Politisk aftale om AI-forordningen

Det forslag, som der nu er en politisk bindende aftale om, blev fremsat i april 2021. Når man genlæser forslaget i dag, handler det primært om produktsikkerhed og risikoklassificering. Siden fremsættelsen er forslaget blevet udsat for både forsøg på skrinlægning, kritik (efter hype'n omkring ChatGPT's lancering) for forældelse før vedtagelse, og til sidst et torpedoforsøg fra tre store medlemsstater. Selvom der er indgået en politisk aftale, vil de tekniske møder sandsynligvis fortsætte ind i januar, hvorefter den endelige tekst formelt skal vedtages af Europa-Parlamentet og Rådet. Ikrafttrædelse sker sandsynligvis i andet kvartal af 2024.

Beskyttelsen af individet

Antallet af egentlige forbud, der skal beskytte individuelle frihedsrettigheder, er udvidet og omfatter nu:

• Biometrisk kategorisering på grundlag af følsomme forhold (politiske, religiøse, etniske m.v.),
• generel og udifferentieret indsamling af ansigtsbilleder til brug for ansigtsgenkendelse,
• følelsesgenkendelse på arbejdspladser og uddannelsessteder,
• social scoring på grundlag af personlige karakteristika eller adfærd, 
• de forhold, der har været forbudt siden de tidligste forslag (AI til brug for manipulering af den menneskelige frie vilje eller menneskelig sårbarhed, såsom social situation eller alder), og
• en klageadgang, og en ret til at modtage forklaring på beslutninger baseret på AI-systemer med høj risiko.

De store AI-modeller

Aftalen omfatter forpligtelser for AI-systemer til generelle formål (General Purpose AI, forkortet ”GPAI”), såsom at indlevere teknisk dokumentation, respektere IP-rettigheder i forbindelse med træning og give transparens vedrørende træningsdatasættene. Udbydere af GPAI-systemer med "systemiske" risici, dvs. de modeller, der er trænet på enorme datasæt (ChatGPT, Google Bard og lign.), og som danner fundament for anden AI-anvendelse, skal overholde mere omfattende forpligtelser, herunder til at gennemføre vurderinger og evalueringer af de risici, de udgør, og afbøde disse risici, rapportere alvorlige hændelser til Europa-Kommissionen og gennemføre red team tests m.v. Udbydere af AI-systemer, der anses for at være højrisikosystemer, skal overholde en omfattende række af produktsikkerhedsforpligtelser vedrørende risikostyring, datakvalitet og sikkerhed. 

Listen over højrisikosystemer omfatter dem, der bruges til formål, som kan have betydelige konsekvenser for grundlæggende rettigheder, sundhed, sikkerhed, demokrati/retssikkerhed, retshåndhævelse, uddannelse, forsikring og bankvirksomhed og påvirkning af vælgeradfærd. Brugere af disse systemer vil også skulle overholde et antal udvidede forpligtelser, herunder pligten til at gennemføre konsekvensanalyser i forhold til frihedsrettighederne og til at implementere og opretholde et menneskeligt tilsyn med brugen af AI-systemet.

Sanktioner

Bødeniveauet, som har ændret sig undervejs i forhandlingerne, endte i sidste ende på 7% af global årlig omsætning i det foregående år eller 35 million euro. Derudover kan systemer, der ikke lever op til reglerne (efter en overgangsperiode), blive udelukket fra EU-markedet.

Praktik

Med den compliance-opgave, der forestår, bør alle virksomheder allerede nu kortlægge sin brug af AI og vurdere, om de AI-systemer, som de anvender, er i gang med at implementere, udvikler, eller som indgår i produkter eller services, vil blive reguleret som forbudte systemer, højrisikosystemer eller AI-systemer til generelle formål. De bør også se på, hvordan de lovgivningsmæssige konsekvenser bør håndteres i deres supply chain, i salgskanalen og i deres kontrakter. 

Hvor 2023 i relation til AI var et politik- og debatår, bliver 2024 et implementeringsår.