EU-parlamentet publiserte sine justeringer av kommisjonens utkast til forordning om kunstig intelligens (AI Act) 14. juni 2023. Nå jobbes det på høytrykk for å få verdens første heldekkende regulering av kunstig intelligens (KI/AI). Målet er å ha den klar til jul. Selv om den endelige teksten langt fra er ferdig, kan vi allerede nå se at forordningen vil ha dyptgripende virkninger for brukere og skapere av KI. Både i Norge og i andre land.
Om de tre hodene på EU-trollet; kommisjonen, ministerrådet og EU-parlamentet klarer å bli ferdig før jul, kan vi forvente KI-forordningen vedtatt i 2024. Dette innebærer at den trer i kraft sannsynligvis i 2025 eller 2026.
Her er et minimum av det du bør vite:
Hvem gjelder forordningen for?
KI-loven gjelder for både leverandører og brukere av systemer med kunstig intelligens, uavhengig av deres geografiske plassering, så lenge resultatet produsert av systemet er ment for bruk i EØS.
Dette betyr at norske selskaper som bruker KI-systemer utviklet utenfor EØS, må sikre overholdelse av loven hvis systemene er ment for bruk innenfor EØS.
Høyrisiko KI-systemer
Loven er risikobasert. Det vil si at regulering varier med risikoen KI-systemene representerer. Høy risiko betyr mye regulering. Lav risiko betyr lite eller ingen regulering.
Høyrisiko-systemene, som vil bli brukt på områder som utdanning, HR og arbeidsmiljø, grensekontroll og drift av kritisk infrastruktur, samt juss og politimyndighet, er foreslått underlagt strenge krav før de kan slippes på markedet. Kravene inkluderer grundig risikovurdering, etablering av internkontrollsystemer, høy kvalitet på datasettene som trener systemet, logging av aktivitet for å sikre sporbarhet av resultater og detaljert dokumentasjon om systemet. I tillegg stiller loven krav til hvordan systemet er konstruert rent teknisk, både med hensyn til transparens og muligheter for menneskelig kontroll.
Norske teknologiselskaper må være oppmerksomme på disse forpliktelsene og sikre at deres KI-systemer overholder dem. Se etter CE-merkingen som vil omfatte også KI-systemer.
Utkastet til KI-forordning oppfordrer også til opprettelse av regulatoriske sandkasser før implementasjon. Norge har allerede etablert en regulatorisk sandkasse som en del av sin nasjonale strategi for kunstig intelligens, som gir veiledning om personvern for private og offentlige selskaper.
De mest inngripende KI-systemene skal falle i en egen klasse for uakseptabel risiko og vil bli forbudt. Dette vil gjelde systemer som setter helse, sikkerhet og fundamentale rettigheter i fare. For alle som vil unngå ekstrem overvåking i stil med kinesiske forhold, er dette godt nytt.
Åpenhet og ansvarlighet
Lovforslaget vektlegger, på samme måte som GDPR, åpenhet og ansvarlighet i KI-systemer. Brukere av KI-systemer må sikre åpenhet og gi klar og tilstrekkelig informasjon til brukere om systemets evner og begrensninger. De må også etablere mekanismer for brukere for å klage på KI-systemer.
Norske teknologiselskaper må som del av dette sikre brukerne kan motta forklaringer på beslutninger basert på høyrisiko KI-systemer som vesentlig påvirker deres rettigheter. Dette vil kan bli en utfordring da selv ikke utviklerne av KI-algoritmene alltid forstår sammenheng mellom input og output – det såkalte «black box»-problemet.
Påvirkning på teknologiselskaper
KI-loven forventes å få betydelig innvirkning på teknologibransjen, ikke minst fordi forordningen legger opp til betydelige bøter. Bøtene vil avhenge av overtredelsens alvorlighetsgrad. For de mest alvorlige bruddene er bøtene foreslått å være opp det høyeste av 40 millioner euro og 7 prosent av årlig årsomsetning for den ansvarlige.
Videre er det vanskelig å vite på forhånd hvordan tolkningen av hvilke systemer som skal utgjøre «høyrisikosystemer» vil bli i praksis. EU-kommisjonen har lagt til grunn at mellom 5-15 prosent av systemer basert på kunstig intelligens vil bli omfattet, mens andre studier frykter at mellom 35-50 prosent kan bli det. Dette vil måtte avklares gjennom praksis, med mindre partene i trilogien – parlamentet, kommisjonen og rådet – greier å få tydeliggjort definisjonene i den endelige utgaven av teksten.
Forordningen vil også supplere den generelle personvernforordningen (GDPR) ved å beskytte grunnleggende rettigheter og harmonere prinsipper som åpenhet og rettferdighet. Den anerkjenner at KI ofte innebærer behandling av personopplysninger, noe som krever overholdelse av begge regelsettene. Spesielt nevner KI-forordningen at konsekvensvurderinger kan samordnes.
Hvordan vil det gå med innovasjonen?
Amerikanerne rister på hodet av KI-forordningen. De mener den vil ta livet av europeisk KI-bransje før den har kommet i gang. Utfordringen er at KI krever enorme mengder data. Skal utviklerne ta for mye hensyn til opphavsrett, personvern, sikkerhet og andre krav som følger av forslaget til KI-forordning, vil amerikanerne og kineserne kjøre fra norske og europeiske selskaper.
Dette er åpenbart en risiko. Og når man ser hvor mye EU-parlamentet har utvidet, endret og komplisert forslaget fra EU-kommisjonen, er det klart at etterlevelse vil kunne bli en stor administrativ byrde for norske selskaper. Selv om forordningen inneholder mange formuleringer om at små virksomheter skal behandles lempeligere, er det lett å forstå at de store KI-aktørene roper på mer regulering: Det er fort deres beste måte å beskytte din markedsposisjon på.
I lys av EUs ambisiøse planer for regulering av kunstig intelligens står norske virksomheter overfor betydelige utfordringer og muligheter. Mens lovgivningen tar sikte på å beskytte grunnleggende rettigheter og fremme åpenhet, bringer den også med seg administrative byrder og risiko for innovasjonen. Det innebærer en del jobb å se hvordan norske selskaper best kan tilpasse seg de nye reglene for at de skal kunne opprettholde konkurranseevnen i et stadig skiftende landskap for kunstig intelligens.
