Ny forordning for kunstig intelligens

EU Artificial Intelligence Act er en ny forordning foreslått av EU-kommisjonen i april 2021. Den er verdens første forslag til et juridisk rammeverk som spesifikt regulerer KI.

DENNE SIDEN ER UNDER UTVIKLING OG INNHOLDET KAN BLI ENDRET

Innledning

Kunstig intelligens (på engelsk Artificial Intelligence eller AI) spiller en rolle i hverdagen vår, fra filtrering av søppelpost, til å foreslå en ny sang for oss, til å finne den raskeste veien til dit vi skal. Etter hvert som KI utvikler seg, kan det gi enda flere fordeler for innbyggere og bedrifter, slik som forebygging av sykdommer, redusering av dødsulykker i trafikkulykker, og bedre sikkerhet mot cybertrusler.

EU har foreslått nye regler for kunstig intelligens for å bidra til å utnytte dets fulle potensiale og fordelene KI gir i tiden fremover. EU Artificial Intelligence Act er en ny forordning foreslått av EU-kommisjonen i april 2021. Den er verdens første forslag til et juridisk rammeverk som spesifikt regulerer KI. Formålet med reglene er å sikre at KI utvikler seg på en måte som garanterer tillit, sikkerhet og grunnleggende rettigheter, samtidig som de fremmer innovasjon. EU er den første store aktøren som går utover retningslinjer og over til tydeligere regulering for kunstig intelligens.

KI-forordningen er under arbeid i EU-systemet, og parlamentet skal etter planen stemme over utkastet innen utgangen av mars 2023. Hvis tidslinjen overholdes, vil den endelige AIA bli vedtatt innen utgangen av 2023. Vi har ikke den endelige versjonen av, så dette er en generell beskrivelse av forordningen basert på de foreløpige utkastene.

Hvorfor trenger vi regler for bruk av kunstig intelligens?

Den foreslåtte KI-forordningen skal sikre at innbyggere i EU/EØS kan stole på KI. Mens de fleste KI-systemer utgjør begrenset til ingen risiko og kan bidra til å løse mange samfunnsutfordringer, skaper visse KI-systemer risikoer som må håndteres for å unngå uønskede utfall.

Eksempel

Ofte er det ikke mulig å finne ut hvorfor et KI-system har tatt en beslutning eller prediksjon og tatt en bestemt handling. Så det kan bli vanskelig å vurdere om noen er blitt urettmessig forfordelt, for eksempel i et ansettelsesvedtak eller i en søknad om offentlig ytelsesordning.

KI er regulert i dag, men ikke direkte. Lover som likestillings- og diskrimineringslov, forvaltningslov og personvernforordningen setter mange rammer for hva vi kan gjøre med kunstig intelligens. Samtidig er denne lovgivningen ikke tilpasset KI som teknologi. Eksisterende lovgivning gir en viss beskyttelse, men den er ikke tilstrekkelig for å håndtere de spesifikke utfordringene KI-systemer kan medføre. De foreslåtte reglene vil:

  • adressere risikoer spesifikt skapt av KI-applikasjoner;
  • foreslå en liste over høyrisikoapplikasjoner;
  • stille klare krav til KI-systemer for høyrisikoapplikasjoner;
  • definere spesifikke forpliktelser for KI-brukere og leverandører av høyrisikoapplikasjoner;
  • foreslå en samsvarsvurdering før KI-systemet tas i bruk eller markedsføres;
  • foreslå håndhevelse etter at et slikt KI-system er plassert på markedet;
  • foreslå en styringsstruktur på europeisk og nasjonalt nivå.

Risikobasert tilnærming

I kjernen av den nye KI-forordningen finner vi en risikobasert tilnærming. Dette innebærer at hvor strengt noe regulerers beror på risikoen. Forordningen definerer fire nivåer for risiko:

  • Uakseptabel risiko
  • Høy risiko
  • Begrenset risiko
  • Minimal eller ingen risiko
En pyramide som viser de forskjellige risikokategoriene i KI-forordningen. Med uakseptabel risiko på toppen og minimal risiko nederst

Uakseptabel risiko

Noen få systemer for kunstig intelligens strider mot EU/EØS-verdier fordi de bryter med grunnleggende rettigheter. Dette kan eksempelvis være sosial poengsum fra regjeringer, utnyttelse av sårbarheter hos barn, bruk av manipulative teknikker, og visse biometriske identifikasjonssystemer i offentlig tilgjengelige rom som brukes til rettshåndhevelsesformål. Slik systemer vil bli forbudt.

