Etter lang tids tautrekking har EU oppnådd politisk enighet om AI Act – EUs flaggskip av et regelverk for en fremtid hvor kunstig intelligens (KI) er sentralt. Samtidig ble det også enighet om et nytt produktansvarsdirektiv, som omfatter digitale tjenester og supplerer AI Act.
EUs AI Act er en del av EUs omfattende reguleringer for en digital fremtid i Europa, og en regulatorisk tsunami vil frem mot 2030 treffe næringslivet med regler for blant annet digitale plattformer, tilgjengeliggjøring av data, IT-sikkerhet med mer. Utviklingen av AI Act har tatt sin tid, fra EU-kommisjonen foreslo sitt første utkast til AI Act i april 2021, til den politiske enigheten som nå er oppnådd. Det kan sies at AI Act markerer at tiden for teknologinøytral lovgivning er over.
Kategorisert etter risiko
Formålet med EUs AI Act er å regulere KI etter risiko:
- Noen typer bruk av KI innebærer uakseptabel risiko og vil forbys, som for eksempel opprettelse av databaser for ansiktsgjenkjenning fra internett eller overvåkningskamera.
- Bruk av KI som innebærer høyrisiko, vil møte strenge krav til dokumentasjon og til å overholde menneskers rettigheter, for eksempel gjelder dette KI-gjennomgang av CV-er i jobbprosesser.
- Bruk av KI som har lav risiko, får enklere krav i hovedsak knyttet til åpenhet, for eksempel at du tekster med en KI-chatbot.
- Bruk av KI som har minimal risiko. Dette er typisk KI som gjør rene effektiviseringsoppgaver, for eksempel rene tekstoppgaver.
Hvilke rettslige krav som stilles til bruk og utvikling av kunstig intelligens, vil avhenge av kategoriseringen. I tillegg vil kravene avhenge av om du selv utvikler KI-teknologi (og dermed er en såkalt Provider), eller om du kun er en bruker av teknologien (en såkalt Deployer). Graden av risiko og hvilken rolle selskapet har, påvirker hvilke plikter knyttet til prosesser og rapportering en part får – og hvor tunge de potensielle sanksjonene for brudd kan bli.
De store språkmodellene
EU-kommisjonen fremla sitt forslag til AI Act i desember 2022. Fra da til EU-parlamentets endringer i somme og til den endelige teksten som nå foreligger, har det skjedd en hel del. Et av de største stridstemaene har vært om de såkalte «general purpose» KI-systemene – de store språkmodellene til OpenAI, Google og andre – skulle omfattes av spesifikk regulering nå, eller om dette skulle avventes til senere.
Etter at ChatGPT nådde 100 millioner brukere på rekordtid, søkte EU-parlamentet å hensynta den tekniske utviklingen i sitt redigerte utkast til AI Act i juni 2023. Dette var ikke ukontroversielt, og utover høsten har EU måttet gå flere runder med forhandlinger for å få et endelig regelverk på plass. Store nasjoner som Frankrike (som huser språkmodellen Mistral) har vært skeptiske til for strenge reguleringer. Andre land, som Spania, har vært pådriver for tydelige krav også til denne type KI. I Tyskland og Italia har det vært til dels stor uenighet mellom ulike departementer innad i landene. Til slutt ble det oppnådd politisk enighet om regelverket.
Vil bli ansett som et «produkt»
Nå vil gigantene fra Silicon Valley måtte forholde seg til EUs krav til blant annet åpenhet, opphavsrett og håndtering av systemrisiko. Samtidig vil KI-systemer og programvare (men ikke open-source) bli ansett som et «produkt» under produktsansvarsdirektivet. Dette vil blant annet gjøre det lettere for forbrukere å bevise hvem som er ansvarlig for en mangel eller skade der produktene er komplekse, for eksempel i de store språkmodellene, hvor svarene genereres av en lukket modell (såkalt «BlackBox»).
Likevel mener noen at EU ikke har gått langt nok og burde ha satt strengere krav for utviklere og eiere av de store språkmodellene og mildere krav til brukerne av modellene – slik norske selskaper typisk vil være. Det gjenstår for øvrig å se om det blir enighet om KI-ansvarsdirektivet, som EU-kommisjonen foreslo i 2022, som vil supplere produktsansvarsdirektivet og AI Act med ansvarsregler for KI og utvidet informasjonsplikt.
Grunnleggende menneskerettigheter
Et annet stridstema har knyttet seg til fundamentale rettigheter som et nøkkelgrep i AI Act. Risikovurderingene ved bruk av KI knytter seg ikke bare til risiko for fysisk skade, som for eksempel autonome maskiner, men også risiko for inngrep i grunnleggende menneskerettigheter. At næringslivet må forholde seg til menneskerettigheter, er kjent på områder som bærekraft, diskriminering og personvern, men ikke innen produktansvarsretten – som tankene til grunn for AI Act springer ut av.
Nå vil AI Act i tillegg stille krav til vurdering av hvordan høyrisiko-systemer kan påvirke grunnleggende menneskerettigheter. Katalogen av beskyttede rettigheter er stor, og EU-kommisjonen får fullmakter til å oppdatere hva som skal anses som høyrisiko KI, så siste ord om rekkevidden av AI Act er ikke sagt.
En oppfordring til digitaliseringsministeren
EUs KI-regulering vil vekke oppmerksomhet globalt. For næringslivet i Norge innebærer AI Act at det nå blir mer forutsigbart hvilke krav som vil gjelde i Europa. Regelverket blir raskt aktuelt for det norske næringslivet, ettersom det legger plikter også på parter utenfor EU, for eksempel dersom det brukes KI i tjenesteytelser rettet mot EU-borgere. Det er også forutsigbart at regelverket vil innlemmes i EØS, selv om det ved en forglemmelse fra EU er merket som ikke relevant for EØS.
En oppfordring til vår nye digitaliserings- og forvaltningsminister Karianne Tung (Ap) kan være at implementering i norsk rett med fordel kan skje tidlig. En rask implementering vil sammen med opprettelse av en fleksibel regulatorisk sandkasse for innovative norske selskaper kunne gi nødvendig forutsigbarhet til å fremme KI-akselerasjon i Norge.