Etter langvarige forhandlinger ble EU enige med seg selv – forordningen som skal regulere kunstig intelligens, «AI Act», ble vedtatt 13. mars 2024. Selv om det gjør at vi vet mer om regelverket, er det fortsatt mye som er uavklart. Blant annet er ikke den endelige forordningsteksten publisert ennå, og vi venter fortsatt på retningslinjer for de mange uklare områdene i forordningen. Det gjør det vanskelig for norske og europeiske virksomheter å vite hva de skal forholde seg til.
For å hjelpe deg i gang, har vi laget en sjekkliste i fem punkter:
- Er det KI?
Det er ikke gull alt som glimrer, og slik er det med teknologi også. KI-forordningen, som den vil hete på norsk, gjelder for systemer som forordningen definerer som «kunstig intelligente,» og ikke alle former for teknologi. I forordningen er kunstig intelligens definert som et maskinbasert system som kan operere med et minimum av selvstendighet, og som også kan vise tilpasningsdyktighet etter at systemet er tatt i bruk. Men viktigst, systemet skal kunne ta imot informasjon (input) som den bearbeider og bruker for å utlede hvordan den skal gi sine svar (output), på en måte som går videre enn alminnelig statistisk analyse.
Dersom den teknologien du bruker ikke faller innenfor denne definisjonen, trenger du altså ikke å forholde deg til AI Act.
- Er du innenfor virkeområdet til AI Act?
AI Act gjelder ikke for all bruk av KI. Det er en del unntak, for eksempel KI utviklet for rene forskningsformål, testing og utvikling av KI før denne blir markedsført i EU, og, kanskje overraskende, KI for militære formål.
Falske minner i Chat GPT kan åpne for varige datalekkasjer
- Hvilket risikonivå omfattes du av?
De aller fleste pliktene som pålegges i AI Act avhenger av hvor stor risiko KI-en medfører.
Denne risikobaserte tilnærmingen betyr for eksempel at KI som krenker menneskers fundamentale rettigheter, er forbudt. Hensikten med forbudene er å verne grunnleggende menneskerettigheter. Virkemiddelet er primært å sikre at vesentlige avgjørelser om individer tas av mennesker og ikke KI. Visse former for KI anses å være så inngripende mot enkeltmennesker at de dermed forbys.
Systemer som kan påvirke fundamentale rettigheter anses som høyrisiko-KI. Det samme gjør KI i sikkerhetssystemer, eksempelvis i kritisk infrastruktur. Slike systemer er underlagt en rekke krav. Pliktene gjelder leverandører, importører, distributører eller andre tredjeparter. Derfor er det avgjørende å finne ut av om KI-en din er høyrisiko.
Til noen systemer stilles også spesifikke krav. Det kan være krav om at systemer som samhandler direkte med mennesker, skal opplyse om at de er KI-baserte og at tekst, film og bilde skapt av KI må «vannmerkes».
Dersom KI-en din ikke faller i kategorien forbudt eller høyrisiko, og heller ikke er underlagt spesifikke krav, trenger du «kun» å forholde deg til den samme reguleringen som du vanligvis gjør.
- Bruker du generell KI, og hvilken rolle har du i bruken?
Pliktene knyttet til forbudte systemer, høyrisiko KI og KI med spesifikke krav er stort sett knyttet til formålet systemet brukes til. Men hva da med systemer som ikke har ett spesifikt formål, men hvor samme system kan løse mange forskjellige oppgaver? Og hvor noen av disse formålene kan være høyrisiko, som visse oppgaver innen HR, mens andre er helt ufarlige, som forbedret stavekontroll. Dette gjelder for eksempel de store språkmodellene og generative KI-modellene som vi kjenner i dag.
Dansk samarbeid om retningslinjer for ansvarlig bruk av KI-assistenter
Nettopp slik generell KI ble et forhandlingspunkt før vedtakelse av forordningen. Resultatet ble egen regulering av «general purpose AI» («GPAI»), altså KI med flere mulige formål. Reguleringen legger plikter på tilbydere av GPAI, og gir brukere og sluttbrukere rettigheter til en hel del informasjon om KI-en. Det er verdt å merke seg at du kan bli regnet som tilbyder av GPAI for eksempel ved bruk av OpenAIs API til å bygge ditt eget, generelle KI-system.
Også for GPAI pålegges det strengere plikter for systemer med høyere risiko.
- Kartlegg hvilke plikter som gjelder for din risikoklasse eller din rolle ved bruk av GPAI
Når du vet hvilken risikokategori KI-systemet ditt tilhører, og om du er tilbyder av GPAI, kan du finne frem til hvilke plikter du må forholde deg til.
EU har lagt opp til at det vil komme mer veiledning om hvordan man skal oppfylle plikter og at det skal utarbeides tekniske standarder for hvilke krav systemene skal tilfredsstille. Følg med på flere kronikker i Digi.no om dette.
Når kommer kravene?
Norske politikere har uttalt at KI-forordningen skal innføres i Norge samtidig med EU, om mulig. Dermed vil forbudet mot visse former for KI tre i kraft seks måneder etter kunngjøring, kravene til generell KI kommer 12 måneder etter kunngjøringen og kravene til høyrisikosystemer først etter 36 måneder.
Journalistikk i KI-alderen: Hvordan påvirkes det frie ordet?