I ett banbrytande drag har Europeiska unionen tagit ett avgörande steg mot att reglera artificiell intelligens. Europaparlamentet har godkänt en omfattande rättslig ram för att säkerställa att AI-system utvecklas och implementeras inom en strukturerad uppsättning av etiska, juridiska och tekniska riktlinjer. Denna lagstiftning betonar behovet av att AI ska vara lagligt, moraliskt och robust, vilket reflekterar EU:s mål att skydda grundläggande rättigheter och allmän säkerhet samtidigt som man främjar innovation.
Med en bred definition av AI-system inför regleringen ett riskbaserat tillvägagångssätt för produktkategorisering, pekar ut högrisktillämpningar och sätter en global förebild för ansvarsfull integration av AI-teknologier i samhället. När EU navigerar i det komplexa samspelet mellan teknologisk framsteg och etisk styrning, är detta initiativ ett första steg i att definiera framtidslandskapet för AI i EU och globalt.
EU:s AI-etik #
EU:s etiska riktlinjer för pålitlig AI definierar tre nyckelkomponenter som exemplifierar hur AI bör bete sig. AI bör vara laglig, etisk och robust. [1]
Riktlinjerna listar också sju nyckelkrav som AI-system bör uppfylla för att anses pålitliga.
- Människor bör vara stärkta av, men också övervaka AI
- AI-system måste vara tekniskt robusta, säkra och motståndskraftiga
- AI-system måste respektera integritet och dataskydd samt ha adekvata mekanismer för datagovernance
- AI-system måste vara transparenta, användare måste bli medvetna om att de interagerar med AI
- AI-system måste vara rättvisa, främja mångfald och undvika orättvis bias
- Ansvar och ansvarighet måste säkerställas för AI-system och deras resultat
- Slutligen är målet med EU:s AI-lag att "säkerställa säkerhet och överensstämmelse med grundläggande rättigheter, samtidigt som innovation främjas
AI-system #
Lagstiftningen täcker "AI-system", vilket definieras som "[...] ett maskinbaserat system utformat för att fungera med varierande nivåer av autonomi och som kan uppvisa anpassningsförmåga efter distribution och som, för explicita eller implicita mål, utifrån den data det tar emot, drar slutsatser om hur det ska generera utdata såsom prognoser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer;"
Genom att ha ett omfattande rättsligt ramverk, syftar EU:s AI-lag till att ha tydliga krav för både utvecklare och implementatörer av AI-system. Regleringen kommer att införa en överensstämmelsebedömning och en CE-märkning som säkerställer att regelverket följs. För vissa produktområden som omfattas av det nya lagstiftningsramverket [2] finns redan befintliga produktsäkerhetsregler som kräver överensstämmelsebedömningar.
Lagstiftningen täcker hela värdekedjan inklusive producenter, distributörer, leverantörer och användare av AI-system som distribueras inom EU:s marknad. Och den kommer att omfatta hela applikationslivscykeln för AI-system.
Medan de flesta AI-system utgör begränsad till ingen risk och kan bidra till att lösa många samhällsutmaningar, skapar vissa AI-system risker som måste adresseras för att undvika oönskade resultat. Därför har EU valt ett riskbaserat tillvägagångssätt för AI-lagen. Med högre risk kommer fler krav.
Innan vi går vidare in i detaljerna om hur riskkategorin för en produkt bestäms, är det värt att notera att AI-system för militära och försvarssyften inte täcks av regleringen, och den ingriper inte heller i området för nationell säkerhet. Den utesluter också AI-system som används enbart för forskning och innovation.
Anledningen bakom ett riskbaserat tillvägagångssätt
Några av fördelarna med att välja en riskbaserad regleringsmodell är att den ger möjlighet för andra produkter att också deklarera att de överensstämmer med kraven för produkter med lägre risk. Det anses också vara kostnadseffektivt eftersom det främst riktar sig mot högriskprodukter. En av kategorierna för urvalskriterier där detta alternativ fick högst poäng var "Underlätta utvecklingen av en enhetlig marknad för lagliga, säkra och pålitliga AI-applikationer och förhindra marknadsfragmentering".
