Den 21. maj 2024 godkendte Europarådet den nye forordning om kunstig intelligens (”AI”), og den er nu endelig vedtaget. AI-forordningen træder i kraft 20 dage efter offentliggørelse i EU-Tidende, hvorefter der vil ske en løbende implementering. I denne nyhed kigger vi nærmere på, hvilken betydning det har for EU og medlemslandene.
Baggrunden for AI-forordningen
AI-forordningen er den første lovgivning på området, der er en del af en længere række initiativer og reguleringer, som skal fremme og sikre investeringer og innovation inden for AI i EU. Formålet med forordningen er, at fundamentale værdier og rettigheder samt etik ikke må begrænses på baggrund af den teknologiske udvikling. Forordningen er dermed et supplement til eksisterende lovgivning.
Hvad reguleres igennem forordningen?
Forordningens anvendelsesområde bliver både private og offentlige aktører, som (i) bringer et AI-system til omsætning i EU eller ibrugtager et AI-system, (ii) brugere af AI-systemer i EU eller (iii) tredjelands udbydere eller brugere, hvor dets anvendelse har virkning på borgere i et medlemsland.
EU har i forordningen defineret, hvad et AI-system er:
”Et maskinbaseret system, som er udformet med henblik på at fungere med en varierende grad af autonomi, og som efter idriftsættelsen kan udvise en tilpasningsevne, og som til eksplicitte eller implicitte mål af det input, det modtager, udleder, hvordan det kan generere output såsom forudsigelser, indhold, anbefalinger eller beslutninger, som kan påvirke fysiske eller virtuelle miljøer”
Rent lovgivningsmæssigt er forordningen opbygget efter en risikobetonet tilgang, hvor et AI-system skal klassificeres efter et af følgende fire niveauer: (i) Uacceptabel risiko, (ii) Højrisiko, (iii) Begrænset risiko og (iv) Minimal risiko. Denne klassifikation vil derefter forudsætte visse begrænsninger og forbud.
Uacceptabel risiko: AI-systemer efter denne klassifikation, vil være forbudt.
- AI-systemer, der har til formål at manipulere menneskelig adfærd, der påfører eller sandsynligvis vil påføre fysisk eller psykisk skade.
- AI-systemer, der udnytter sårbare mennesker, der påfører eller sandsynligvis vil påføre fysisk eller psykisk skade.
- Systemer der kan følelseskende på arbejdspladsen og uddannelsesinstitutioner.
- Social scoring af borgere.
- Biometrisk identifikation af personer på offentlige områder i realtid.
- Biometrisk kategorisering af personer, hvor der anvendes følsomme personoplysninger, såsom politiske-, religiøse- og filosofiske overbevisninger, seksuel orientering, race m.v.
- Ugrundet indsamling af ansigtsbilleder fra internettet eller overvågningskameraer for at opbygge eller udvide en database.
Høj risiko: AI-systemer efter denne klassifikation, vil være underlagt strenge krav. Dette angår blandt andet compliance af data og cybersikkerhed samt menneskeligt tilsyn med systemet. Eksempler på disse systemer, er:
- Kritisk infrastruktur, der kan bringe borgernes liv og sundhed i fare.
- Afgørelse om optagelse på uddannelsesinstitution eller bedømmelse af eksaminer.
- Migrations-, asyl- og grænsekontrolforvaltning – f.eks. automatisk behandling af visumansøgninger.
Begrænset risiko: AI-systemer, der ikke er klassificeret som høj risiko, kan dog stadig være forbundet med risiko – dette er vedrørende manglende gennemsigtighed. Derfor implementerer forordningen en gennemsigtighedsforpligtelse. Dette forudsætter eksempelvis, at alt AI-generet indhold skal mærkes tydeligt, således der ikke skabes tvivl om, hvorvidt indholdet er manipuleret eller er autentisk.
Minimal eller ingen risiko: Forordningen giver mulighed for fri anvendelse af systemer, hvor borgernes rettigheder ikke begrænses. Dette omfatter eksempelvis anbefalingssystemer og spamfiltre på mails.
Sanktioner
Ved manglende overholdelse af reglerne, vil der kunne tildeles bøder. Bødeniveauet vil variere efter følgende niveauer:
- Ved manglende overholdelse af forbudte AI-praksisser, vil bøderne udgøre op til €35 millioner eller 7% af den samlede globale årlige omsætning i det foregående regnskabsår.
- For andre overtrædelser vil bøderne udgøre enten €15 millioner eller 3% af den samlede globale årlige omsætning i det foregående regnskabsår.
- Hvis virksomheder leverer forkerte oplysninger til kompetente myndigheder om brugen af AI, vil bøderne udgøre op til €7.5 millioner eller 1,5% af den årlige globale omsætning i det foregående regnskabsår.
I forordningen er der indsat begrænsninger for SMV’er samt startups, hvor der sanktioneres efter den lavere ende af et af niveauerne. Modsat ved større virksomheder, vil sanktionen være i den store ende af niveauerne.
Tilsyn
For at sikre korrekt håndhævelse, vil medlemslandene skulle føre nationalt tilsyn. I Danmark vides det endnu ikke præcist, hvilke(n) myndigheder som skal føre tilsynet.
Ud over nationalt tilsyn er der på EU-niveau oprettet flere styrende organer:
- Et AI-kontor under Kommissionen for at håndhæve fælles regler i hele EU.
- Et videnskabeligt panel af uafhængige eksperter til støtte for håndhævelsesaktiviteterne
- Et AI-udvalg med repræsentanter for medlemsstaterne til at rådgive og bistå Kommissionen og medlemsstaterne i forbindelse med en ensartet og effektiv anvendelse af AI-forordningen.
- Et rådgivende forum for interessenter til at stille teknisk ekspertise til rådighed for AI-udvalget og Kommissionen.
Derudover kan private aktører indgive klager til håndhævelsesmyndighederne, hvis de opdager at forordningens regler ikke overholdes.
Ikrafttræden
Forordningen træder i kraft 20 dage efter offentliggørelse i EU Tidende, hvorefter reglerne implementeres i faser, herunder:
- 6 måneder efter ikrafttræden, er der forbud mod enhver uacceptabel AI-praksis,
- 12 måneder efter ikrafttræden, vil der indtræde forpligtelser for general purpose AI og nationale myndigheder skal udpeges,
- 24 måneder efter ikrafttræden, vil alle regler og forpligtelser for højrisikosystemer, som er defineret i bilag II, være gældende,
- 36 måneder efter ikrafttræden, vil forpligtelser for højrisikosystemer, som er defineret i bilag II, være gældende.
Hvis du har spørgsmål til reglerne, er du meget velkommen til at kontakte os for yderligere afklaring og rådgivning.