Dette er en kommentar av Mads Ribe (Advokat og Assosiert Partner), Andreas Bjørnebye (Advokat og Assosiert Partner) og Ruben Brustad (Advokatfullmektig), EY.
EU ønsker å regulere kunstig intelligens (KI), som er under sterk fremvekst. Enkelte har sammenliknet KI-revolusjonen med dampmaskinens inntog på 1800-tallet, samtidig er det flere som advarer mot teknologien. Disse fordelene må veies opp mot risikoene, og hvordan skal teknologien reguleres på en måte som sikrer fremtidig utvikling og reduserer risikoen?
Denne våren skal EU-Parlamentet etter planen vedta The AI Act, som rettes spesifikt mot KI. Regelverket vil ramme tilbydere av KI også utenfor EU/EØS, regelverket følger nemlig brukeren, ikke tilbyderen. Med det håper EU å sette standarden for regulering av KI, ikke ulikt slik EU satte standarden med personvernregelverket GDPR. Det gjenstår å se om de lykkes tilsvarende med The AI Act. Parallelt arbeider nå også USA med et regelverk for AI.
EUs regelverk skulle egentlig vedtas 26. april, men dette ble igjen utsatt. EU ønsker å se nærmere på reguleringen i lys av av ChaptGPT og andre kraftige KI-tjenester.
Risikoen ved kunstig intelligens
Det er mange advarsler når det kommer til KI. Frykten er at KI vil kunne true grunnleggende menneskerettigheter, slik som retten til privatliv, ikke-diskriminering, likhet mellom kjønnene, ytringsfrihet, uskyldspresumsjonen og prinsippet om god forvaltning. Slike rettigheter må beskyttes, men beskyttelsen må også balanseres, slik at det er rom for innovasjon og utvikling.
The AI Act vil baseres på en risikobasert tilnærming. Regelverket skiller mellom kunstig intelligens som medfører uakseptabel risiko, høy risiko, begrenset risiko og minimal risiko. Pliktene utvikler eller tilbyder får, og beskyttelsen forbrukeren får, avhenger av risikoen ved den aktuelle kunstige intelligensen.
Noen bruksområder av KI blir ansett å innebære så uakseptabel risiko at de forbys. Typisk fordi de strider mot grunnleggende verdier. Dette gjelder for eksempel ufrivillig manipulering av menneskers underbevissthet, tilrettelegging for diskriminering i undervisningsopplegg eller myndigheters bruk av såkalt «social scoring» av borgerne. Social scoring er blant annet brukt i Kina, hvor uønskede handlinger kan få konsekvenser for blant annet adgangen til å reise eller å ta opp lån. Slike systemer kan ha en ekstremt disiplinerende effekt og bli en tvangstrøye. Dette ønsker EU å forby i EU/EØS.
KI som skaper høy risiko for helse, sikkerhet eller grunnleggende rettigheter vil bli underlagt et strengt regelverk. Dette kan for eksempel være der KI er eneste sikkerhetsmekanisme for produkter som medisinsk utstyr. Det kan også være hvis KI anvendes uten tilsyn og andre tiltak på bruksområder som kredittvurderinger, saksbehandling for sosiale tjenester, visse typer bruk i politiet, grensekontroll og domstolene, samt visse typer bruk på arbeidsplassen, til bruk av kunstig intelligens i utdanning og opplæring. Da stilles det strenge krav til bruk av KI.
For KI som innebærer mer begrenset risiko, vil det sentrale være at mennesker skal vite at de samhandler med kunstig intelligens og ikke fysiske personer. Hvis det er vanskelig å skille, foreligger det en plikt til å informere forbrukeren om at det er KI. Det planlegges et eget varslingssystem (CE-merking) for å informere om når man samhandler med KI.
KI som anses å ha minimal risiko blir ikke direkte regulert av AI Act nå. Systemet vil fortsatt kunne bli underlagt andre regler, for andre teknologinøytrale regelverk vil fortsatt være av betydning innen alt fra personvern, markedsføring og salg, til sikkerhet og annet.
Det er lagt opp til at majoriteten av KI-systemer vil anses å medføre begrenset eller minimal risiko, fordi det antas at effektiviseringsgevinsten generelt vil overveie risikoen og beskyttelsesbehovet til brukeren.
Vil EU lykkes?
Tiden vil vise hvor effektiv reguleringen blir, og om regelverket er fleksibelt og treffsikkert nok mot den raske teknologiske utviklingen på feltet. Regelverket må uansett tas seriøst, for sanksjonene ved manglende overholdelse kan bli tunge. Bøtesatsen ved overtredelse av regelverket er inntil 6% av et konserns globale omsetning, eller inntil 30 millioner Euro. Dette er kraftigere enn GDPR, som satte en ny standard med bøter da det kom.
KI kommer med både risiko og muligheter. Samfunnet må kunne stole på at KI brukes på en sikker måte, og at det lages systemer som avdekker og håndterer risiko som blant annet svindel i tråd med regelverket. Hvis EU lykkes med det, vil gevinstene overgå de potensielle risikoene som kunstig intelligens kan føre med seg.