23 maj Är din organisation redo för AI-förordningen?
I tisdags (21/5) gav Rådet slutligen grönt ljus för EU:s nya AI-förordning, vilket innebär att förordningen under de kommande dagarna kommer att publiceras i EU:s officiella tidning, varefter förordningen kommer träda i kraft 20 dagar därefter. Nedan följer en introduktion till EU:s nya AI-förordning!
Vad är AI-förordningen?
EU:s nya AI-förordning (eng. AI-Act) anses utgöra världens första heltäckande regelverk avseende AI, som har tagits fram med syftet att utveckling och användning av AI inom EU ska vara säker och laglig med respekt för enskildas grundläggande rättigheter. Förordningen är samtidigt avsedd att främja utvecklingen av AI inom EU. AI-förordningen bygger på ett riskbaserat förhållningssätt där AI-system och AI-modeller för allmänna ändamål delas in i olika kategorier baserat på risk; ju högre risk för att orsaka skada, desto striktare krav.
Vilka kommer påverkas av AI-förordningen?
Genom förordningen introduceras flertalet skyldigheter för olika aktörer som agerar inom AI-området, och det görs en tydlig åtskillnad mellan bland annat leverantörer, spridare, importörer och distributörer av AI-system eller AI-modeller.
- Med leverantör avses någon som utvecklar ett AI-system eller en AI-modell, och som tar i bruk eller släpper ut det eller den på unionsmarknaden.
- Med spridare avses någon som använder ett AI-system utanför en personlig icke-yrkesmässig verksamhet.
- Med importör avses någon som befinner sig eller är etablerad inom EU och släpper ut ett AI-system på unionsmarknaden för någon som är etablerad i tredjeland.
- Med distributör avses någon, som inte utgör leverantör eller importör, som tillhandahåller ett AI-system på unionsmarknaden.
Förordningen är tillämplig på leverantörer oberoende av om de är etablerade inom unionen eller i tredjeland, och för det fall etableringsorten är i tredjeland, räcker det att den utdata som produceras av AI-systemet används i unionen för att förordningen ska vara tillämplig. Det senare om utdata gäller även för spridare av AI-system, som i övrigt endast omfattas av förordningen förutsatt att de har sin etableringsort i unionen.
Vilka undantag finns från AI-förordningens tillämpningsområde?
- Uteslutande militära ändamål, försvarsändamål eller ändamål som rör nationell säkerhet
- Användning för endast vetenskapligt forsknings- och utvecklingssyfte (FoU)
- Forsknings-, testnings eller utvecklingsverksamhet före utsläpp eller ibruktagande
- Fysiska personers rent personliga icke-yrkesmässiga verksamhet
- AI-system under fri licens med öppen källkod, under vissa förutsättningar
Hur definieras AI enligt AI-förordningen?
Att definiera AI har varit en av de mest omdiskuterade och kanske mest komplexa delarna under lagstiftningsprocessen, men kanske också en av de viktigaste, eftersom definitionen av AI är avgörande för omfattningen av AI-förordningens tillämpningsområde. Två centrala definitioner som infogats i förordningen för att definiera AI är AI-system och AI-modell.
- Med AI-system avses ”ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi, som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, på grundval av de indata det tar emot, drar slutsatser om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.”
- Med AI-modell för allmänna ändamål avses ”en AI-modell, även när en sådan AI-modell tränas med en stor mängd data med hjälp av övervakning i stor skala, som uppvisar betydande generalitet och på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen släppts ut på marknaden och som kan integreras i en rad system eller tillämpningar i efterföljande led, utom AI-modeller som används för forsknings-, utvecklings- eller prototypverksamhet innan de släpps ut på marknaden.”
Det är viktigt att skilja på vad som utgör ett AI-system respektive en AI-modell enligt förordningen. En AI-modell utgör inte ett AI-system i sig, men utgör ofta en viktig komponent av ett AI-system genom att de integreras i AI-systemen. För att en AI-modell ska kunna bli ett AI-system krävs det tillägg av ytterligare komponenter, t.ex. ett användargränssnitt. AI-modeller har en särskild inverkan på AI-värdekedjan eftersom de kan återfinnas som underliggande komponent i en rad AI-system i efterföljande led.
Vad innebär ett riskbaserat förhållningssätt?
Det riskbaserade förhållningssättet innebär att AI-system och AI-modeller kategoriseras baserat på risk, där kravställningens omfattning enligt förordningen bestäms av vilken kategori ett AI-system eller AI-modell för allmänna ändamål tillhör. AI-system kategoriseras enligt oacceptabel risk, hög risk, begränsad risk och minimal risk, där den sista kategorin anses innebära så liten risk att sådana AI-system inte omfattas av AI-förordningens bestämmelser. Avseende kategorin hög risk finns det vissa klassificeringsregler i förordningen för att bedöma om AI-systemet utgör ett högrisksystem. AI-modeller kategoriseras enligt AI-modell med systemrisk och AI-modell utan systemrisk.
Vilka skyldigheter medför AI-förordningen för organisationer?
