Beslut om AI Act

Bakgrund

Den snabba utvecklingen av artificiell intelligens (”AI”) under de senaste åren har säkerligen inte undgått någon och både risker och möjligheter har varit hett debatterade. Som vi skrev om den 19 januari i år har en ny rättsakt på AI området varit på gång från EU under en tid. Idag, den 21 maj 2024 antogs AI Act eller AI-förordningen på svenska (”AIA”) och blir därmed världens första rättsakt på AI området.

Förordningen är baserad på ett förslag från 2021 och har därefter varit föremål för intensiva förhandlingar i Bryssel. Förordningen kan bäst beskrivas som en kompromiss mellan en reglering av potentiellt skadliga AI-system och en önskan att stärka EU:s konkurrenskraft genom att främja utvecklingen av AI inom unionen.

Förordningens huvuddrag

AIA har ett brett tillämpningsområde – både vad gäller vilka AI-system som faller under definitionen och avseende geografisk tillämplighet. Likt andra rättsakter från EU, exempelvis GDPR, kommer AIA att träffa aktörer från tredje land som på olika sätt riktar sig mot användare i EU.

Förordningen är utformad enligt en segmenterad modell med riskklassificering på olika nivåer. Det ställs högre krav på AI-system förenade med högre risk. AI-system delas enligt förordningen in i följande kategorier:

Otillåten risk

• • AI-system som hotar grundläggande rättigheter – t.ex. biometrisk kategorisering och social poängsättning. Dessa system kommer att vara förbjudna.

Hög risk

• • AI-system som hanterar känsliga uppgifter – t.ex. kritisk infrastruktur, utbildning och rättsväsende.

Begränsad risk

• • AI-system som på andra sätt än ovan interagerar med enskilda – t.ex. chattbottar, deepfakes.

Minimal risk

• • AI-system som inte faller under någon av kategorierna ovan – t.ex. spamfilter.

AI-system som kategoriseras som innebärande en otillåten risk kommer överhuvudtaget inte att tillåtas. Flest krav kommer att ställas på AI-system som kategoriseras som hög risk. Det innebär till exempel krav på konsekvensbedömningar, dokumentationskrav, mänsklig tillsyn och datasäkerhet. För AI-system som kategoriseras som begränsad risk kommer det framför allt innebära att en användare måste informeras om att innehållet är genererat av ett AI-system. På AI-system som innebär minimal risk ställs inga särskilda krav, men det uppmuntras att aktörer följer frivilliga uppförandekoder. Särskilda krav kommer också ställas på så kallade grundmodeller, vilket är AI-system som används för generella ändamål – exempelvis ChatGPT. Dessa grundmodeller måste bland annat offentliggöra vilken data som används för att träna modellen, förhindra att olagligt innehåll genereras samt redogöra för energikonsumtionen.

Vilka krav som ställs är också beroende av vilken typ av aktör det rör sig om. AIA ställer högre krav på tillverkare av AI-system än på slutanvändarna. Det är därför av vikt att de som omfattas av förordningen säkerställer både vilken typ av aktör man kommer att kategoriseras som samt vilken risknivå som det aktuella AI-system kommer att falla under.

Tillsyn och sanktioner

Tillsyn kommer att utövas både på nationell och EU-nivå. Inom EU har en europeisk AI-byrå inrättats (AI Office), det är ännu inte beslutat vilken eller vilka myndigheter som kommer ha tillsynsansvaret i Sverige. Sanktioner i form av sanktionsavgifter kan utgå för överträdelser av förordningen motsvarande:

• • det högsta av 35 MEUR eller upp till 7 % av den globala årsomsättningen – för överträdelser avseende otillåtna AI-system,
  • det högsta av 15 MEUR eller upp till 3 % av den globala årsomsättningen – för överträdelser av övriga krav enligt förordningen, samt
  • det högsta av 7,5 MEUR eller upp till 1 % av den globala årsomsättningen – för tillhandahållande av felaktig information till tillsynsorgan.

För små och medelstora företag ska sanktionsavgiften bestämmas till det lägre av ovan angivna belopp.

Implementering

Efter att rådet nu den 21 maj 2024 formellt antagit förordningen kommer den att träda i kraft 20 dagar efter att den har införts i EU:s officiella tidning, vilket väntas ske de kommande dagarna. Implementeringen kommer sedan att ske stegvis – otillåtna AI-system omfattas av förordningen efter 6 månader från ikraftträdande, grundmodeller omfattas efter 12 månader, medan övriga delar av förordningen kommer att bli fullt tillämpliga efter 24–36 månader. Det bör dock noteras att AI-system även innan dess är underkastad annan lagstiftning som exempelvis GDPR, produktsäkerhetslagstiftning med mera.

Kommentar

Genom AIA sätts ramar kring AI som potentiellt kan få stora effekter även utanför EU och som innebär en större förutsägbarhet på marknaden och ett starkare rättighetsskydd för enskilda. Det återstår att se om AIA kommer få samma genomslag som GDPR, men det går inte att missta EU:s ambitioner. En del frågetecken kvarstår dock; hur effektivt kommer förordningen kunna anpassas till AI-teknikens snabba utveckling och hur väl träffade EU i balansen mellan reglering och innovationsfrämjande?

Organisationer som utreder vilka möjligheter och skyldigheter AIA kan medföra bör först identifiera vilken typ av aktör man kategoriseras som samt vilken risknivå som kan bli aktuell. I förekommande fall bör man också säkerställa rutiner och utse ansvariga personer för efterlevnad. Därutöver bör närliggande frågor som datahantering och informationssäkerhet beaktas.

Vi på Cirio följer den löpande utvecklingen av AIA noggrannt. Med vår AI Readiness Scanner kan vi hjälpa organisationer som vill arbeta proaktivt med frågan.

Hör gärna av dig till oss så berättar vi mer.