AI-akten färdigförhandlad – nu återstår bara detaljer

I april 2021 presenterade EU-kommissionen ett förlag till reglering av artificiell intelligens (AI). Efter långdragna förhandlingar internt i EU-parlamentet kunde trilogerna påbörjas i juni och avslutats med en maratonförhandling. Sent på fredagskvällen nåddes en politisk överenskommelse. Lagtexten är dock inte tekniskt färdigförhandlad utan väntas bli klar i början av nästa år. Oavsett hur detaljerna i texten formuleras kommer den sannolikt framstå som mycket komplex för företagen som ska tillämpa AI-akten.

En fråga som varit grundläggande men svår har varit definitionen av AI. Det är positivt att OECD:s nyligen uppdaterade definition har använts som mall, vilket har varit högt på företagens önskelista.

Undantag från AI-akten ges för forskning och utveckling, viss användning inom rättsväsendet, nationell säkerhet och open-source.

Den hett diskuterade regleringen av generativ AI landade i transparens- och informationskrav för AI-system för allmänna ändamål i syfte att stödja användarnas möjlighet till regelefterlevnad. Men AI-modeller för generella ändamål, så kallade Foundational models, som har systemrisk med potential att avsevärt påverka hälsa, säkerhet, grundläggande rättigheter, miljön, demokratin eller rättsstatsprincipen omfattas av särskilda krav (se faktaruta). Dessa regler börjar gälla efter 12 månader från att AI-akten slutgiltigt godkänts av lagstiftarna.

Användning som är ett potentiellt hot mot medborgarnas rättigheter och demokratin förbjuds efter sex månader från AI-aktens godkännande. Det gäller AI med biometriska kategoriseringssystem som använder känsliga uppgifter (till exempel om sexuell läggning, ras, politisk- eller religiösa övertygelser med mera enligt GDPR), opreciserad användning av ansiktsbilder från internet eller CCTV-bilder för att skapa databaser för ansiktsigenkänning, igenkänning av känslor på arbetsplatsen (omfattar inte säkerhetsåtgärder som till exempel igenkänning av trötthet) och i utbildningsinstitutioner, social poängsättning baserad på socialt beteende eller personliga egenskaper, AI-system som manipulerar mänskligt beteende för att kringgå deras fria vilja samt AI användning för att utnyttja människors sårbarhet på grund av ålder, funktionsnedsättning, social eller ekonomisk situation. 

De omfattande kraven på utvecklare och användare av högrisk-system kompletterades i förhandlingen med krav på konsekvensanalys utifrån risken för grundläggande rättigheter (FRIA). Analyskravet gäller för offentlig verksamhet och privata företag som tillhandahåller tjänster av allmänt intresse (till exempel sjukhus, skolor, banker, försäkringsbolag) då de använder högrisksystem.

Därtill kommer krav på registrering i EU-databas, datarepresentativitet och kvalitet, mänsklig hantering eller övervakning, tredjepartsgodkännande, inrättande av risk- och kvalitetssystem med mera. För högrisksystem har utvecklare och användare på sig till 2026 (24 månader från antagande) innan regelverket måste följas.

Böter på upp till 35 miljoner euro eller 7 procent av den globala omsättningen för det som är förbjudet och i övriga delar upp till 7,5 miljoner euro eller 1,5 procent av omsättningen.

Nu återstår arbetet med de tekniska detaljerna. Förutom att lagtexten ska spegla den politiska överenskommelsen är det centralt att formulera regleringen så att den fungerar i praktiken. Harmoniserade standarder, tydliga riktlinjer och tydlig tillämpning blir centralt för att möjliggöra regelefterlevnad och konkurrens på lika villkor.