Er fremtiden kommet? Oversigt over EU's udkast til forordning om kunstig intelligens

Den 21. april 2021 offentliggjorde EU-Kommissionen et forslag til en forordning om kunstig intelligens (udkast til AI-forordning, forslag til forordning)^[1]. Som en del af den "europæiske datastrategi"^[2] foregiver udkastet til AI-forordning at sætte en guldstandard for regulering af kunstig intelligens i Unionen[3].[^3] Mens forordningsforslaget på nuværende tidspunkt debatteres, og der er flere tusinde forslag til ændringer, forventes det at blive vedtaget i efteråret 2022^[4]. Når AI-forordningen er vedtaget, træder den i kraft 20 dage efter offentliggørelsen og efterlader en overgangsperiode på 24 måneder, hvor alle organisationer, der leverer eller bruger AI-systemer i EU, kan implementere de respektive foranstaltninger og forpligtelser.

Denne artikel giver et overblik over udkastet til AI-forordningen og dens konsekvenser for organisationer i hele verden.

Anvendelsesområde

Udkastet til AI-forordningen vil have ekstraterritorial rækkevidde i stil med GDPR og gælder for (art. 2):

• udbydere, der markedsfører i EU eller tager AI-systemer i brug i EU;
• brugere af AI-systemer i EU; og
• udbydere og brugere af AI-systemer, hvis output bruges i EU.

Udkastet til AI-forordningen definerer begrebet "udbyder" som en person, der udvikler et AI-system eller får et AI-system udviklet med henblik på at markedsføre det eller tage det i brug under sit eget navn eller varemærke (art. 3). Det skal bemærkes, at enhver distributør, importør, bruger eller anden tredjepart vil blive betragtet som en udbyder, hvis den (art. 28):

1. markedsfører et AI-system under sit eget navn eller varemærke;
2. ændrer det tilsigtede formål med et eksisterende AI-system; eller
3. foretager væsentlige ændringer af AI-systemet.

Begrebet "bruger" defineres som en person, der bruger et AI-system under dennes myndighed, undtagen hvor AI-systemet bruges i forbindelse med personlig, ikke-professionel aktivitet (art. 3).

Det er bemærkelsesværdigt, at udkastet til AI-forordningen indeholder en horisontal reguleringsramme^[5]. Eksisterende regler, love, standarder, normer osv. for teknologier gælder i de fleste tilfælde for specifikke industrier og omhandler ikke implementeringen af disse teknologier gennem hardware- og softwaresystemer. Den foreslåede forordning vil forsøge at regulere AI horisontalt og dermed uafhængigt af brugsscenarier^[6].

Definition af AI

Forslaget til forordning indeholder ikke en definition af AI. I stedet giver den en definition af AI-systemer (artikel 3):

"[A]rtificial intelligence system" (AI-system) betyder software, der er udviklet med en eller flere af de teknikker og tilgange, der er anført i bilag I, og som for et givet sæt menneskedefinerede mål kan generere output såsom indhold, forudsigelser, anbefalinger eller beslutninger, der påvirker de miljøer, de interagerer med."

Listen over teknikker og tilgange i bilag I omfatter maskinlæringstilgange, logik og vidensbaserede tilgange samt statistiske tilgange.

Den alt for brede definition af AI-systemer i udkastet til AI-forordningen er blevet kritiseret af forskellige interessenter. Mens det stadig er uvist, hvordan den endelige version af udkastet til AI-forordningen vil se ud, har nogle stater foreslået en snævrere definition af kunstig intelligens med to yderligere krav: at systemet er i stand til at "lære, ræsonnere eller modellere implementeret med teknikkerne og tilgangene", og at det også er et "generativt system", der direkte påvirker sit miljø^[7].

Typer af AI-systemer og relevante overensstemmelseskrav

Udkastet til AI-forordningen inddeler AI-systemer i fire kategorier: AI-systemer med uacceptabel risiko, AI-systemer med høj risiko, AI-systemer med gennemsigtighedsforpligtelser og AI-systemer med minimal risiko.

AI-systemer meduacceptabel risiko (art. 5): For eksempel betragtes AI-praksisser, der er i strid med EU's værdier og udgør en klar trussel mod menneskers sikkerhed, levebrød og grundlæggende rettigheder, som systemer med uacceptabel risiko. Sådanne systemer er ikke tilladt i henhold til udkastet til AI-forordningen.

AI-systemer medhøj risiko (art. 6): Følgende kategorier af AI-systemer falder ind under denne kategori:

1. Biometriske identifikationssystemer;
2. Kritiske infrastrukturer, der kan bringe borgernes liv og helbred i fare;
3. Uddannelse eller erhvervsuddannelse, der kan bestemme adgangen til uddannelse og det professionelle forløb i en persons liv;
4. Sikkerhedskomponenter i produkter;
5. Beskæftigelse, ledelse af arbejdstagere og adgang til selvstændig virksomhed;
6. Væsentlige private og offentlige tjenester;
7. Retshåndhævelse, retsvæsen og demokratiske processer;
8. Migration, asyl og grænsekontrol.

