EU’s historiske milepæl: AI Act vedtaget efter langstrakte forhandlinger

Efter tre dages langstrakte forhandlinger annoncerede Europa-Parlamentet, at EU’s medlemslande og EU's lovgivere har vedtaget den såkaldte AI Act (”AI-Forordningen”). AI-Forordningen skal regulere brugen af kunstig intelligens i EU og markerer dermed et afgørende skridt mod en fælles forståelse af ansvarlig brug af kunstig intelligens i medlemslandene.

Udkast til AI-Forordningen blev fremsat i april 2021, og de intense forhandlinger er derfor kulminationen på et kompliceret forløb.

Hvorfor har EU udarbejdet en AI-forordning?

På den ene side har EU’s fokus været at sikre, at medlemslandene får bedst mulig gavn af de positive aspekter som kunstig intelligens bringer med sig. Det kan fx være i form af avanceret medicinsk diagnosticering, hvor AI analyserer komplekse medicinske data og assisterer læger i hurtigere og mere nøjagtige diagnosticeringer af deres patienter.

På den anden side har der været en stærk vilje til at begrænse eller endda forbyde former for kunstig intelligens, der kan være problematiske eller direkte skadelige. Dette omfatter systemer, der kan manipulere mennesker til at skade sig selv, begrænse ytringsfriheden eller diskriminere baseret på faktorer som seksualitet, hudfarve eller køn.

De udfordringer som EU og medlemslandene står overfor, understreger vigtigheden af at finde en balance mellem den teknologiske udvikling og etiske samt menneskeretlige dilemmaer. Det komplekse spændingsfelt mellem disse hensyn kræver omhyggelig afvejning for at sikre, at kunstig intelligens bidrager positivt uden at kompromittere fundamentale værdier og rettigheder.

Hvad ved vi om indholdet af den nye AI-Forordning?

Ordlyd:

EU har truffet beslutning om at benytte OECD's forslag til definitionen af kunstig intelligens fremover. Den foreslåede definition lyder således:

“An AI system is a machine-based system that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments. Different AI systems vary in their levels of autonomy and adaptiveness after deployment.”

Der foreligger endnu ikke en officiel dansk oversættelse af definitionen.

Risikobaseret lovgivningsmodel

Kernen i reguleringen er at tage hånd om kunstig intelligens gennem en risikobaseret tilgang. Jo større skade teknologien kan forvolde på samfundet ved dens anvendelse, desto strengere regler vil systemet/applikationen blive underlagt.

Risiciene kategoriseres i følgende niveauer:

Uacceptabel risiko:

AI-systemer, der udgør en klar trussel mod menneskets grundlæggende rettigheder, vil blive forbudt. Dette omfatter blandt andet:

• Biometriske kategoriseringssystemer, der anvender følsomme karakteristika, såsom politiske, religiøse, filosofiske overbevisninger, seksuel orientering, race.
• Ugrundet indsamling af ansigtsbilleder fra internettet eller overvågningskameraer til oprettelse af ansigtsgenkendelsesdatabaser.
• Følelsesgenkendelsesystemer på arbejdspladsen og uddannelsesinstitutioner.
• AI-systemer, der tillader brugen af 'sociale point' tildelt af regeringer eller virksomheder baseret på social adfærd eller personlige karakteristika.
• Kunstig intelligens, der manipulerer menneskelig adfærd for at omgå deres frie vilje.
• Kunstig intelligens, der udnytter sårbarheder hos mennesker.
• Anvendelse af biometrisk fjernidentifikation i realtid på offentlige steder med henblik på retshåndhævelse (med snævre undtagelser).

Høj risiko: 

AI-systemer i højrisikokategorien skal overholde strenge krav, herunder risikominimering, høj datakvalitet, aktivitetslogning, detaljeret dokumentation, tydelig brugerinformation, menneskeligt tilsyn og høj robusthed, nøjagtighed og cybersikkerhed. Eksempler på sådanne højrisiko AI-systemer omfatter:

• Systemer, som træffer afgørelse om optagelse i uddannelsesinstitutioner eller rekruttering af personer.
• Bestemte systemer anvendt inden for områder som lov og orden, grænsekontrol, retsvæsen og demokratiske processer.
• Medicinske apparater.

