Det videre arbejde med AI-forordningen
AI-forordningens påvirkning af innovation og udviklingen af AI
I udkastet er der lagt op til en risikobaseret tilgang med meget forskellige compliancekrav, alt efter hvor stor risikoen er for, at AI-systemet kan krænke grundlæggende rettigheder som sikret i EU's Charter. Hvor nogle systemer udgør så stor en risiko, at det vil være ulovligt at sælge og anvende dem på det europæiske marked (forbudte AI-systemer), vil højrisikosystemerne i praksis tiltrække sig mest opmærksomhed.
Højrisikosystemer underlægges strenge krav, bl.a. til den tekniske dokumentation samt til systemernes tekniske indretning og de datasæt, der anvendes. Dette vil skabe udfordringer for opstarts- og vækstvirksomheder, som typisk først vil etablere compliance-funktioner, når de er modnede som virksomheder og har produkter, der genererer omsætning. Forordningen forsøger at balancere hensynet til, at regelsættet ikke må være en barriere for nye markedsspillere ved at etablere ”reguleringsmæssige sandkasser”, der skal drives af de nationale tilsynsmyndigheder eller EDPS (Den Europæiske Tilsynsførende for Databeskyttelse).
Mindre udbydere og nystartede virksomheder får bl.a. prioriteret adgang til sandkasserne, og der etableres en særlig kommunikationskanal for at yde vejledning og besvare spørgsmål om gennemførelsen af forordningen. I sandkasserne får udbyderne endvidere mulighed for at udvikle nye systemer i et begrænset tidsrum på grundlag af en testplan, der er aftalt med de kompetente myndigheder. Der kan derudover tages hensyn til de mindre virksomheders budget, når der skal fastlægges gebyrer.
Grundpræmissen for forslaget er, at brugen af kunstig intelligens kan medføre store gevinster, men at disse ikke må realiseres på bekostning af EU’s grundlæggende rettigheder. Der er en vis risiko for, at reguleringen kan hæmme udviklingen af AI i Europa samt udgøre en barriere for innovation. Derudover kan det ikke udelukkes, at udbydere vælger at afholde sig helt fra salg til det europæiske marked, hvis kravene er for tunge og ressourcekrævende, og vejledningen og samarbejdsvilligheden fra myndighederne er for tynd.
Andre politiske stridspunkter
Et af de væsentligste stridspunkter i samspillet mellem AI-reguleringen og beskyttelsen af privatlivets fred er brugen af ansigtsgenkendelse. Som tidligere nævnt i vores artikel om forholdet mellem forordningen og GDPR, har EDPS og EDPB (Det Europæiske Databeskyttelsesråd) allerede opfordret til et komplet forbud mod anvendelse af ansigtsgenkendelsesteknologi i offentlige rum, hvorimod udkastet lægger op til at kvalificere det som et højrisikosystem.
Ansigtsgenkendelsesteknologi må derfor forventes at give anledning til større diskussioner fremadrettet, særligt da teknologi til ansigtsgenkendelse til at aflæse kunders følelser og humør for at tilpasse en salgsoplevelse eller kundeservice allerede findes (se f.eks. Forbes.com). Derudover bruges teknologien af hensyn til væsentlige samfundsinteresser, bl.a. ved Brøndby Stadium, hvor Datatilsynet har givet tilladelse til, at Brøndby Stadium kan bruge ansigtsgenkendelse til adgangskontrol ved indgangene under nærmere bestemte vilkår.
Interessenter har også påpeget manglende klarhed og retssikkerhed vedrørende afgrænsningen af højrisikosystemer og definitionen af "subliminale teknikker", hvis anvendelse kan medføre, at AI-systemet bliver forbudt.
En anden problemstilling er i hvor høj graf de kompetente tilsynsmyndigheder skal have adgang til visse informationer, inklusive kildekoder, som udviklere af indlysende årsager er tilbageholdende med at ville dele.
Europa-Parlamentet har tidligere opfordret til at indføre en ordning for civilretligt ansvar for AI, men ansvarsaspekterne i forbindelse med design, udvikling og brug af AI-systemer vil efter forslaget falde uden for forordningens anvendelsesområde. Kommissionen forventes at behandle ansvarsaspekterne i forbindelse med nye teknologier i forbindelse med en kommende bredere revision af EU's ansvarsregler.
Det videre forløb
AI-forordningen vil gennemgå den almindelige EU-lovgivningsprocedure og skal vedtages af både Europa-Parlamentet og Rådet. Kommissionen forventer, at forordningen kan træde i kraft i 2023, hvilket er ambitiøst, da tidsplanen er afhængig af, hvor hurtigt Europa-Parlamentet og Rådet kan blive enige om forordningens indhold.