Dessutom är detta alternativ fullständigt koherent med befintlig lagstiftning om säkerhet och grundläggande rättigheter, och det utnyttjar befintliga förfaranden för överensstämmelsebedömning där sådana finns tillgängliga. De befintliga produktöverensstämmelsebedömningarna kommer inte att ändras av EU:s AI-lag, eftersom den sägs vara "harmoniserad" med befintlig lagstiftning, men fler riktlinjer behövs för att reda ut praktiken med att genomföra flera överensstämmelsebedömningar som kan överlappa. [3]
Riskklassificering #
Regleringen har fyra distinkta riskbaserade nivåer, där den första är en kategori där användningen av AI strikt är förbjuden. AI-produkter är förbjudna om de anses utgöra ett tydligt hot mot säkerhet, försörjning och människors rättigheter. Detta inkluderar till exempel kognitiv beteendemanipulation och vissa system använda för biometrisk identifiering. Den fullständiga listan över förbud finns i artikel 2 [4]
Den högriskkategori är den andra kategorin och den högsta riskkategorin för produkter som är tillgängliga för allmänheten. Detta inkluderar produkter där AI-systemet är säkerhetskomponenten eller själva produkten. Vissa produkter täcks redan av harmoniserad EU-lagstiftning enligt NLF, till exempel medicintekniska produkter, leksaker och motorfordon (se bilaga 2 för en omfattande lista). Några nya områden som inte täcks av NLF, men som omfattas av EU:s AI-lag, är biometri, kritisk infrastruktur och anställning (se bilaga 3 för fullständig beskrivning). Omkring 5-15% av alla AI-system antas vara täckta av denna kategori, vilken också är den kategori som utsätts för mest ny lagstiftning.
AI-system i kategorin begränsad risk förknippas med brist på transparens i AI-användningen. I grund och botten behöver du som användare vara medveten om att du interagerar med AI, så att du kan fatta informerade beslut. Denna kategori inkluderar till exempel chattbotar och tjänster som producerar ljud/video (till exempel deep fakes).
Den lägsta riskkategorin utgörs av system som anses utgöra minimal risk. Detta inkluderar datorspel och skräppostfilter. Det finns inga lagstiftande restriktioner för denna kategori.
Krav för högrisksystem #
Leverantörer av högrisksystem ansvarar för att säkerställa att deras produkt är fullt överensstämmande med alla tillämpliga krav i följande kategorier: Riskhanteringssystem/Testning, Data och datagovernance, Teknisk dokumentation, Dokumentationsförvaring, Transparens och Mänsklig översyn. Alla krav finns i artiklarna 9 till 15 [4].
Utöver att uppfylla alla krav ska den auktoriserade representanten registrera produkten i en ny EU-databas för fristående högrisk AI-system, genomföra konformitetsbedömning för att passera CE-godkännandet, genomföra ny bedömning om produkten har genomgått väsentliga förändringar under livscykeln, samt rapportera allvarliga incidenter och funktionsfel. En intressant detalj om konformitetsbedömningen är att marknadsövervakningsmyndigheten måste ges tillgång till källkoden för ett högrisk AI-system, om det anses nödvändigt för att bedöma överensstämmelsen.
För generella AI-modeller (använda för till exempel chattbotar) finns det några extra krav relaterade till till exempel cybersäkerhet, riskhantering och modellutvärdering. GPAI-modeller delas in i två kategorier, de som anses inneha en systemisk risk (artikel 52), och de som inte gör det. Vid tidpunkten för skrivandet är det endast två av de senaste LLM:erna, GPT-4 och Gemini, som anses inneha systemisk risk. Urvalskriterierna definieras där den kumulativa mängden beräkningskraft som används för träning av modellen är mer än 10 upphöjt till 25 FLOPS. Den fullständiga listan med krav för GPAI-modeller kan hittas i bilaga 9.
Kostnadspåverkan
Enligt effektbedömningen skulle efterlevnadskostnaderna, bara för mjukvara, ligga på 4-5% av den totala genomsnittliga utvecklingskostnaden för mjukvara. Med införandet av GDPR i färskt minne är det intressant att jämföra de förutsedda kostnaderna för dessa två regleringar. Ungefär 40% av små och medelstora företag (SMEs) spenderade mer än 6% av de totala genomsnittliga utvecklingskostnaderna på GDPR-efterlevnad under det första året. Baserat på dessa siffror bör ungefär hälften av de berörda SME:erna förvänta sig att kostnaden för denna reglering blir liknande GDPR. [3]
För de produkter som behöver en överensstämmelsebedömning skulle det tillkomma en ytterligare uppskattad kostnad på 2-5% för verifieringen, notera dock att detta endast skulle gälla för högrisksystem.
Kostnaden för att inte följa reglerna kommer att vara betydande. Enligt modellen som GDPR har etablerat, kommer böterna för denna reglering att vara ännu högre, den här gången högst 1,5-7% av den globala omsättningen, maximalt 35 000 000 euro. Icke-efterlevnad av direktivet NIS2 skulle möjligtvis kosta dig ytterligare 1,4% av den globala årliga intäkten, maximalt 7 000 000 euro.
