EU:s lag om artificiell intelligens (AI) trädde officiellt i kraft den 1 augusti 2024 - en vattendelare för den globala AI-regleringen.
Denna omfattande lagstiftning kategoriserar AI-system baserat på deras risknivåer och inför olika grader av tillsyn som varierar beroende på riskkategori.
Lagen kommer att helt förbjuda vissa former av AI som innebär "oacceptabla risker", till exempel sådana som är utformade för att manipulera människors beteende.
Även om Lag är nu lag i alla 27 EU-länder, men de allra flesta av dess bestämmelser träder inte i kraft omedelbart.
Istället markerar detta datum början på en förberedelsefas för både tillsynsmyndigheter och företag.
Hjulen är dock i rullning och lagen kommer med all säkerhet att forma framtiden för hur AI-teknik utvecklas, används och hanteras, både inom EU och internationellt.
Tidsplanen för genomförandet är som följer:
- Februari 2025: Förbud mot AI-metoder som innebär "oacceptabla risker" träder i kraft. Det handlar bland annat om sociala poängsystem, icke målinriktad skrapning av ansiktsbilder och användning av teknik för att känna igen känslor på arbetsplatser och i utbildningsmiljöer.
- Augusti 2025: Krav på AI-modeller för allmänna ändamål träder i kraft. Denna kategori, som omfattar stora språkmodeller som GPT, kommer att behöva följa regler om transparens, säkerhet och riskreducering.
- augusti 2026: Föreskrifter för AI-system med hög risk inom kritiska sektorer som sjukvård, utbildning och sysselsättning blir obligatoriska.
Europeiska kommissionen förbereder sig för att genomdriva dessa nya regler.
Kommissionens talesperson Thomas Regnier förklarade att cirka 60 befintliga medarbetare kommer att omplaceras till det nya AI-kontoret, och att ytterligare 80 externa medarbetare kommer att anställas under nästa år.
Dessutom måste varje EU-medlemsstat inrätta nationella behöriga myndigheter för att övervaka och verkställa lagen senast i augusti 2025.
Efterlevnad kommer inte att ske över en natt. Även om alla stora AI-företag har förberett sig för lagen under en tid, uppskattar experter att det kan ta sex månader eller mer att implementera kontrollerna och rutinerna.
Mycket står på spel för de företag som hamnar i lagens skottlinje. Företag som bryter mot lagen kan få böter på upp till 35 miljoner euro eller 7% av sina globala årliga intäkter, beroende på vilket som är högst.
Det är högre än GPDR, och EU brukar inte komma med tomma hot och samla in över 4 miljarder euro från GDPR-böter hittills.
Internationell påverkan
EU:s AI Act är världens första heltäckande AI-lagstiftning och kommer att sätta nya standarder i hela världen.
Stora aktörer som Microsoft, Google, Amazon, Apple och Meta kommer att vara bland de mest utsatta för de nya reglerna.
Som Charlie Thompson på Appian berättade för CNBC"AI-lagen kommer sannolikt att gälla för alla organisationer med verksamhet eller påverkan i EU, oavsett var de har sitt huvudkontor."
Vissa amerikanska företag vidtar förebyggande åtgärder. Meta, till exempel, har begränsat tillgängligheten till sina AI-modellen LLaMa 400B i Europamed hänvisning till osäkerhet kring lagstiftningen. OpenAI hotade med att strypa produktlanseringar i Europa 2023 men backade snabbt.
För att följa lagen kan AI-företag behöva revidera utbildningsdataset, införa mer robust mänsklig tillsyn och förse EU:s myndigheter med detaljerad dokumentation.
Detta går stick i stäv med hur AI-industrin fungerar. OpenAI, Google etc.:s egenutvecklade AI-modeller är hemliga och mycket välbevakade.
Utbildningsdata är exceptionellt värdefulla och om de avslöjades skulle sannolikt stora mängder upphovsrättsskyddat material exponeras.
Det finns svåra frågor att besvara om AI-utvecklingen ska gå framåt i samma takt som den gjort hittills.
Vissa företag är pressade att agera snabbare än andra
EU-kommissionen uppskattar att cirka 85% av AI-företagen faller under "minimal risk", vilket kräver liten tillsyn, men lagens regler påverkar ändå verksamheten för företag i de övre kategorierna.
