland annat för att undvika höga sanktionsavgifter.
AI-system delas in i tre nivåer
AI-förordningen utgår från en riskbaserad metod vilket innebär att AI-system delas in i tre nivåer baserat på risken att grundläggande rättigheter kränks: minimal eller låg risk, hög risk, samt oacceptabel risk.
Den lägsta risknivån avser AI-system som bedöms ha minimal, eller ingen, risk och som därmed anses tillåtna. Denna nivå innefattar till exempel vissa typer av spamfilter. Om det föreligger en låg eller begränsad risk får AI-system användas med kravet att det tydligt ska framgå för de personer som interagerar med systemet att det är AI. Det kan till exempel handla om chatbots där användaren måste kunna förstå att den interagerar med ett AI-system och inte en riktig person.
Annons
Den andra risknivån avser AI-system som kräver särskild övervakning då dessa medför en hög risk för människors hälsa och säkerhet eller andra grundläggande rättigheter. Några exempel på högrisksystem är AI som används för:
- Biometrisk identifiering och kategorisering av personer.
- Förvaltning och drift av infrastruktur.
- Antagning till utbildning eller bedömning av prestationer.
- Rekrytering och andra beslut i samband med sysselsättning eller arbetsledning, till exempel beslut om prestationer, befordringar, uppgiftsfördelningar eller uppsägningar.
- Beslut om tillgång till vissa tjänster, till exempel vid bedömning av kreditvärdighet eller prioritetsordning för utsändning av larmtjänster.
Således kommer flera vanligt förekommande AI-system att omfattas av AI-förordningen. Högrisksystem är endast tillåtna under förutsättningen att angivna skyldigheter i AI förordningen efterföljs.
Den högsta risknivån avser AI-system som bedöms medföra en oacceptabelt hög risk att strida mot EU:s skyddade värden och allmänna intressen och som därför är förbjudna enligt förordningen. I listan över otillåten användning av AI ingår bland annat AI-system som, genom subliminala metoder eller utnyttjande av sårbarheter, kan innebära en väsentlig snedvridning av personers beteenden på ett sätt som kan medföra fysisk eller psykisk skada.
Vad kommer att krävas av företag som använder AI?
När förordningen träder i kraft måste AI-system som klassificeras som högrisksystem efterfölja flera strikta krav innan de tillåts inom EU. Det handlar bland annat om att:
- Inrätta ett riskhanteringssystem som bland annat ska inkludera en identifiering och analys av riskerna med ett AI-system samt en beskrivning av lämpliga riskhanteringsåtgärder.
- All data som används för att träna, validera eller testa ett AI-system måste vara relevant för ändamålet, representera verkligheten, fri från fel och fullständig.
- Det ska finnas dokumenterad teknisk information som bland annat beskriver AI systemet och maskinvaran, systemets komponenter, metoder och algoritmer samt detaljer kring övervakning, drift och kontroll av AI-systemet.
- Det ska ske automatisk registrering av loggar medan AI-systemet är i drift.
- AI-systemet ska vara tillräckligt transparent för att en användare ska kunna tolka AI systemets utdata och därmed kunna göra en egen bedömning av lämpligheten att använda systemets utdata.
- AI-systemet ska vara utformat så att underlaget för systemets utdata kan kontrolleras och förstås av en människa. Det inkluderar att systemet ska kunna stoppas när en ansvarig person bedömer att AI-verktyget har nått sin kapacitet.
- AI-systemet ska uppnå en lämplig nivå avseende noggrannhet, robusthet och cybersäkerhet. Det innebär att ett AI-system ska vara motståndskraftigt mot felaktigheter, funktionsfel, inkonsekvenser och intrång från obehöriga.
Listan är inte uttömmande utan lagförslaget som det är upprättat i dag innehåller flera detaljerade krav. När ett AI-system uppfyller alla krav enligt förordningen ska det upprättas en skriftlig EU-försäkran, certifieras med en CE-märkning samt registreras i en offentlig EU databas för att möjliggöra spårning och identifiering av såväl AI-system som leverantören av AI-systemet.
AI-förordningen tar primärt sikte på leverantörer av AI-system, det vill säga företag som utvecklar AI i syfte att använda i egen verksamhet eller i syfte att distribuera produkten. Vissa skyldigheter kommer dessutom att gälla för distributörer, importörer och användare av AI system.
Om kraven i AI-förordningen inte efterföljs riskerar företag att bli skyldiga att betala sanktionsavgifter på upp till 30 miljoner euro eller 6 % av den globala årsomsättningen, beroende på vilken summa som är högst.
Avslutande kommentarer
På EU-nivå har diskuterats ett antal ändringar i AI-förordningen, bland annat hur begreppet AI ska definieras, gränserna för de olika risknivåerna, inklusive hur generativ AI bör hanteras, samt utformningen av de skyldigheter som ställs på leverantörer av AI-system. AI förordningen, som utgör ett omfattande rättsligt ramverk för användning av artificiell intelligens, behöver vara tillräckligt flexibel och anpassningsbar för att kunna tillämpas under snabb teknisk utveckling samtidigt som den säkerställer att AI utvecklas och används på ett sätt som är etiskt och ansvarsfullt.
När AI-förordningen väl träder i kraft kommer sannolikt även andra regleringar att påverkas. Framför allt föreslås revideringar av reglerna om skadeståndsansvar och konsumentskydd, t. ex. produktansvarsreglerna.
I USA har president Biden framfört behovet av en federal amerikansk reglering av AI för att förhindra oetisk användning av tekniken. Om en amerikansk reglering implementeras kommer även europeiska företag att påverkas i den mån de är verksamma på den amerikanska marknaden.
För att hantera utmaningarna med AI-utvecklingen är det nödvändigt att ha en global helhetsbild och inkludera olika tillvägagångssätt, såsom rättsliga ramverk, etiska riktlinjer, självreglering och ansvarsfull användning av tekniken.
Magnusson bevakar noggrant utvecklingen på rättsområdet.
Vilma Slättegård biträdande jurist på Magnusson Advokatbyrå och Helena Rönqvist, delägare och ansvarig för IT och Immaterialrätt på Magnusson Advokatbyrå
Magnusson har specialister inom i stort sett samtliga affärsjuridiska områden med erfarenhet av flertalet branscher. Vi är rådgivare åt såväl nationella som internationella bolag, finansiella institutioner, organisationer, myndigheter och andra aktörer inom offentlig sektor