Kritik #
Några av parlamentsledamöterna under plenardebatten dagen före omröstningen höjde sina röster för att uttrycka sin oro över att lagen inte är tillräckligt strikt när det gäller biometrisk övervakning. Istället för att helt förbjuda biometrisk övervakning lämnar lagen medvetet kvar vissa luckor som möjliggör beteenden som kan hota vår integritet och rätt till frihet. Debatten avslutades dock med att en av rapportörerna (person ansvarig för förslaget) för lagen, självsäkert, sade att de har täckt allt. [6]
Ett annat argument är den oklara globala påverkan som regleringen kommer att ha. Icke-europeiska producenter av AI-system kommer att behöva anpassa sig till regleringen, oavsett hur liten deras exponering mot den europeiska marknaden är. Med tanke på att USA och Kina inte har liknande regleringar finns det ett behov av mer global samordning.
Slutligen kommer det att vara en börda att följa regleringen och den bördan kan innebära mycket mer arbete för små och medelstora företag. Detta kan hindra konkurrensen och ge europeiska företag minskade affärsmöjligheter.
Uppföljningsmått och övervakning
Ett EU AI-kontor har inrättats och de kommer att leda genomförandet av lagen. Nationella tillsynsmyndigheter ska agera som anmälande myndighet och marknadsövervakningsmyndighet.
Snart kommer varje medlemsstat att utse en nationell tillsynsmyndighet bland de nationella behöriga myndigheterna. Det verkar ännu inte vara bestämt vilken svensk myndighet som kommer att vara tillsynsmyndighet för EU:s AI-lag, men IMY anser att det är logiskt att de får ansvaret, eftersom de redan har så mycket erfarenhet av GDPR. [5]
Som en sidonotering, för NIS2 kommer Post- och telestyrelsen att vara den nationella tillsynsmyndigheten för digitala tjänster och digital infrastruktur. IMY är redan den svenska tillsynsmyndigheten för GDPR.
För att övervaka att regleringen har den avsedda effekten har det europeiska AI-kontoret redan definierat vissa mål och uppföljningsindikatorer.
För att säkerställa att AI-systemen är säkra och respekterar EU:s grundläggande rättigheter och värderingar kommer antalet allvarliga incidenter eller brott mot skyldigheterna för grundläggande rättigheter att spåras. Även för att förbättra styrning och verkställighetsmekanismer kommer antalet återkallanden eller tillbakadraganden av AI-system från marknaden att spåras. Fler exempel finns i [3]
Nuvarande tillstånd
Lagen godkändes av Europaparlamentet den 13.3.2024 med 523 röster för, 46 emot och 49 nedlagda röster. Det summerar till cirka 85% för. För de svenska representanterna var motsvarande procentandel för 65% (19 röster totalt).
Regleringen kommer gradvis att tas i bruk och kommer att vara fullt tillämplig efter tre år. Reglerna för allmänna AI-modeller kommer att börja gälla efter cirka 12 månader. Under denna tid bör vi också se stora initiativ från nationella myndigheter för att tillhandahålla företag med sandlåde-miljöer för live-testning.
Biners erbjudande #
Vi har några mycket intressanta tider framför oss med alla nya europeiska regleringar. Det återstår att se hur väl denna reglering kommer att stämma överens med till exempel DORA, NIS2, CER och CRA och om den faktiskt kommer att skydda våra rättigheter och främja innovation.
Dock kan man inte enbart lita på reglering. Man behöver också en bra strategi, visste du att EU har en AI-strategi [7], skriven redan 2018. Den kommer till och med med en tidsplan. Om du kämpar med dina AI-initiativ, är vi på Biner strategiexperter och erbjuder en kurs som hjälper dig att lära dig hur man skapar en strategi för AI, så att du kan öka din innovation.
Spana in den här: https://www.biner.se/kurser
Vidare läsning
Känner du för att titta på den slutliga debatten innan lagen antogs i Europaparlamentet, eller längtar du efter att gräva igenom bilagorna till förordningen? Undrar du kanske vad NLF är? Här är referenserna och några utvalda länkar som är källan till det mesta av texten i denna artikel.
[1] Etiska riktlinjer för pålitlig AI
https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai
[2] NLF https://single-market-economy.ec.europa.eu/single-market/goods/new-legislative-framework_en
[3] Effektbedömning
[4] Inte den officiella förordningens pdf (men snyggare formatering)
[5] IMY nyheter om AI-lagen
https://www.imy.se/nyheter/ai-forordningen-kommer-med-nya-uppdrag-till-imy/
[6] Debattsammanträde före den slutliga omröstningen i Europaparlamentet https://www.europarl.europa.eu/news/en/press-room/20240308IPR19015/artificial-intelligence-act-meps-adopt-landmark-law
[7] Europeiskt tillvägagångssätt för artificiell intelligens
https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence
En översikt av EU:s AI-lag
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai