Den 8. desember 2023 ble det enighet om et endelig utkast til den kommende AI Act, og EU får med dette verdens første lov som spesifikt regulerer AI. Vi har sett nærmere på hva forordningen innebærer og hvilken betydning reglene kan få for norske virksomheter.
AI Act har et overordnet mål om å sikre at AI-systemer blir brukt på en trygg, transparent og miljøvennlig måte. Forordningen vil innføre felles regler for alle AI-systemer som skal introduseres på det europeiske markedet. Enkelte AI-systemer blir også forbudt.
Den endelige lovteksten er ikke kjent og ventes å bli tilgjengelig mot slutten av januar 2024.
For norske virksomheter kan det allerede nå være relevant å merke seg at AI Act i all hovedsak er en produktansvarslov. De fleste reglene i loven retter seg mot tilbydere av AI-teknologi, som også får størst ansvar. Brukere av AI-systemer vil også ha forpliktelser, men disse er mer begrenset.
Kategoriene av AI-systemer
AI Act tar en risikobasert tilnærming og deler AI-systemer inn i tre hovedkategorier med ulikt reguleringsnivå:
- AI-systemer med uakseptabel risiko blir forbudt.
- AI-systemer med høy risiko blir gjenstand for særlig regulering.
- AI-systemer med begrenset risiko blir ilagt mindre omfattende regler.
AI-systemer som faller utenfor disse kategoriene er ikke berørt av loven.
Forbudte AI-systemer
AI-systemer som anses å medføre en uakseptabel risiko for sikkerhet og fundamentale rettigheter, skal forbys. Ifølge det vi foreløpig vet, vil listen over forbudte AI-systemer inkludere AI-systemer som er utformet for sosial rangering ("social scoring"), systemer som gjør det mulig med biometrisk kategorisering basert på særlige kategorier personopplysninger (som politiske meninger, seksuell orientering og rase), og visse systemer for ansiktsgjenkjenning. I tillegg forbys systemer som har til hensikt å drive kognitiv manipulasjon, og systemer på arbeidsplasser eller i utdanningssammenheng som kan gjenkjenne følelser.
Hvilke AI-systemer som skulle forbys var særlig omdiskutert i forhandlingene. Parlamentet ønsket en betydelig lengre liste enn Rådet, som forvalter medlemsstatenes interesse i å kunne bruke AI i rettshåndheving og nasjonal sikkerhet. Resultatet ble et kompromiss, der bruk av ellers forbudt AI kan tillates for spesifikke etterretningsformål som terrorforebygging og i etterforskning av alvorlig kriminalitet. Blant annet ble det vedtatt et unntak fra forbudet mot sanntids biometrisk overvåkning i offentlige rom, det såkalte "masseovervåkningsforbudet".
Høyrisiko AI-systemer
AI-systemer som anses å utgjøre en høy risiko for sikkerhet og fundamentale rettigheter blir underlagt streng regulering.
Den endelige listen over høyrisiko AI-systemer er foreløpig ikke offentliggjort. Trolig videreføres mye av det opprinnelige forslaget. Dette betyr at AI-systemer knyttet til utdanning, ansettelse og rekruttering, kritisk infrastruktur og tilgang til offentlige og private tjenester (inkludert kredittvurdering) er omfattet. I tillegg omfattes AI-systemer som brukes til rettshåndhevelse og grensekontroll.
Høyrisiko AI-systemer blir underlagt en rekke krav. For eksempel innføres det sertifiseringskrav, og krav om registrering og CE-merking. Etter siste forhandlingsrunde ble det også lagt til et krav om at leverandører av slike løsninger skal utrede konsekvensene for fundamentale rettigheter, en såkalt "fundamental rights impact assessment". Det blir trolig også innført en rett til å klage på utformingen av høyrisiko AI-systemer, og en rett for enkeltindivider til å kunne kreve begrunnelse for beslutninger høyrisiko AI-systemer har tatt om dem.
AI-systemer med begrenset risiko
Den siste kategorien omfatter generelle AI-systemer (general purpose AI). I denne kategorien faller AI-modeller som er trent på store mengder data, som kan løse mange ulike oppgaver og som kan integreres i andre AI-systemer. Generativ AI, som for eksempel GPT-modellen ChatGPT er bygget på, er et eksempel på et slikt AI-system.
Kravene til generelle AI-systemer er regulert på to nivåer. Det første nivået omfatter alle generelle AI-systemer. Alle generelle AI-systemer blir underlagt transparenskrav. Dette innebærer blant annet forpliktelser knyttet til teknisk dokumentasjon, og ulike informasjons- og åpenhetskrav. Formålet er at det skal være mulig for brukere av generelle AI-systemer å ta informerte valg, og forstå tjenesten som tilbys dem.
Tilbydere av generelle AI-systemer vil også bli forpliktet til å ha retningslinjer for beskyttelse av opphavsrett, og gjøre tilgjengelig informasjon om hvilke data som er brukt til å trene AI-modellen.
