Språk

Har framtiden anlänt? Översikt över EU:s förslag till förordning om artificiell intelligens

Publikationer: juli 23, 2022

Tillbaka till översikten

Författarna

Portrait Madina Dumanova Madina Dumanova

Relaterade expertguider

Den 21 april 2021 offentliggjorde EU-kommissionen ett förslag till förordning om artificiell intelligens (utkastet till AI-förordning, förslaget till förordning)[1]. Som en del av den "europeiska strategin för data"[2] syftar utkastet till AI-förordning till att fastställa en guldstandard för reglering av AI inom unionen.[3] Även om den föreslagna förordningen för närvarande debatteras och det finns flera tusen förslag till ändringar, förväntas den antas hösten 2022.[4] När den väl har antagits träder AI-förordningen i kraft tjugo dagar efter offentliggörandet och lämnar en övergångsperiod på 24 månader för alla organisationer som tillhandahåller eller använder AI-system inom EU för att genomföra respektive åtgärder och skyldigheter.

I den här artikeln ges en översikt över utkastet till AI-förordning och dess konsekvenser för organisationer runt om i världen.

Tillämpningsområde

Utkastet till AI-förordning kommer att ha extraterritoriell räckvidd i stil med GDPR och gäller (art. 2):

  • leverantörer som marknadsför inom EU eller tar AI-system i bruk inom EU;
  • användare av AI-system i EU; och
  • leverantörer och användare av AI-system vars resultat används inom EU.

I utkastet till AI-förordning definieras begreppet "leverantör" som en person som utvecklar ett AI-system eller som låter utveckla ett AI-system i syfte att släppa ut det på marknaden eller ta det i bruk under eget namn eller varumärke (artikel 3). Det bör noteras att en distributör, importör, användare eller annan tredje part kommer att betraktas som en leverantör om den (artikel 28):

  1. släpper ut ett AI-system på marknaden under eget namn eller varumärke;
  2. ändrar det avsedda syftet med ett befintligt AI-system, eller
  3. gör väsentliga ändringar av AI-systemet.

Begreppet "användare" definieras som en person som använder ett AI-system under dennes ledning, utom när AI-systemet används inom ramen för personlig, icke-professionell verksamhet (artikel 3).

I utkastet till AI-förordning föreskrivs ett horisontellt regelverk[5]. Befintliga förordningar, lagar, standarder, normer etc. för teknik gäller i de flesta fall specifika branscher och tar inte upp implementeringen av denna teknik genom hårdvaru- och mjukvarusystem. Den föreslagna förordningen kommer att försöka reglera AI horisontellt och därmed oberoende av användningsfall[6].

Definition av AI

Den föreslagna förordningen innehåller inte någon definition av AI. Istället ges en definition av AI-system (artikel 3):

"[S]ystem för artificiell intelligens (AI-system) avser programvara som är utvecklad med en eller flera av de tekniker och metoder som anges i bilaga I och som, för en given uppsättning av mänskligt definierade mål, kan generera utdata såsom innehåll, förutsägelser, rekommendationer eller beslut som påverkar de miljöer de interagerar med."

Förteckningen över tekniker och metoder i bilaga I omfattar metoder för maskininlärning, logik och kunskapsbaserade metoder samt statistiska metoder.

Den alltför breda definitionen av AI-system i utkastet till AI-förordning har fått kritik från olika intressenter. Även om det återstår att se hur den slutliga versionen av utkastet till AI-förordning kommer att se ut, har vissa stater föreslagit en snävare definition av artificiell intelligens, med två ytterligare krav: att systemet kan "lära sig, resonera eller modellera med hjälp av de tekniker och metoder som implementerats", och att det också är ett "generativt system" som direkt påverkar sin omgivning[7].

Olika typer av AI-system och relevanta efterlevnadskrav

I utkastet till AI-förordning delas AI-system in i fyra kategorier: AI-system med oacceptabel risk, AI-system med hög risk, AI-system med transparensskyldigheter och AI-system med minimal risk.

