KI-loven Godkjent I EU-rådet

EUs forordning om kunstig intelligens ("AI Act" eller "KI-loven") ble formelt godkjent i EU-rådet 21. mai 2024.

Europaparlamentet vedtok forordningsutkastet 13. mars i år, etter flere års forhandlinger. Etter at forordningen nå også er godkjent i EU-rådet, vil den i løpet av de nærmeste dagene publiseres i EUs Official Journal. Forordningen trer i kraft 20 dager etter denne publiseringen, men vil ikke få full effekt før om tre år, når alle bestemmelsene er virksomme.

Det er foreløpig usikkert når KI-loven vil få virkning i Norge, men digitaliseringsminister Karianne Tung har tidligere i år lovet at de ville jobbe mot å innføre KI-loven så raskt som mulig i Norge.

Formålet med loven er å beskytte grunnleggende menneskerettigheter og samfunnsinteresser mot potensiell risiko knyttet til kunstig intelligens, samtidig som den skal fremme innovasjon og etablere Europa som ledende på området.

EU anser KI-loven som en av sine viktigste lover og grunnleggende for EU, på samme måte som f.eks. GDPR.

Risikobasert tilnærming

Loven regulerer bruken av kunstig intelligens basert på potensiell risiko for grunnleggende menneskerettigheter og samfunnsinteresser som helse, miljø, sikkerhet, demokrati og rettsstat. KI-systemene inndeles i fire kategorier: (i) uakseptabel risiko, (ii) høy risiko, (iii) begrenset risiko og (iv) minimal risiko, hvor reglene og kravene varierer ettersom hvilken kategori systemet faller innenfor. Det må derfor foretas en risikovurdering av hvert enkelt KI-system, for å plassere det i riktig risikokategori.

Forbudte systemer

KI-systemer med uakseptabel risiko vil bli forbudt. Dette vil f.eks. gjelde bruk av biometrisk identifikasjon i overvåkning (slik som teknologi for ansiktsgjenkjenning), med et snevert unntak for bruk av slike systemer i offentlige rom for rettshåndhevelsesformål. Følelsesgjenkjenning på arbeidsplassen og skolene, systemer som forutser sannsynligheten for at en person vil begå en kriminell handling (når dette kun er basert på profilering eller vurdering av en persons egenskaper), og kunstig intelligens som er designet for å manipulere menneskelig atferd vil også være forbudt.

Høyrisiko KI

KI-systemer med høy risiko vil være underlagt strenge krav til bl.a. risikohåndtering, åpenhet, datakvalitet og menneskelig tilsyn. Dette vil f.eks. gjelde KI-systemer som benyttes i forbindelse med kritisk infrastruktur, utdanning, arbeidsliv (f.eks. for å vurdere rekruttering, forfremmelse eller avslutning av arbeidsforhold, eller overvåke og evaluere de ansattes prestasjoner og oppførsel), viktige private og offentlige tjenester (f.eks. helsevern og banktjenester), migrasjon og grensestyring, demokratiske prosesser (f.eks. valg), og visse systemer innen rettshåndhevelse.

KI-systemer utviklet for generelle formål (General Purpose AI / GPAI)

Kunstig intelligens som er utviklet for generelle formål, såkalt General Purpose AI eller GPAI, som f.eks. ChatGPT, blir underlagt egne regler. Bl.a. vil det stilles krav til åpenhet og overholdelse av opphavsretter. Det forventes dessuten at EU vil utstede ytterligere lovgivning som adresserer opphavsrettslige problemstillinger knyttet til kunstig intelligens.

De kraftigste GPAI-systemene som kan utgjøre systematiske risikoer vil møte ytterligere krav, herunder til å utføre systemevalueringer, vurdere og reduserer systematiske risikoer og rapportere om hendelser.

Hvem gjelder reglene for?

Loven fastsetter forpliktelser både for leverandører, importører, distributører og brukere av kunstig intelligens. Forpliktelsene varierer for de ulike aktørene.

De strengeste kravene er pålagt leverandørene som utvikler KI-systemene. De må bl.a. ha systemer for risikohåndtering og gjennomføre en samsvarsvurdering som viser at kravene er oppfylt.

Virksomhetene som tar i bruk høyrisiko KI-systemer må også oppfylle en rekke krav, blant annet for å sikre at systemet benyttes som tiltenkt, at personer som er involvert i bruken av systemet har tilstrekkelig kompetanse, at bruken overvåkes, at logger oppbevares i minimum seks måneder, osv. I en del tilfeller må det også gjennomføres en risiko-/konsekvensvurdering, før KI-systemet kan tas i bruk.

Bøter vil kunne bli gitt for overtredelse av loven, ut fra hvor alvorlig overtredelsen er, på opp til 35 millioner euro eller 7 prosent av et overtrederens årlige globale omsetning, avhengig av hva som er høyest.

Forholdet til EUs produktansvarsdirektiv og KI-ansvarsdirektiv

EU sluttfører også endringer i EUs produktansvarsdirektiv for å bringe det i tråd med KI-loven, og har foreslått et nytt KI-ansvarsdirektiv som vil lette erstatningskrav fra forbrukere for skade forårsaket av KI.