Kontaktperson
Susanne Stenberg
Senior Forskare/Rättslig expert
Kontakta Susanne
Ny EU-förordning reglerar användningen av AI i Europa
EU:s kommande reglering av produkter och tjänster som nyttjar artificiell intelligens skjuter brett och detaljerat. Experter på RISE har gått igenom de tekniska och juridiska aspekterna av förslaget och ser nya bördor för dem som plötslig sitter med högrisk-klassade AI-system.
– Den nya förordningen (AI Act) – världens första specifika reglering av AI – kan bli antagen våren 2023 under det svenska ordförandeskapet. Den börjar sedan tillämpas två år senare, säger Susanne Stenberg, forskare på RISE och rättslig expert inom ny teknik.
Så hur kommer det sig att detta behövs? Dels vill EU visa upp hur ”Good AI” ska se ut, att det är vårt västerländska samhälle och grundläggande rättigheter som ska vägleda. Sedan finns en insikt om att AI-system i sig innebär en risk och kan komma att orsaka skador, och därför behöver regleras.
– Förordningen är under utveckling och fler kompromissförslag kan tillkomma. Reglerna behöver därför inte se ut exakt så som kommissionen har föreslagit när den väl träder i kraft och det får vi förbereda oss för, säger Susanne Stenberg.
Gäller i alla EU-länder
Vid godkännande av förordningen krävs ingen ytterligare nationell lagstiftning utan de nya reglerna gäller i alla EU-länder. AI-system som lanseras efter att förslaget blivit lag omfattas, liksom redan existerande system som uppdateras eller väsentligen ändras.
Vad är då ett AI-system? Ja rätt mycket, enligt förordningstexten, som listar teknologier som maskininlärning, logik- och kunskapsbaserade system och statistiska metoder.
– De har definierat AI-system väldigt brett, säger Håkan Burden, forskare på RISE inom AI- och IT-system.
Ett AI-system tar emot indata och gör sedan någon form av analys i relation till ett mänskligt satt mål. Sedan producerar systemet en utdata, som kan påverka en omgivning.
– Det kan alltså vara ett styrsystem i en gruvmaskin. Sensordata visar att det finns ett hinder till höger. Det är ju inte bra, ett mänskligt satt mål är att undvika kollision och systemets utdata talar om för hjulaxeln att svänga vänster.
Ett annat exempel skulle kunna vara ett system som rankar sökanden till förskoleplats efter resväg och syskonförtur. Det handlar då om stödsystem för kommunal myndighetsutövning. En algoritm tar in skolans position och den sökandes avstånd från hemadressen enligt folkbokföringen, får ett värde som sedan blir en turordning enligt uppställda villkor.
– Det är en svinenkel algoritm men eftersom rätten till skola är en grundläggande rättighet skulle den kunna klassas som ett högrisksystem, säger Håkan Burden.
Om AI Act antas 2023 och börjar gälla två år senare behöver du tänka på det här igår
Olika riskkategorier
Förslaget till ny förordning sorterar nämligen in AI-system i olika riskkategorier:
- Oacceptabel risk – teknologier som på olika vis hotar människors säkerhet, försörjningsmöjligheter och rättigheter förbjuds. Specifikt nämns system som stater kan använda för social poängsättning och leksaker som via röstassistans uppmuntrar till farligt beteende.
- Begränsad risk – minimala transparenskrav för system som chattbottar i syfte att personer görs medvetna om att de interagerar med en algoritm.
- Hög risk – här återfinns en mängd verksamheter* samt vissa fysiska produkter. EU-kommissionen föreslås även kunna lägga till områden när behov uppstår.
CE-märkning av AI-system
AI-system med hög risk föreslås få särskilda krav på tillsyn och registrering för att få användas inom EU. Det handlar bland annat om krav på teknisk dokumentation och att implementera ett riskhanteringssystem, liksom krav på datahantering- och kvalitet. När tillhandahållaren av AI-system anser sig uppfylla kraven i förordningen kan CE-märkning ske – häftiga böter på upp till 6 procent av globala omsättningen föreslås för att stävja CE-märkning på felaktiga grunder.
Tredjeparter i AI-värdekedjan – alltså producenter av programvara eller förhandstränade modeller och data, nättjänstleverantörer etc – uppmanas i förordningstexten att samarbeta ”såsom lämpligt” (as appropriate) för att underlätta certifieringen av AI-system.
– Att hitta konsensus för as appropriate kommer inte att bli trivialt, säger Susanne Stenberg.
Fungerande processer behöver komma på plats
Hon och kollegan Håkan Burden ser att olika aktörer har olika behov, samtidigt som både myndigheter och produktutvecklare har ett gemensamt intresse av att få fungerande processer för dokumentation och certifiering på plats.
– Tänk dig en kommunal förvaltning där du ska köpa in ett mjukvarusystem för vatten, väg, el – då är det högrisk-system. Och att du på inköpsavdelningen ska kravställa vad du behöver, hur får du information att datan som systemet tränat på är relevant, representativ, felfri och komplett?
– Om AI Act antas 2023 och börjar gälla två år senare behöver du tänka på det här igår.
*Exempel på verksamheter där AI-system anses utgöra hög risk:
- Kritisk infrastruktur (ex transport)
- Utbildning (ex poängsättning av prov)
- Anställning (ex mjukvara för sortering av cv:n)
- Privata och offentliga tjänster (ex kreditbedömning)
- Brottsbekämpning (ex bedömning av tillförlitligheten i bevis)
- Gränskontroll (ex kontroll av äktheten i resehandlingar)