AI-system medoacceptabel risk (artikel 5): AI-metoder som strider mot EU:s värderingar och som utgör ett tydligt hot mot människors säkerhet, försörjning och grundläggande rättigheter betraktas som system med oacceptabel risk. Sådana system är inte tillåtna enligt utkastet till AI-förordning.

AI-system medhög risk (artikel 6): Följande kategorier av AI-system faller under denna kategori:

  1. System för biometrisk identifiering;
  2. Kritiska infrastrukturer som kan äventyra medborgarnas liv och hälsa;
  3. Utbildnings- eller yrkesutbildning som kan avgöra tillgången till utbildning och yrkesinriktningen i en persons liv;
  4. Säkerhetskomponenter i produkter;
  5. Sysselsättning, ledning av arbetstagare och tillgång till egenföretagande;
  6. Viktiga privata och offentliga tjänster;
  7. Brottsbekämpning, rättskipning och demokratiska processer;
  8. Migration, asyl och gränskontroll.

Leverantörer av AI-system med hög risk omfattas av följande materiella skyldigheter:

  1. Skapa och genomföra ett adekvat system för riskhantering och riskreducering (artikel 9);
  2. Sköta datahantering och datastyrning på ett omsorgsfullt sätt, inklusive utbildning och testning av AI-system med hög risk som använder data (artikel 10);
  3. Skapa och förse användarna med teknisk dokumentation (artikel 11);
  4. Tillhandahålla detaljerad registerhållning för myndigheter (artiklarna 12 och 20);
  5. Tillgodose användarna med tydlig och adekvat information (artikel 13);
  6. Tillhandahålla en lämplig nivå av mänsklig tillsyn (artikel 14);
  7. Ta hand om noggrannhet, robusthet och cybersäkerhet (artikel 15);
  8. Inrätta ett lämpligt kvalitetsledningssystem (artikel 17);
  9. Genomföra övervakning efter utsläppandet på marknaden av prestanda hos AI-system med hög risk (artikel 61).

Leverantörer av AI-system med hög risk måste också uppfylla följande procedurmässiga skyldigheter:

  1. Leverantörer ska se till att deras AI-system för hög risk genomgår den så kallade "bedömningen av överensstämmelse" innan de kan erbjudas på marknaden eller tas i bruk (artikel 19). Överensstämmelsen för de biometriska identifieringssystemen ska utföras av det relevanta "anmälda organet" (bilaga VII). För alla andra typer av AI-system med hög risk kan leverantörer utföra självbedömning (bilaga VI);
  2. När AI-högrisksystemet har genomgått bedömningen av överensstämmelse ska leverantörerna upprätta en skriftlig försäkran om överensstämmelse (artikel 48), fästa en CE-märkning om överensstämmelse på dokumentationen för AI-högrisksystemet (artikel 49) och registrera AI-högrisksystemet i EU-databasen (artikel 51);
  3. Leverantörer ska inom 15 dagar rapportera till den relevanta myndigheten om en "allvarlig incident" eller "funktionsstörning" i AI-systemet för hög risk (artikel 62).

I motsats till leverantörer omfattas användare av AI-system med hög risk av begränsade krav. I förlängningen måste de säkerställa att de använder AI-system med hög risk i enlighet med bruksanvisningen, övervaka driften av AI-system med hög risk och föra register över de loggar som genereras av AI-system med hög risk (artikel 29).

AI-system med transparensskyldigheter (artikel 52): Chattbottar eller imitationsbottar faller under denna kategori. Leverantörer av sådana system måste se till att de är utformade och utvecklade på ett sådant sätt att fysiska personer informeras om att de interagerar med ett AI-system.

AI-system medminimal risk (artikel 69): AI-aktiverade videospel eller skräppostfilter faller under denna kategori. Det finns inga efterlevnadskrav för sådana AI-system. De allra flesta AI-system som för närvarande används i EU kan definieras som AI-system med minimal risk.

