Simovits

Implikationer av EU:s kommande AI-lag 

Direktlänk: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0206

Introduktion

Europaparlamentets förslag till lag om Artificiell Intelligens, AI, står för dörren. Nyligen röstade parlamentet igenom lagen, och även om den inte kommer att börja gälla riktigt än, är det en god idé att redan nu påbörja arbetet med att bekanta sig med den kommande lagen, samt undersöka vad som bör och behöver göras för att efterleva den. Dryga böter väntas för den som inte efterlever denna lag (när den väl träder i kraft), upp till 6% av företagets globala omsättning, vilket är en ökning med 50% från de maxtak för böter som kan delas ut för överträdelser  av GDPR. 

Genom att reglera AI försöker EU att skydda sina medborgare, samt främja innovation på ett säkert sätt genom att skapa ett enhetligt ramverk för hantering och klassificering av AI-system. EU vill gå från en kravlös era där säkerhet sattes av enskilda utövares egna moraliska kompass, till en era där säkerhet, där människan sätts först, är lag-drivet.

Lagen i korthet

Den föreslagna AI-lagen ämnar etablera heltäckande riktlinjer för utveckling, lansering och användning av AI-system inom EU, och som ofta är fallet finns en stor chans att stora delar av resten av världen kommer att införa liknande regler, antingen direkt som lagar, eller indirekt för att kunna göra affärer inom EU (dvs. på samma sätt som GDPR har drivit på införandet av liknande integritetslagar inom t.ex. Japan, Brasilien och Kalifornien). Nedan har jag sammanfattat de viktigaste och mest centrala delarna av den kommande “EU AI act”.

Omfattning

Lagen kommer att gälla för leverantörer och användare av AI-system inom EU, samt leverantörer utanför EU som inför AI-system på EU-marknaden eller använder dem inom EU.

Definitioner av AI

Lagen definierar tre typer av tekniker eller metoder som ses som “AI” enligt denna lag. 

  1. Maskininlärning av alla dess slag, 
  2. Logik- och kunskapsbaserade metoder, och 
  3. Statistiska metoder. 

Dessa definitioner kommer troligtvis att uppdateras löpande varefter nya typer av AI-liknande system utvecklas.

Transparens

Krav ställs på transparens för att hantera risker kopplat till manipulation som AI-system kan medföra, framförallt kopplat till system som  interagerar med människor, analyserar känslor, eller skapar och manipulerar bild och ljud. Slutanvändare skall informeras när interaktioner med denna typ av AI-system sker, samt det ska tydligt märkas när innehåll är AI-genererat, detta för att ge användare möjlighet att ta välinformerade beslut.

Riskbaserad klassificering av AI

Proportionalitet uppnås genom en reglering som är riskbaserad, utifrån potential att skada allmänna intressen eller äventyra människors grundläggande rättigheter. Vissa typer av tillämpningar anses ha en oacceptabel risk, och är därmed inte tillåtna. Detta innefattar beteendemanipulation, social poängsättning och biometrisk fjärridentifiering i realtid. Notera dock att det finns ett antal undantag för även för dessa tillämpningar.

AI-system som potentiellt hotar säkerheten eller grundläggande rättigheter, betecknas som “hög risk”, och är den typ av system som lagen huvudsakligen riktar sig till, med strikta krav på bland annat kontinuerlig iterativ riskhantering, dataförvaltning där det kvalitet och på träningsdata, teknisk dokumentation, loggning för övervakning av drift och spårbarhet i felanvändning, transparens, mänsklig tillsyn, säkerhet och robusthet.

Lagen innehåller en bilaga (bilaga III) som ger en utförlig lista på system som ses som hög risk, samt lagen innehåller specifika skrivelser kring uppdatering av denna bilaga för att hålla den uppdaterad med nya användningsområden och denna bilaga I nuläget innehåller den: 

Harmoniserade standarder

Lagen understryker vikten av enhetliga standarder för att reglera AI-system och kräver överensstämmelse med sådana standarder för högrisk-AI-system. Efterlevnad av dessa standarder möjliggör en verifierbar uppfyllnad av lagens grundläggande krav.

Registrering

Leverantörer av högrisk AI-system kommer att åläggas att registrera sina system i en EU-omfattande databas som hanteras av Europeiska kommissionen.

Blicka framåt

Denna AI-reglering kommer med stor sannolikhet att bli ett stort steg för lagstiftning inom AI-området, troligtvis den första i sitt slag i världen och med en stor potential för globalt genomslag. Nu väntar diskussioner inom EU och medlemsstaterna kring dess exakta utformning, samt dess införande, via t.ex. nationella lagar och granskningsmyndigheter. Och även om detta ligger en bit in i framtiden rekommenderar jag att man redan nu börjar fundera kring hur denna lagstiftning kan komma att påverka organisationer som använder, levererar eller utvecklar AI modeller eller system. Börja med att bekanta dig med definitionerna för hög risk AI, och genomför en riskanalys för att identifiera vilka risker som kan realiseras. Om slutsatser är att det kan röra sig om högrisk, rekommenderar jag att en gapanalys för att bedöma nuläge mot kravställningen genomförs i god tid innan lagar realiseras. Denna ger möjlighet att under en längre tid införa eventuella åtgärder, för att säkerställa att lagkrav uppfylls.