Personal och sysselsättning är ett område som i lagen betecknas som en del av högriskkategorin.
Stora leverantörer av företagsprogramvara som SAP, Oracle, IBM, Workday och ServiceNow har alla lanserat AI-förbättrade HR-applikationer som integrerar AI i screening och hantering av kandidater.
Jesper Schleimann, SAP:s AI-ansvarige för EMEA, berättade Registret att bolaget har etablerat robusta processer för att säkerställa efterlevnad av de nya reglerna.
På samma sätt har Workday implementerat ett Responsible AI-program som leds av ledande befattningshavare i enlighet med lagens krav.
En annan kategori under cosh är AI-system som används i kritisk infrastruktur och viktiga offentliga och privata tjänster.
Detta omfattar ett brett spektrum av tillämpningar, från AI som används i energinät och transportsystem till AI som används inom hälso- och sjukvård och finansiella tjänster.
Företag som är verksamma inom dessa sektorer kommer att behöva visa att deras AI-system uppfyller stränga säkerhets- och tillförlitlighetsstandarder. De kommer också att behöva genomföra grundliga riskbedömningar, implementera robusta övervakningssystem och säkerställa att deras AI-modeller är förklarliga och transparenta.
AI-lagen förbjuder visserligen helt och hållet viss användning av biometrisk identifiering och övervakning, men gör begränsade eftergifter i samband med brottsbekämpning och nationell säkerhet.
Detta har visat sig vara ett fruktbart område för AI-utveckling, där företag som Palantir bygger avancerade prediktiva brottssystem sannolikt skulle strida mot rättsakten.
Storbritannien har redan experimenterat mycket med AI-baserad övervakning. Även om Storbritannien står utanför EU kommer många AI-företag som är baserade där med största sannolikhet att behöva följa lagen.
Osäkerhet ligger framför oss
Reaktionen på lagen har varit blandad. Många företag inom EU:s teknikindustri har uttryckt oro över dess inverkan på innovation och konkurrens.
I juni, över 150 chefer från stora företag som Renault, Heineken, Airbus och Siemens gick samman i ett öppet brev där de uttryckte sin oro över förordningens inverkan på näringslivet.
Jeannette zu Fürstenberg, en av undertecknarna och grundare av den Berlinbaserade riskkapitalfonden La Famiglia VC, menade att AI-lagen skulle kunna få "katastrofala följder för den europeiska konkurrenskraften".
France Digitale, som representerar nystartade teknikföretag i Europa, kritiserade lagens regler och definitioner och sade: "Vi krävde att man inte skulle reglera tekniken som sådan, utan att man skulle reglera användningen av tekniken. Den lösning som Europa har antagit idag innebär att man reglerar matematiken, vilket inte är särskilt logiskt."
Men de som stöder lagen hävdar att den också innebär möjligheter till innovation inom ansvarsfull AI-utveckling. EU:s hållning är tydlig: skydda människor från AI, så kommer en mer allsidig och etiskt driven industri att följa.
Regnier berättade för Euro News"Det man hör överallt är att det EU gör är ren reglering (...) och att detta kommer att blockera innovation. Detta är inte korrekt."
"Lagstiftningen är inte till för att hindra företag från att lansera sina system - tvärtom. Vi vill att de ska kunna verka inom EU, men vi vill skydda våra medborgare och våra företag."
Även om skepsisen är stor finns det anledning att vara optimistisk. SSyftet med att införa gränser för AI-driven ansiktsigenkänning, social scoring och beteendeanalys är att skydda EU-medborgarnas medborgerliga fri- och rättigheter, som länge har haft företräde framför teknik i EU:s regelverk.
Internationellt kan lagen bidra till att bygga upp allmänhetens förtroende för AI-teknik, dämpa farhågor och fastställa tydligare standarder för utveckling och användning av AI.
Att bygga upp ett långsiktigt förtroende för AI är avgörande för att branschen ska kunna fortsätta att utvecklas, så det kan finnas vissa kommersiella fördelar med lagen, även om det kommer att krävas tålamod för att se den förverkligas.