AI-förordningen: Vad företag behöver veta om de nya riskbaserade reglerna
Som en del av den digitala strategin vill EU reglera artificiell intelligens (nedan ”AI”) för att säkerställa bättre villkor för utveckling och användning tekniken. AI kan medföra många fördelar som bättre hälso- och sjukvård, säkrare och renare transporter, effektivare tillverkning samt billigare och mer hållbar energi.
Som vi tidigare påtalat godkände (2024-03-13) Europaparlamentet rättsakten om artificiell intelligens (nedan ”Förordningen”), även om texten nu inväntar juristlingvisterna och rådets godkännande. Förordningen träder i kraft 20 dagar efter det att den har offentliggjorts i Europeiska unionens officiella tidning och kommer att tillämpas fullt ut två år senare (med vissa undantag som träder i kraft tidigare).
Förordningen blir då världens första specifika reglering inom området. Förordningen innebär en klassificering för AI-system med olika krav och skyldigheter skräddarsydda utifrån ett riskbaserat tillvägagångssätt. Vissa AI-system som utgör ”oacceptabla” risker är förbjudna. Överträdelser av Förordningen är förenat med straffavgifter som är beroende av vilken typ av överträdelser det gäller.
Förordningen är en del av ett bredare paket med politiska åtgärder för att stödja utvecklingen av tillförlitlig AI, som också omfattar AI-innovationspaketet och den samordnade planen för AI.
Förordningens påverkan på företag som bygger AI-system
Produkter som ni skissat på sedan en tid tillbaka och kanske avser att tillgängliggöra på marknaden kan komma att omfattas av Förordningen när denna träder i kraft. Mer än man kanske först antar kan komma att klassas som AI-system, exempelvis algoritmer som ni ser som ”enkla”, riskerar att bedömas som högrisksystem. Det handlar inte längre om vad exempelvis en tillverkare tycker är ett AI-system, utan vad som gäller är vad Förordningen exempelvis definierar som högrisk-system och AI-teknologier.
Det finns också en hel överväganden att göra i förhållande till immateriella rättigheter, exempelvis hur man bäst skyddar data, tekniken och användbara resultat ifrån AI. Det kan också handla om att man kan behöva säkra en licens från en rättighetsinnehavare då man använder AI-modeller som tränas på stora datauppsättningar som omfattas av upphovsrättsligt skydd.
Om ni är ett av de företag som skapar AI-system, tillgängliggör och bygger lösningar på olika AI-verktyg så kan vi guida er i hur ni kan skydda er teknik och hur Förordningen bör tillämpas när den träder i kraft. Tveka inte att kontakta oss genom att boka ett möte eller mejla [email protected].
Nedan redogörs för Förordningen, riskkategorier (minimal, hög och oacceptabel risk) samt vilka som omfattas av Förordningen.
Syftet med Förordningen är att:
- tydliggöra vilka typer av AI-system som inte är tillåtna och vilka som ses som högrisk.
- säkerställa fri rörlighet av AI-system.
- harmonisera reglerna för artificiell intelligens inom EU.
- främja de positiva aspekterna av tekniken.
- stärka den inre marknadens konkurrenskraft och funktion.
- stärka integritet, säkerhet och grundläggande rättigheter.
- bidra till minskad fragmentering av lösningar på den inre marknaden.
AI system – riskkategorier
Förordningen bygger på en riskbaserad metod där AI-systemen delas in i fyra risknivåer, samt en riskanalys särskild avsedd för modeller för allmänna ändamål, enligt följande:
- Minimal risk: AI-system som klassas som minimal risk får utvecklas och användas utan några ytterligare rättsliga skyldigheter. Majoriteten av de AI-system som i dag används, och som sannolikt kommer att användas i EU, tillhör denna kategori. Leverantörerna av sådana system kan välja att frivilligt tillämpa kraven för tillförlitlig AI och ansluta sig till frivilliga uppförandekoder.
- Hög risk: Ett begränsat antal AI-system klassificeras som hög risk enligt Förordningen och definieras som system som kan ha en negativ inverkan på människors säkerhet eller grundläggande rättigheter (som är skyddade enligt EU:s stadga om de grundläggande rättigheterna). Till Förordningen bifogas en lista över AI-system med hög risk, vilken kan ses över i takt med att AI-användningen utvecklas.
Detta omfattar också säkerhetskomponenter i produkter som omfattas av sektorsspecifik unionslagstiftning. Dessa kommer alltid att anses utgöra en hög risk, när de omfattas av tredjepartsbedömning av överensstämmelse enligt den sektorsspecifika lagstiftningen.