Et ekstra sett med forpliktelser blir gjeldende for generelle AI-systemer som kan ha stor innvirkning ("high impact systems"), eller som kan utgjøre en systemrisiko. Det er foreløpig uklart akkurat hvordan disse systemene skal identifiseres. Hensikten er å regulere generelle AI-systemer med særlig stor kapasitet. Dette vil være systemer som er trent på enormt store mengder data og som har yteevne langt utover det normale. Slike systemer anses å kunne spre risiko nedover i verdikjeden, og vil derfor bli underlagt egne krav om evaluering og testing. I tillegg får tilbydere av denne typen generelle AI-systemer særlige rapporteringskrav, og må for eksempel rapportere om energiforbruk.
Det er antydet at gratis og open source AI vil falle delvis utenfor virkeområdet til forordningen. Detaljer rundt dette er foreløpig ikke kjent.
Hvem har ansvar?
AI Act legger forpliktelser først og fremst på tilbydere av AI-systemer – definert som enhver fysisk eller juridisk person som har utviklet eller er i besittelse av AI-systemer som de planlegger å introdusere på EU-markedet under eget navn eller varemerke. Som nevnt er forordningen i stor grad en produktansvarslov. Kravene til informasjon, testing, overvåkning, sertifisering og registrering påhviler tilbydere av AI-systemer. For eksempel må tilbydere av høyrisiko AI-systemer implementere et kvalitetsstyringssystem for å sikre etterlevelse av regelverket. Et slikt system skal etablere en strategi for etterlevelse, beskrive testrutiner og prosedyrer virksomheten har etablert for å registrere relevant informasjon.
Brukere av AI får også noen forpliktelser. En bruker er definert som enhver fysisk eller juridisk person som bruker AI-systemer. Dermed omfattes virksomheter som bruker AI i sin daglige drift, eller som integrerer AI i de produktene eller tjenestene de tilbyr i markedet.
Forordningen krever at brukere av AI-systemer skal gjøre seg kjent med hvilken kategori det relevante AI-systemet er omfattet av. Brukere har også en plikt til å sikre at bruken av AI-systemet skjer i samsvar med den dokumentasjonen som er tilgjengeliggjort av tilbyderen av AI-systemet. For eksempel skal brukere av AI-systemer med høy risiko sikre at bruken er i samsvar med leverandørens bruksinstruks.
Brukere vil også ha noen forpliktelser til å overvåke AI-systemene.
På grunn av kompleksiteten i verdikjeden til et AI-system er det mulig at tredjeparter som er involvert i verdikjeden for utvikling, markedsføring og drift av AI-systemet vil bli forpliktet til å samarbeide med tilbydere og brukere av AI-systemer for å gjøre det mulig for disse å etterleve kravene i forordningen.
Konsekvenser av mangelfull etterlevelse
Mangelfull etterlevelse av AI Act kan medføre:
- overtredelsesgebyrer fra EUR 35 millioner eller 7 % av global omsetning (den som er av høyest verdi) for forbrytelser tilknyttet forbudte AI-systemer,
- overtredelsesgebyrer fra EUR 15 millioner eller 3 % av global omsetning (den som er av høyest verdi) for andre forpliktelser, og/eller
- overtredelsesgebyrer fra EUR 7,5 millioner eller 1,5 % av global omsetning (den som er av høyest verdi) for å oppgi feilaktig informasjon.
Det er gjort unntak for start-ups og mindre virksomheter, som blir gjenstand for et lavere bøtenivå.
Hva skjer nå?
I de kommende ukene skal forordningen ferdigstilles, før den legges frem for behandling av EU-representantene. Det er forventet at den endelige teksten blir publisert i januar eller februar neste år. Bestemmelsene skal tre i kraft stegvis slik at hele forordningen er implementert i løpet av 2026.
Implementeringen i norsk lov er ikke avklart.
Selv om ikrafttredelse ligger et stykke fram i tid, er det hensiktsmessig å ha reglene i tankene allerede nå. Vi antar at norske bedrifter i all hovedsak vil rammes som brukere av AI-systemer, eller vil være utviklere/tilbydere av AI-systemer med begrenset risiko.
Selv om loven virker omfattende er det ingen grunn til panikk. På mange områder sammenfaller forordningen med anbefalinger vi allerede gir i forbindelse med utvikling eller implementering av AI-systemer. Dette er for eksempel å gjennomføre risikoanalyser, forstå teknologien og verdikjeden bak AI-systemet og å være klar over hvilke konsekvenser bruk av et AI-system kan ha.
Ta kontakt med oss
Thommessen har et dedikert team som jobber tverrfaglig med AI. Vi tar gjerne en prat om hvordan AI Act kan påvirke din virksomhet, og hvordan du kan innrette virksomheten i overenstemmelse med potensielle krav. Prøv også gjerne vårt AI-kompass, som kan hjelpe med å kartlegge relevant risiko ved bruk og implementering av AI i virksomheten.
Spotlight
Thommessen AI Hub
I en tid hvor kunstig intelligens (AI) blir en stadig større del av hverdagen, er det essensielt å kunne nyttiggjøre seg av teknologien på en god og ansvarlig måte. AI revolusjonerer måten vi arbeider, løser oppgaver, og driver virksomheter på. Brukt riktig, kan AI løse komplekse utfordringer, skape verdi og åpne for unike muligheter. Nøkkelen ligger i å forstå hvordan man kan maksimere utbyttet av teknologien, samtidig som man sikrer en trygg implementering av nye verktøy. Her har vi samlet våre AI-ressurser for å hjelpe deg å navigere.
Les mer