Efter intensiva slutförhandlingar enades EU-parlamentet och medlemsstaterna i Rådet om en förordning för användningen av artificiell intelligens (AI). Generativ AI, konsekvensanalys för grundläggande rättigheter och undantag för nationell säkerhet diskuterades in i det sista. Det återstår att se om regleringen ger ett konkurrenskraftigt EU inom AI-området.
I april 2021 presenterade EU-kommissionen ett förlag till reglering av artificiell intelligens (AI). Efter långdragna förhandlingar internt i EU-parlamentet kunde trilogerna påbörjas i juni och avslutats med en maratonförhandling. Sent på fredagskvällen nåddes en politisk överenskommelse. Lagtexten är dock inte tekniskt färdigförhandlad utan väntas bli klar i början av nästa år. Oavsett hur detaljerna i texten formuleras kommer den sannolikt framstå som mycket komplex för företagen som ska tillämpa AI-akten.
En fråga som varit grundläggande men svår har varit definitionen av AI. Det är positivt att OECD:s nyligen uppdaterade definition har använts som mall, vilket har varit högt på företagens önskelista.
Undantag från AI-akten ges för forskning och utveckling, viss användning inom rättsväsendet, nationell säkerhet och open-source.
Den hett diskuterade regleringen av generativ AI landade i transparens- och informationskrav
Den hett diskuterade regleringen av generativ AI landade i transparens- och informationskrav för AI-system för allmänna ändamål i syfte att stödja användarnas möjlighet till regelefterlevnad. Men AI-modeller för generella ändamål, så kallade Foundational models, som har systemrisk med potential att avsevärt påverka hälsa, säkerhet, grundläggande rättigheter, miljön, demokratin eller rättsstatsprincipen omfattas av särskilda krav (se faktaruta). Dessa regler börjar gälla efter 12 månader från att AI-akten slutgiltigt godkänts av lagstiftarna.
Användning som är ett potentiellt hot mot medborgarnas rättigheter och demokratin förbjuds efter sex månader från AI-aktens godkännande. Det gäller AI med biometriska kategoriseringssystem som använder känsliga uppgifter (till exempel om sexuell läggning, ras, politisk- eller religiösa övertygelser med mera enligt GDPR), opreciserad användning av ansiktsbilder från internet eller CCTV-bilder för att skapa databaser för ansiktsigenkänning, igenkänning av känslor på arbetsplatsen (omfattar inte säkerhetsåtgärder som till exempel igenkänning av trötthet) och i utbildningsinstitutioner, social poängsättning baserad på socialt beteende eller personliga egenskaper, AI-system som manipulerar mänskligt beteende för att kringgå deras fria vilja samt AI användning för att utnyttja människors sårbarhet på grund av ålder, funktionsnedsättning, social eller ekonomisk situation.
Förutom att lagtexten ska spegla den politiska överenskommelsen är det centralt att formulera regleringen så att den fungerar i praktiken
De omfattande kraven på utvecklare och användare av högrisk-system kompletterades i förhandlingen med krav på konsekvensanalys utifrån risken för grundläggande rättigheter (FRIA). Analyskravet gäller för offentlig verksamhet och privata företag som tillhandahåller tjänster av allmänt intresse (till exempel sjukhus, skolor, banker, försäkringsbolag) då de använder högrisksystem.
Därtill kommer krav på registrering i EU-databas, datarepresentativitet och kvalitet, mänsklig hantering eller övervakning, tredjepartsgodkännande, inrättande av risk- och kvalitetssystem med mera. För högrisksystem har utvecklare och användare på sig till 2026 (24 månader från antagande) innan regelverket måste följas.
Böter på upp till 35 miljoner euro eller 7 procent av den globala omsättningen för det som är förbjudet och i övriga delar upp till 7,5 miljoner euro eller 1,5 procent av omsättningen.
Nu återstår arbetet med de tekniska detaljerna. Förutom att lagtexten ska spegla den politiska överenskommelsen är det centralt att formulera regleringen så att den fungerar i praktiken. Harmoniserade standarder, tydliga riktlinjer och tydlig tillämpning blir centralt för att möjliggöra regelefterlevnad och konkurrens på lika villkor.
Mätvärdena för att bestämma vilka modeller som omfattas är deras beräkningskraft med en relevansgräns på 10^25 FLOPs (som många anser vara extremt hög). Värdena kan revideras. Utvecklare av dessa modeller åläggs särskilda krav på riskhantering, testning för att identifiera och hantera systemrisker, robust cybersäkerhet och offentliggöra modellens energianvändning.