- Oacceptabel risk:Ett mycket begränsat antal särskilt skadliga användningar av AI anses utgöra en oacceptabel risk. Dessa kommer att förbjudas eftersom de strider mot unionens värden och bryter mot de grundläggande rättigheterna.
Följande användningar omfattas av förbudet:
- Social poängsättning för offentliga och privata ändamål.
- Utnyttjande av sårbarheter hos människor, användning av subliminala tekniker.
- Biometrisk fjärridentifiering i realtid på allmänna platser i brottsbekämpande syfte, dock med några mycket begränsade undantag (se nedan).
- Biometrisk kategorisering av fysiska personer utifrån biometriska data för att avgöra eller uttyda etnisk tillhörighet, politisk åskådning, fackföreningsmedlemskap, religiös eller filosofisk övertygelse eller sexuell läggning. Brottsbekämpande myndigheter kommer fortfarande att kunna filtrera dataset utifrån biometriska uppgifter.
- Prognostiserat polisarbete för enskilda personer.
- Känsloigenkänning på arbetsplatsen och inom utbildningsväsendet, såvida det inte används av medicinska skäl eller av säkerhetsskäl (dvs. för övervakning av hur trött en pilot är).
- Oriktad datainsamling från internet eller övervakningskameror i sökandet efter ansiktsbilder för att bygga upp eller utvidga databaser.
- Särskild transparensrisk: Vissa AI-system ska omfattas av särskilda transparenskrav, exempelvis när det finns en uppenbar risk för manipulation (t.ex. genom användning av chattbotar). Användarna ska vara medvetna om att de interagerar med en maskin.
I Förordningen tas även hänsyn till systemrisker. Sådana risker kan härröra från AI-modeller för allmänna ändamål samt stora generativa AI-modeller. Modellerna kan användas till en rad olika uppgifter och ligger allt oftare till grund för många av de AI-system som används inom EU.
Vilka omfattas av Förordningen
Den rättsliga ramen kommer att gälla för både offentliga och privata aktörer, i och utanför EU, så länge AI-systemen saluförs på unionsmarknaden eller användningen av dem påverkar människor i EU.
Den berör både leverantörer (t.ex. utvecklare av verktyg för kontroll av CV:n) och användare av AI-system med hög risk. Importörer av sådana AI-system måste också säkerställa att den utländska leverantören redan har genomfört det aktuella förfarandet för kontroll av överensstämmelse, att systemet är försett med CE-märkning och åtföljs av den dokumentation och de instruktioner som krävs.
Dessutom ska vissa skyldigheter gälla för leverantörer av AI-modeller för allmänna ändamål, däribland stora generativa AI-modeller.
Leverantörer av kostnadsfria modeller med öppen källkod undantas från de flesta av dessa skyldigheter. Undantaget gäller inte skyldigheter för leverantörer av AI-modeller för allmänna ändamål som medför systemrisker.
Skyldigheterna gäller inte forskning, utveckling och arbete med prototyper innan systemen har släppts ut på marknaden. Inte heller gäller förordningen för AI-system som uteslutande används för militära ändamål, försvarsändamål eller nationella säkerhetsändamål, oavsett vilken typ av enhet som använder dem.
Minimal eller ingen risk
Förordningen tillåter fri användning av AI med minimal risk. Detta inkluderar applikationer som AI-aktiverade videospel, spamfilter eller AI-system som används i samband med en personlig icke-professionell aktivitet. Den stora majoriteten av de AI-system som för närvarande används i EU hör till denna kategori.
Sammanfattning
Förordningen är den första i sitt slag globalt och skapar en ram där AI-system kategoriseras och regleras beroende på risknivå. Konsekvensen blir att som företag har utvecklat eller planerar att lansera AI-tillämpningar kan komma att omfattas av Förordningen. Även AI-system som betraktas som ”enkla” kan riskera att klassificeras som högrisksystem enligt Förordningens definition. Det är viktigt att beakta immateriella rättigheter och skydda data, teknik, och resultat skapade med AI, t.ex. säkra licenser för AI-modeller. Vi erbjuder rådgivning för företag som utvecklar, tillgängliggör och bygger lösningar på olika AI-verktyg – kontakta oss på [email protected] för vägledning i hur ni kan skydda er teknologi och följa förordningen.
Artikel skriven av Michael Uddmark, Senior Legal Counsel, LW Advisory
Kontakt: [email protected]