EU har indgået en aftale om AI-loven, som sandsynligvis vil træde i kraft i 2024 eller 2025 som planlagt.
Denne skelsættende beslutning er resultatet af et intenst 37-timers forhandlingsforløb med deltagelse af Europa-Parlamentet og EU's medlemslande.
Thierry Breton, den EU-kommissær, der er hovedansvarlig for denne nye lovpakke, beskrev aftalen som "historisk". Forhandlingerne har været i gang siden tirsdag, og nogle dage har forhandlerne arbejdet hele natten.
Historisk!
EU bliver det allerførste kontinent, der fastsætter klare regler for brugen af AI 🇪🇺
Den #AIAct er meget mere end en regelbog - det er en affyringsrampe for nystartede virksomheder og forskere i EU til at føre an i det globale AI-kapløb.
Det bedste er endnu ikke kommet! 👍 pic.twitter.com/W9rths31MU
- Thierry Breton (@ThierryBreton) 8. december 2023
Carme Artigas, Spaniens statssekretær for AI, var afgørende for, at disse forhandlinger blev afsluttet med succes.
Artigas påpegede den betydelige opbakning, som teksten fik fra store europæiske lande, og sagde specifikt: "Frankrig og Tyskland støttede teksten." Det er bemærkelsesværdigt, da Frankrig og Tyskland, der er ivrige efter at fremme deres egne voksende AI-industrier, satte spørgsmålstegn ved nogle af de strengere elementer i loven.
EU er nu klar til at vise vejen for AI-regulering. Mens det specifikke indhold og konsekvenserne af de nye love stadig er under udvikling, vil de sandsynligvis træde i kraft i 2024/2025.
Vigtige aftaler og aspekter af EU's AI Act
Den Foreløbig aftale om AI-loven er et historisk skridt i reguleringen af kunstig intelligens. Det følger i fodsporene på andre EU-teknologireguleringer, som f.eks. GDPR, der har påført teknologivirksomheder milliardbøder i årenes løb.
Carme Artigas, den spanske statssekretær for digitalisering og kunstig intelligens, sagde om loven: "Dette er en historisk bedrift og en enorm milepæl mod fremtiden! Dagens aftale tager effektivt fat på en global udfordring i et hurtigt udviklende teknologisk miljø på et nøgleområde for vores samfunds og økonomiers fremtid. Og i denne bestræbelse er det lykkedes os at holde en yderst delikat balance: at sætte skub i innovation og udbredelse af kunstig intelligens i hele Europa, samtidig med at vi fuldt ud respekterer vores borgeres grundlæggende rettigheder."
Her er de centrale nye aspekter af den aftalte lovgivning:
- AI-systemer med stor effekt og høj risiko: Aftalen indfører regler for AI-modeller til generelle formål, der kan udgøre "systemiske" risici. Præcis hvad det betyder, er stadig tvetydigt, men det er stort set designet til at imødekomme nye generationer af modeller på GPT-4-niveau og derover.
- Styring og håndhævelse: Der blev etableret et revideret styringssystem, herunder nogle håndhævelsesbeføjelser på EU-niveau. Dette sikrer en centraliseret tilgang til regulering af AI på tværs af medlemslandene.
- Forbud og undtagelser for retshåndhævelse: Aftalen udvider listen over forbudte AI-praksisser, men tillader brug af biometrisk fjernidentifikation af retshåndhævende myndigheder i det offentlige rum under strenge betingelser. Dette har til formål at afbalancere offentlig sikkerhed med privatlivets fred og borgerlige frihedsrettigheder.
- Beskyttelse af rettigheder: Et centralt aspekt af aftalen er forpligtelsen for brugere af højrisiko-AI-systemer til at vurdere indvirkningen på menneskers rettigheder, før de bruger et AI-system. "Udbydere" er nøgleordet her, da loven forpligter til ansvar i hele AI-værdikæden.
Andre aftalte områder omfatter:
- Definitioner og anvendelsesområde: Definitionen af AI-systemer er blevet afstemt med OECD's definitionog forordningen udelukker AI-systemer, der udelukkende bruges til militær-, forsvars-, forsknings- og innovationsformål eller af enkeltpersoner af ikke-professionelle årsager.
- Klassificering af AI-systemer: AI-systemer vil blive klassificeret ud fra risiko, hvor højrisikosystemer er underlagt strenge krav, mens systemer med begrænset risiko har lettere ved at opnå gennemsigtighed. Det har hele tiden været hensigten.
- Grundlæggende modeller: Aftalen omhandler grundmodeller, store AI-systemer, der er i stand til at udføre forskellige opgaver som ChatGPT/Bard/Claude 2. Der er fastsat specifikke gennemsigtighedsforpligtelser for disse modeller, med strengere regler for foundation-modeller med stor effekt.
- Krav til AI-systemer med høj risiko: AI-systemer med høj risiko vil blive tilladt på EU-markedet, men skal overholde specifikke krav, herunder datakvalitet og teknisk dokumentation, især for SMV'er.
- Ansvar i AI-værdikæder: Aftalen præciserer de forskellige aktørers roller og ansvar i AI-systemets værdikæder, herunder udbydere og brugere, og hvordan disse forholder sig til eksisterende EU-lovgivning.
- Forbudte AI-praksisser: Loven forbyder visse uacceptable AI-praksisser, som f.eks. kognitiv adfærdsmanipulation, umålrettet skrabning af ansigtsbilleder og følelsesgenkendelse på arbejdspladser og uddannelsesinstitutioner.