Lav risiko: 

De fleste AI-systemer betragtes som lavrisiko, såsom anbefalingssystemer og spamfiltre. Disse systemer indebærer ingen forpligtelser, da de kun udgør minimal eller ingen risiko for borgeres rettigheder eller sikkerhed. Virksomheder har dog mulighed for frivilligt at påtage sig yderligere forpligtelser i form af adfærdskodekser.

Specifik transparensrisiko: 

Ved anvendelse af AI-systemer som chatbots skal brugerne informeres om, at de interagerer med en maskine. Derudover skal Deepfakes og andet AI-genereret indhold forsynes med tydelig mærkning, så brugerne bliver bevidste om, at indholdet ikke er autentisk. Desuden skal brugere informeres, hvis biometrisk kategorisering eller følelsesgenkendelse anvendes. De overstående krav indebærer en forpligtelse for udbyderne til at designe systemer og applikationer på en måde, der muliggør identifikation af syntetisk indhold som kunstigt genereret eller manipuleret.

Generelle foundation modeller: 

Der er ligeledes opnået enighed om regler for foundation-modeller, som udgør omfattende generative systemer. Disse er i stand til at udføre en bred vifte af karakteristiske opgaver, såsom at skabe video, tekst, billeder, levere sprogmodeller og udføre beregninger. Ifølge AI-Forordningen skal foundation-modeller opfylde specifikke krav til transparens, inden de introduceres på markedet. Højrisiko foundation-modeller, som er trænet med store datamængder og besidder avanceret kompleksitet, kapacitet og ydeevne langt over gennemsnittet, er blevet underlagt yderligere restriktiv regulering.

Sanktioner

Virksomheder, der ikke efterlever reglerne, kan tildeles bøder. Bødeniveauet vil variere og udgøre enten:

• Ved overtrædelser af forbudte AI-systemer eller applikationer vil bøderne udgøre 35 millioner euro eller 7% af den årlige globale omsætning afhængigt af, hvilket beløb der er højest.
• For andre overtrædelser vil bøderne udgøre enten 15 millioner euro eller 3% af den årlige globale omsætning.
• Hvis virksomheder leverer ukorrekte oplysninger om brugen af AI i et system eller en applikation, kan der tildeles bøder på 7,5 millioner euro eller 1,5% af den årlige globale omsætning.

Der er dog indført proportionale begrænsninger for bøder til SMV’er samt start-ups ved overtrædelser af AI-Forordningen.

Hvem skal håndhæve AI-Forordningen?

På nationalt plan skal kompetente myndigheder for markedsovervågning sikre overholdelse af AI-Forordningen.

På EU-niveau vil følgende organer håndhæve og bidrage til AI-forordningen:

• Et nyt AI-kontor under Kommissionen, som skal koordinere styringen mellem medlemslandene og sikre overholdelse af reglerne for bred anvendelse af kunstig intelligens.
• En AI-bestyrelse, sammensat af repræsentanter fra medlemslandene, vil fungere som en koordineringsplatform og et rådgivende organ for Kommissionen. Bestyrelsen vil tildele medlemslandene en væsentlig rolle i implementeringen af AI regulering, herunder udformningen af adfærdskoder for foundation-modeller.
• Som afsluttende tiltag etableres der også et rådgivende forum for interessenter, herunder repræsentanter fra industrien, SMV'er, start-ups, civilsamfund og akademier, som skal bidrage med teknisk ekspertise til AI-bestyrelsen.

Private aktører får mulighed for at indgive klager til håndhævelsesmyndighederne, hvis de opdager systemer eller applikationer, der ikke overholder AI-forordningens regler.

Hvad sker der nu?

Den foreløbige politiske aftale skal i den kommende tid konkretiseres og justeres yderligere før den overgår til lovgivningsmæssig behandling, hvor den formelt skal vedtages af både EU-rådet og EU-parlamentet.

Hvornår forventes AI Act at træde i kraft?

Den midlertidige aftale fastslår, at AI-Forordningen skal træde i kraft to år efter vedtagelsen, med visse undtagelser for specifikke bestemmelser, herunder at forbuddene allerede vil gælde efter 6 måneder. Forventet ikrafttrædelsesdato for AI-Forordningen i sin helhed er derfor i første halvår af 2026.