Udbydere af højrisiko-AI-systemer er underlagt følgende væsentlige forpligtelser:

1. Oprette og implementere et passende system til risikostyring og -begrænsning (art. 9);
2. Omhyggelig forvaltning af data og datastyring, herunder uddannelse og test af højrisiko-AI-systemer, der bruger data (art. 10);
3. Skabe og give brugerne teknisk dokumentation (art. 11);
4. Sørg for detaljeret registrering for myndighederne (art. 12, 20);
5. Giv brugerne klar og fyldestgørende information (art. 13);
6. Sørg for et passende niveau af menneskeligt tilsyn (art. 14);
7. Sørge for nøjagtighed, robusthed og cybersikkerhed (art. 15);
8. Indføre et ordentligt kvalitetsstyringssystem (art. 17);
9. Gennemføre overvågning efter markedsføringen af højrisiko-AI-systemers ydeevne (art. 61).

Udbydere af højrisiko-AI-systemer skal også overholde følgende proceduremæssige forpligtelser:

1. Udbydere skal sikre, at deres højrisiko-AI-systemer gennemfører den såkaldte "overensstemmelsesvurdering", før de kan udbydes på markedet eller tages i brug (art. 19). Overensstemmelse af de biometriske identifikationssystemer skal udføres af det relevante "bemyndigede organ" (bilag VII). For alle andre typer højrisiko-AI-systemer kan udbyderne foretage en selvevaluering (bilag VI);
2. Når højrisiko-AI-systemet har gennemgået overensstemmelsesvurderingen, skal udbyderne udarbejde den skriftlige overensstemmelseserklæring (art. 48), vedhæfte en CE-overensstemmelsesmærkning til højrisiko-AI-systemets dokumentation (art. 49) og registrere højrisiko-AI-systemet i EU-databasen (art. 51);
3. Udbydere skal rapportere til den relevante myndighed inden for 15 dage om en "alvorlig hændelse" eller "funktionsfejl" i højrisiko-AI-systemet (art. 62).

I modsætning til udbydere er brugere af højrisiko-AI-systemer underlagt begrænsede krav. I forlængelse heraf skal de sikre, at de bruger højrisiko-AI-systemerne i overensstemmelse med brugsanvisningen og overvåger driften af højrisiko-AI-systemerne og fører en fortegnelse over de logfiler, der genereres af højrisiko-AI-systemerne (art. 29).

AI-systemer med gennemsigtighedsforpligtelser (art. 52): Chatbots eller imitatorbots falder ind under denne kategori. Udbydere af sådanne systemer skal sikre, at de er designet og udviklet på en sådan måde, at fysiske personer er informeret om, at de interagerer med et AI-system.

AI-systemer medminimal risiko (art. 69): AI-aktiverede videospil eller spamfiltre falder ind under denne kategori. Der er ingen overensstemmelseskrav til sådanne AI-systemer. Langt de fleste AI-systemer, der i øjeblikket bruges i EU, kan defineres som AI-systemer med minimal risiko.

Sanktioner

Overtrædelse af forpligtelserne i henhold til udkastet til AI-forordningen resulterer i bøder, der kvantificeres i henhold til overtrædelsens art (art. 71).

Overtræderen (udbyder og/eller bruger, hvor det er relevant) vil blive pålagt administrative bøder på op til 30.000.000 euro eller, hvis overtræderen er en virksomhed, op til 6 % af dens samlede årlige omsætning på verdensplan i det foregående regnskabsår, alt efter hvad der er højest, for følgende to typer overtrædelser:

• Markedsføring, ibrugtagning eller anvendelse af AI-praksisser med uacceptabel risiko (artikel 5);
• manglende overholdelse af datastyringskravene i højrisiko-AI-systemet (artikel 10, stk. 4).

Ved manglende overholdelse af andre krav og forpligtelser end de nævnte skal overtræderen pålægges administrative bøder på op til 20.000.000 euro eller, hvis overtræderen er en virksomhed, op til 4 % af dens samlede årlige omsætning på verdensplan i det foregående regnskabsår, alt efter hvad der er højest.

Udkastet til AI-forordningen indeholder også bestemmelser om sanktioner for manglende levering af korrekte, fuldstændige eller nøjagtige oplysninger til bemyndigede organer og nationale kompetente myndigheder som svar på en anmodning. Hvis dette er tilfældet, skal overtræderne pålægges administrative bøder på op til 10.000.000 euro eller, hvis overtræderen er en virksomhed, op til 2 % af dens samlede årlige omsætning på verdensplan i det foregående regnskabsår, alt efter hvad der er højest.

Konsekvenser for erhvervslivet

Udkastet til AI-forordningen sætter barren højt for industriens forpligtelser til at overholde reglerne inden for AI i alle økonomiske sektorer. En global undersøgelse foretaget af McKinsey viser, at mange organisationer er langt bagud med at opfylde de potentielle compliance-krav i den kommende forordning, da kun 38 procent af dem aktivt håndterer risici for overholdelse af lovgivningen inden for AI^[8]. I denne henseende bør de berørte organisationer forberede sig på de regler, der helt sikkert vil følge, og vedtage et strategisk compliance-program for deres AI-systemer. Dette vil kræve de nødvendige færdigheder og ressourcer, hvilket vil føre til en øget rolle for compliance-medarbejdere. Det kan forventes, at virksomheder udvider deres compliance-team og ansætter flere fagfolk med denne specifikke baggrund. Der vil også være et øget behov for ekstern juridisk rådgivning.