- Nødprocedurer for retshåndhævelse: En nødprocedure giver de retshåndhævende myndigheder mulighed for at anvende højrisiko-AI-værktøjer, der ikke har bestået overensstemmelsesvurderingen, i akutte situationer.
- Biometrisk identifikation i realtid: Retshåndhævende myndigheders brug af biometriske fjernidentifikationssystemer i realtid i det offentlige rum er tilladt under strenge betingelser til specifikke formål som forebyggelse af terrorangreb eller eftersøgning af mistænkte for alvorlige forbrydelser.
Styring, sanktioner og håndhævelse:
- Forvaltning: Et AI-kontor i Kommissionen vil føre tilsyn med avancerede AI-modeller, støttet af et videnskabeligt panel af uafhængige eksperter og AI-bestyrelsen, der består af repræsentanter for medlemslandene.
- Sanktioner: Aftalen fastsætter bøder baseret på en procentdel af virksomhedens globale årlige omsætning for forskellige overtrædelser, med mere forholdsmæssige lofter for SMV'er og nystartede virksomheder.
- Bøder: Der er fastsat bøder for manglende overholdelse baseret på overtrædelsens alvor. Bøderne beregnes enten som en procentdel af virksomhedens globale årsomsætning fra det foregående regnskabsår eller som et fast beløb. Det højeste af de to tages. Bøderne er struktureret som følger: 35 millioner euro eller 7% af omsætningen for overtrædelser, der involverer forbudte AI-applikationer, 15 millioner euro eller 3% for overtrædelser af lovens forpligtelser og 7,5 millioner euro eller 1,5% for at give forkerte oplysninger.
- Støtte: Aftalen omfatter AI-regulatoriske sandkasser til at teste innovative AI-systemer under virkelige forhold og giver støtte til mindre virksomheder.
Denne foreløbige aftale skal stadig godkendes af Europa-Parlamentet og EU's 27 medlemslande.
Hvordan vil lovgivningen påvirke 'frontier-modeller'?
I henhold til de nye regler skal alle udviklere af generelle AI-systemer, især dem med en bred vifte af potentielle anvendelser som ChatGPT og Bard, opretholde opdaterede oplysninger om, hvordan deres modeller trænes, give en detaljeret oversigt over de data, der bruges i træningen, og have politikker, der respekterer ophavsretslove og sikrer acceptabel brug.
Loven klassificerer også visse modeller som udgørende en "systemisk risiko". Denne vurdering er primært baseret på disse modellers computerkraft. EU har sat en tærskel for denne kategori ved modeller, der anvender mere end 10 billioner billioner operationer pr. sekund.
I øjeblikket er OpenAI's GPT-4 den eneste model, der automatisk opfylder denne tærskel. Men EU kan mærke andre modeller under denne definition.
Modeller, der anses for at udgøre en systemisk risiko, vil være underlagt yderligere, strengere regler. Disse omfatter:
- Obligatorisk indberetning af energiforbrug.
- Gennemførelse af red-teaming eller kontradiktoriske tests.
- Vurdering og afhjælpning af potentielle systemiske risici.
- Sikring af robuste cybersikkerhedskontroller.
- Rapporterer både de oplysninger, der er brugt til at finjustere modellen, og detaljer om deres systemarkitektur.
Hvordan er aftalen blevet modtaget?
AI-loven har udløst et utal af reaktioner med kommentarer til dens innovation, regulering og samfundsmæssige indvirkning.
Fritz-Ulli Pieper, specialist i IT-ret hos Taylor Wessing, påpegede, at selv om slutningen er i sigte, kan loven stadig blive ændret.
Han bemærkede: "Der er stadig mange punkter, der skal arbejdes videre med i den tekniske trilog. Ingen ved, hvordan den endelige ordlyd vil se ud, og om eller hvordan man virkelig kan presse den nuværende aftale ind i en endelig lovtekst."
Piepers indsigt afslører kompleksiteten og usikkerheden omkring AI-loven og antyder, at der stadig er meget arbejde tilbage for at sikre, at den endelige lovgivning er effektiv og praktisk.
Et centralt tema på disse møder har været at afbalancere AI-risici og -muligheder, især da modeller kan være "dobbeltnaturlige", hvilket betyder, at de kan give fordele og forårsage skade. Alexandra van Huffelen, Hollands digitaliseringsminister, bemærkede: "At håndtere AI betyder en retfærdig fordeling af muligheder og risici."
Loven beskyttede tilsyneladende heller ikke EU-borgerne mod overvågning i stor skala, hvilket fangede opmærksomheden hos interesseorganisationer som Amnesty International.
Mher Hakobyan, Advocacy Advisor on Artificial Intelligence, sagde om dette kontroversielle punkt: "Ikke at sikre et fuldstændigt forbud mod ansigtsgenkendelse er derfor en enormt forpasset mulighed for at stoppe og forhindre kolossal skade på menneskerettighederne, det civile rum og retsstatsprincippet, som allerede er truet i hele EU."
Efter denne foreløbige aftale vil AI-loven træde i kraft to år efter den officielle vedtagelse, hvilket giver regeringer og virksomheder i hele EU mulighed for at forberede sig på at overholde dens bestemmelser.
I mellemtiden vil embedsmændene forhandle om de tekniske detaljer i forordningen. Når de tekniske forbedringer er afsluttet, vil kompromisteksten blive sendt til medlemslandenes repræsentanter til godkendelse.
Det sidste trin omfatter en juridisk-sproglig revision for at sikre klarhed og juridisk nøjagtighed, efterfulgt af den formelle vedtagelse. AI-loven vil helt sikkert ændre branchen både i EU og globalt, men det er svært at forudsige omfanget.