AI-system med oacceptabel risk
Förbjudna AI-tillämpningar till följd av att de anses innebära en oacceptabel risk för enskildas grundläggande rättigheter. Förbudet innebär att det inte är tillåtet att varken släppa ut, ta i bruk eller använda sådana AI-system som omfattas av förbudet, och detta oberoende av om organisationen utgör en leverantör, spridare eller annan aktör. Förbudet omfattar ett antal specifikt angivna AI-tillämpningar, vilket bland annat inkluderar AI-system som utnyttjar subliminala tekniker, avsiktligt manipulerande eller vilseledande tekniker, såsom dark patterns, eller AI-system för social poängsättning m.m.
Leverantörer av AI-system med hög risk
Leverantörer av AI-system med hög risk är den kategori som åläggs störst regelefterlevnadsbörda enligt AI-förordningen. Leverantörer omfattas av både tekniska krav, som avser utformning och utveckling av AI-system, samt organisatoriska krav. AI-förordningen kräver bland annat att leverantören inrättar omfattande riskhanteringssystem och kvalitetsstyrningssystem, implementerar robusta metoder för dataförvaltning, datahantering och cybersäkerhet, upprättar teknisk dokumentation, säkerställer loggning och mänsklig övervakning, samt upprättar bruksanvisning för att säkerställa transparens i AI-värdekedjan.
Spridare av AI-system med hög risk
Även spridare, det vill säga organisationer som använder AI-system i sin verksamhet, åläggs skyldigheter enligt förordningen. Spridare ska vidta både tekniska och organisatoriska åtgärder för att säkerställa att användningen av AI-system sker i enlighet med de bruksanvisningar som åtföljer systemen. De ska även övervaka systemet och rapportera eventuella problem, samt för det fall spridaren har kontroll över indata, säkerställa dess relevans och dess representativa förmåga. Offentligrättsliga organ eller privata enheter som tillhandahåller offentliga tjänster ska dessutom, innan användningen av ett AI-system med hög risk, genomföra en konsekvensbedömning avseende dess inverkan på de grundläggande rättigheterna enligt vissa kriterier.
Leverantörer och spridare av AI-system med begränsad risk
Utgör en särskild kategori AI-system specifikt angivna i förordningen, vilka omfattas av särskilda transparensskyldigheter för både leverantörer och spridare. Det handlar bland annat om säkerställande av transparens när människor interagerar med ett AI-system, såsom med en chatbot, eller säkerställande av transparens när innehåll genereras eller manipuleras artificiellt, såsom vid framtagande av deepfakes.
Leverantörer av AI-modeller
I förhållande till leverantörer av AI-modeller infogas genom förordningen särskilda skyldigheter och krav, vilka skiljer sig åt beroende på om det handlar om en AI-modell utan systemrisk eller en AI-modell med systemrisk. Alla AI-modeller omfattas av vissa grundkrav, såsom att tillhandahålla en sammanfattning av AI-modellens träningsinnehåll samt genomförandet av modellutvärderingar, medan det för AI-modeller med systemrisk finns vissa ytterligare krav, med anledning av att dessa AI-modeller anses innebära särskilt stora risker.
Vilka sanktioner gäller enligt förordningen?
Bristande efterlevnad av AI-förordningen kan föranleda betydande sanktionsavgifter, vars storlek bestäms av överträdelsens art.
- Det högsta av 35 miljoner EUR eller 7 % av total global årsomsättning, vid överträdelse av förbudet mot förbjudna AI-tillämpningar
- Det högsta av 15 miljoner EUR eller 3 % av total global årsomsättning, vid överträdelse av förordningens skyldigheter
- Det högsta av 7,5 miljoner EUR eller 1 % av total global årsomsättning, vid tillhandahållande av felaktig eller vilseledande information
När kommer AI-förordningen börja tillämpas?
Efter att AI-förordningen har trätt i kraft, vilket förväntas ske i juni, kommer förordningens regler att börja tillämpas stegvis med start sex månader efter ikraftträdandet, då bestämmelserna om förbjudna AI-metoder samt sanktioner börjar tillämpas. Efter 12 månader börjar bestämmelser om AI-modeller tillämpas, och efter 24 månader börjar krav och skyldigheter avseende leverantörer av AI-system med hög risk eller begränsad risk att tillämpas. Skyldigheter för spridare börjar tillämpas 24–36 månader efter ikraftträdandet.
Är din organisation redo för AI-förordningen?
De flesta organisationer utvärderar idag användning och utveckling av olika AI-tillämpningar i sin verksamhet. För att lyckas med AI-projekten behövs kunskap, och arbetsmetoder som tar höjd för gällande regelverk. Behöver ni uppdatera era kunskaper om de rättsliga aspekterna på AI eller juridisk support i ert AI-projekt? Vi är IT-rättsspecialister som i stor omfattning arbetar med olika AI-rättsliga uppdrag. Vi är också ofta anlitade föredragshållare i olika sammanhang på området AI & Juridiken.
Tveka inte på att höra av er om ni har frågor kopplat till AI-förordningen eller AI och juridik i övrigt!
Christina Wikström Anton Karlsson
Advokat & Managing Partner Biträdande jurist
christina@wikstrompartners.se anton@wikstrompartners.se
+46 70 691 68 00 +46 70 148 00 09