Høyrisiko

Visse systemer defineres som høyrisiko-systemer. Mange av disse systemene er relevante for offentlig sektor. Dette inkluderer KI-teknologi som brukes i:

  • kritisk infrastruktur (f.eks. transport), som kan sette innbyggernes liv og helse i fare;
  • utdanning eller yrkesopplæring, som kan bestemme tilgangen til utdanning og yrkeskurs i noens liv (f.eks. scoring av eksamener);
  • sikkerhetskomponenter i produkter (f.eks. KI-applikasjon i robotassistert kirurgi);
  • ansettelse, ledelse av arbeidere og tilgang til selvstendig næringsvirksomhet (f.eks. CV-sorteringsprogramvare for rekrutteringsprosedyrer);
  • viktige private og offentlige tjenester (f.eks. kredittscoring som nekter borgere muligheten til å få et lån);
  • rettshåndhevelse som kan gripe inn i folks grunnleggende rettigheter (f.eks. evaluering av bevis i en rettssak);
  • migrasjon, asyl og grensekontroll (f.eks. verifisering av reisedokumenter);
  • rettspleie og demokratiske prosesser (f.eks. anvendelse av loven på et konkret sett av fakta).

For høyrisiko KI-systemer stilles det en rekke krav:

  • tilstrekkelig risikovurderinger og systemer for å håndtere risiko;
  • kvalitet på datasettene for å minimere risiko og diskriminerende utfall;
  • logging av aktivitet for å sikre sporbarhet
  • detaljert dokumentasjon som gir nødvendig informasjon om systemet og dets formål
  • klar og tilstrekkelig informasjon til brukeren
  • passende menneskelig involvering
  • høy grad av robusthet, sikkerhet og nøyaktighet

Begrenset risiko

Dersom et KI-system ikke faller innenfor kategorien uakseptabel risiko eller høyrisiko, stilles det færre krav. For visse KI-systemer stilles det noen forpliktelser etter forslagets artikkel 52. Dette er åpenhetsforpliktelser for KI-systemer som eksempelvis chatbots. Her skal brukeren gjøres klar over at de samhandler med en maskin, slik at de kan ta en informert beslutning om å fortsette eller gå tilbake.

Minimal eller ingen risiko

Systemer som verken faller innenfor kategorien uakseptabel risiko eller høyrisiko og heller ikke er underlagt åpenhetsforpliktelser, kan betegnes som systemer med minimal risiko. Dette inkluderer programmer som KI-drevne videospill eller spamfiltre. De aller fleste KI-systemer som for tiden brukes i EU/EØS faller inn under denne kategorien. For systemer med minimal risiko, stiller ikke KI-forordningen krav.

Forpliktelser for høy-risiko-systemer

Før et høyrisiko KI-system tas i bruk i EU/EØS, må leverandører sørge for en samsvarsvurdering. Denne skal vise at det aktuelle systemet overholder de obligatoriske kravene, slik som krav til datakvalitet, dokumentasjon og sporbarhet, åpenhet, menneskelig tilsyn, nøyaktighet og robusthet. Dersom systemet eller dets formål vesentlig endres, vil vurderingen måtte gjentas. For enkelte KI-systemer vil også et uavhengig organ måtte involveres i denne prosessen.

Leverandører av høyrisiko KI-systemer vil måtte implementere kvalitets- og risikostyringssystemer. for å sikre at de overholder de nye kravene. Dette inkluderer systemer for å monitorere KI-systemene etter at de er på makedet. Hvert lands myndigheter skal støtte overvåking av systemer på markedet gjennom revisjoner og ved å sørge for muligheten til å rapportere om alvorlige hendelser eller brudd på grunnleggende rettigheter.

Hvordan skal forordningen håndheves?

Medlemsstatene har en sentral rolle i gjennomføringen og håndhevelsen av KI-forordningen. Hver medlemsstat skal utpeke en eller flere nasjonale kompetente myndigheter til å føre tilsyn med implementeringen av forordningen. En av de kompetente myndighetene skal utpekes som nasjonal tilsynsmyndighet, som også vil representere landet i European Artificial Intelligence Board. Medlemsstatene skal også sørge overvåkning av markedet.