Sanktioner

Överträdelse av skyldigheterna enligt utkastet till AI-förordning leder till böter som kvantifieras enligt typen av överträdelse (artikel 71).

Överträdaren (leverantör och/eller användare i tillämpliga fall) kommer att bli föremål för administrativa böter på upp till 30 000 000 euro eller, om överträdaren är ett företag, upp till 6 % av dess totala globala årsomsättning för föregående räkenskapsår, beroende på vilket som är högst, för följande två typer av överträdelser

  • Utsläppande på marknaden, ibruktagande eller användning av AI-metoder som innebär oacceptabla risker (artikel 5);
  • Bristande efterlevnad av datastyrningskraven för AI-system med hög risk (artikel 10.4).

För bristande efterlevnad av andra krav och skyldigheter än de som nämns ska överträdaren åläggas administrativa böter på upp till 20 000 000 euro eller, om överträdaren är ett företag, upp till 4 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket som är högst.

I utkastet till AI-förordning föreskrivs också sanktioner för underlåtenhet att lämna korrekt, fullständig eller noggrann information till anmälda organ och nationella behöriga myndigheter som svar på en begäran. Om så är fallet ska överträdarna åläggas administrativa böter på upp till 10 000 000 euro eller, om överträdaren är ett företag, upp till 2 % av dess totala globala årsomsättning för det föregående räkenskapsåret, beroende på vilket belopp som är högst.

Konsekvenser för företag

Utkastet till AI-förordning sätter ribban högt för företagens efterlevnadsskyldigheter på AI-området inom alla ekonomiska sektorer. En global undersökning genomförd av McKinsey visar att många organisationer ligger långt efter när det gäller att uppfylla de potentiella efterlevnadskraven i den kommande förordningen, eftersom endast 38 procent av dem aktivt arbetar med att hantera risker för bristande regelefterlevnad inom AI-området[8]. I detta avseende bör de berörda organisationerna förbereda sig för de regler som säkerligen kommer att följa och anta ett strategiskt efterlevnadsprogram för sina AI-system. Detta kommer att kräva nödvändiga färdigheter och resurser, vilket leder till en ökad roll för complianceexperter. Företagen kan förväntas utöka sina compliance-team och anställa fler personer med denna specifika bakgrund. Det kommer också att finnas ett ökat behov av extern juridisk rådgivning.

Resurser

  1. Förslag till Europaparlamentets och rådets förordning om fastställande av harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa av unionens lagstiftningsakter, COM(2021) 206 final av den 21 april 2021 - 2021/0106 (COD).
  2. "En europeisk strategi för data" (Shaping Europe's digital future, 2022) https://digital-strategy.ec.europa.eu/en/policies/strategy-data, hämtad den 14 juli 2022.
  3. "A European Approach To Artificial Intelligence" (Shaping Europe's digital future, 2022) https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence hämtat den 14 juli 2022.
  4. "Europe's Artificial Intelligence Debate Heats Up | CEPA" (CEPA, 2022) https://cepa.org/europes-artificial-intelligence-debate-heats-up/, hämtat den 14 juli 2022.
  5. Utkastet till AI-förordning (n 1) Motivering. Punkt 1.1.
  6. Patrick Glauner, "An Assessment of the AI Regulation Proposed by the European Commission", kommande i Sepehr Ehsani, Patrick Glauner, Philipp Plugmann och Florian M. (red), The Future Circle of Healthcare: AI, 3D Printing, Longevity, Ethics, and Uncertainty Mitigation (Springer 2022) 4.
  7. Förslag till Europaparlamentets och rådets förordning om fastställande av harmoniserade regler för artificiell intelligens (akten om artificiell intelligens) och om ändring av vissa av unionens lagstiftningsakter, 29 november 2021-2021/0106(COD).
  8. "The State of AI In 2020" (Global Survey The State of AI in 2020, 2022) https://www.mckinsey.com/business-functions/quantumblack/our-insights/global-survey-the-state-of-ai-in-2020, hämtad den 14 juli 2022.
Tillbaka till översikten