Ny EU-forordning om kunstig intelligens på vej

EU-kommissionen fremlagde tilbage i april 2021 et forslag til, hvad der reelt kan blive den første målrettede EU-lovgivning på området for kunstig intelligens. Den såkaldte AI(Artificial Intelligence)-forordning har til formål at sikre EU-borgernes tillid til anvendelsen af AI-systemer.
Nyhed
IT og Teknologi

AI-forordningens opbygning og anvendelsesområde

Overordnet set opstiller AI-forordningen fire forskellige typer af regulering, som i hovedtræk kan karakteriseres som følger:

i) Forbud mod visse AI-systemer
ii) Særlige krav til anvendelse af visse AI-systemer
iii) Krav om transparens for visse udvalgte AI-systemer, som interagerer med mennesker
iv) Såkaldte ”code of conducts” for de systemer, som ikke karakteriseres som højrisikosystemer

Ifølge forordningens artikel 3 og bilag 1 er et AI-system defineret som ”software that is developed with one or more of the techniques and approaches listed in Annex I and can, for a given set of human-defined objectives, generate outputs such as content, predictions, recommendations, or decisions influencing the environments they interact with”. Definitionen er dermed ret bred og efterlader en vis uvished om, hvilke systemer der reelt vil være omfattet af forordningen. Specielt kan der opstå usikkerhed, hvis et system/softwareløsning kun i et meget begrænset omfang anvender AI-teknikker

Det er dog et ønske fra EU-Kommissionens side, at definitionen af AI-systemer løbende skal kunne opdateres, så definitionen følger den teknologiske udvikling. Derfor indeholder artikel 4 i forordningen en sådan mulighed.

På nærmere specifikke områder er det bestemt, at AI-forordningen ikke skal finde anvendelse. Det gælder f.eks. i forbindelse med AI-systemer, som udelukkende er designet eller bestemt til at indgå til brug for militære formål. Det samme gør sig også gældende ved selvkørende biler. Formålet er, at sådanne områder skal reguleres særskilt og mere specifikt end den generelle regulering i AI-forordningen. 

Strenge krav til højrisikosystemer

AI-forordningens hovedfokus er at regulere de såkaldte højrisikosystemer, der er oplistet i forordningens bilag 3. Disse systemer er nærmere opdelt i 8 kategorier bestående af biometrisk identifikation, styring af kritisk infrastruktur, HR, retshåndhævelse, migration og asyl, uddannelse, visse ”essentielle ydelser” (herunder velfærdsydelser, kreditvurdering og lign.) og endelig systemer inden for retsplejen.

Forordningen indeholder en række særlige krav til (løbende) kvalitetssikring og transparens for højrisikosystemer. Systemer, der falder inden for kategorien af højrisikosystemer skal desuden registreres i en særlig EU-database og CE-mærkes.

Generelt gælder desuden, at alle systemer, som på en eller anden måde er bestemt til at skulle interagere med (fysiske) personer, skal indrettes på en måde, så personerne informeres om, at de beskæftiger sig med et AI-system, f.eks. i tilfælde hvor der anvendes en ”chatbot” eller tilsvarende automatiseret chatfunktion. Der gælder desuden en særlig oplysningspligt, hvis systemet anvender manipulation af billeder, lyd eller video, herunder brug af såkaldt ”deep fake”-videoer.

Forordningen indeholder også et egentligt forbud mod visse typer af AI-systemer. De forbudte AI-systemer er bl.a. systemer, der er decideret manipulerede eller fysisk eller psykisk skadelige for mennesker, herunder især hvis systemet er tiltænkt brug af børn, systemer som anvender ”social scoring” ved brug af overvågning og visse former for ansigts- og persongenkendelse.

Forordningens geografiske anvendelsesområde  

AI-forordningen er ifølge artikel 2 bestemt til at gælde for alle leverandører, som på den ene eller anden måde beskæftiger sig med et AI-system indenfor EU. Det er således uden betydning om den pågældende leverandør har hjemsted udenfor EU. Dertil omfatter forordningen også alle brugere af et omfattet AI-system, hvis disse har hjemsted i EU.

Den omfattende personkreds er bestemt til at være både leverandører, importører distributører og brugere. Hermed er det søgt at regulere alle led i kæden, som beskæftiger sig med AI-systemer. Under en samlebetegnelse er den omfattende personkreds kendetegnet ved at være ”operatører” af AI-systemer. Igen her stilles der strengere krav til brug af højrisikosystemer, hvorefter specielt leverandører heraf underlægges særlige krav. Det fremgår af forordningens kapitel 2, at transparens og sikkerhed er eksempler på disse strengere krav.

Af ovenstående afgrænsning kan det udledes, at forordningen er bestemt til at regulere markedsføring, salg og brug af AI-systemer. Hermed er altså selve udviklingen af AI-systemer ikke omfattet af forordningen. Der vil således ikke være noget til hinder for, at et AI-system udvikles i strid med forordningen indenfor EU, så længe systemet ikke markedsføres, sælges eller bruges indenfor EU.   

Forholdet til GDPR

Forordningen er bestemt til at gælde ved siden af databeskyttelsesforordningen (GDPR). Kravene i GDPR skal dermed (også) overholdes ved brug AI-systemer.

Udover de almindelige principper i artikel 5 i GDPR er der en række bestemmelser i GDPR, der vil have særlig relevans for AI-systemer, herunder kravene om transparens og oplysningspligt (artikel 13-15), forbuddet mod brug af automatiske individuelle afgørelser (profilering) (artikel 22), kravene til privacy by design og privacy by default (artikel 25) og kravet til udarbejdelse af konsekvensanalyse (DPIA) ved implementering af systemer, der indebærer en høj risiko for de registrerede (artikel 35).

Udsigt til højt bødeniveau

Ifølge udkastet vil brud på reglerne om forbudte AI-systemer kunne straffes med bøde på op til 6 % af en virksomheds globale omsætning eller 30 mio. euro – alt efter hvilket beløb, der er størst.

Der er således lagt op til et endnu højere bødeniveau end det, der kendes fra GDPR.

Forventet ikrafttræden

Der er endnu ikke fastsat en dato for AI-forordningens ikrafttræden. Den 21. juni 2021 offentliggjorde det Europæiske Databeskyttelsesråd (EDPB) og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) en fælles udtalelse om AI-forordningen, hvor EDPB hilser forslaget om regulering af AI-systemer velkomment, herunder forbuddet mod brug af visse højrisikosystemer, men samtidig påpeger visse uhensigtsmæssigheder i forslaget, bl.a. relateret til samspillet med GDPR. Udtalelsen kan læses i sin helhed her.

Lund Elmer Sandagers kommentar

Det må forventes, at der fortsat vil gå noget tid med at få justeret forslaget til forordningen, inden der foreligger en endelig version klar til vedtagelse. Der er dog næppe tvivl om, at forordningen vil blive vedtaget og også i en version, der ikke ligger langt fra det nuværende udkast.

Derfor er det også en god idé allerede på nuværende tidspunkt at sætte sig ind i de kommende regler, hvis din virksomhed arbejder med AI-systemer.

Hos Lund Elmer Sandager følger vi naturligvis den videre udvikling tæt.

Hvis du har spørgsmål til forslaget, er du velkommen til at kontakte vores juridiske ekspert på området advokat Anders Linde Reislev.