I foråret fremlagde EU-Kommissionen sit bud på, hvordan verdens første vidtrækkende regulering af AI-systemer skal se ud.
Forslaget er et stykke vej fra endelig vedtagelse og ikrafttræden og vil ikke påvirke danske virksomheder lige så bredt som f.eks. GDPR, men for de mange virksomheder, som bliver påvirket, vil arbejdet med compliance og forretningsgange i omfang være sammenligneligt med GDPR-arbejdet.
I den kommende måned vil vi sætte fokus på Kommissionens udkast med en artikelserie, der berører de vigtigste emner, såsom forbuddet mod at anvende visse AI-systemer, forordningens forhold til GDPR, højrisikosystemer samt det videre forløb vedrørende forordningen. Denne artikel vil introducere formålet med forordningen og beskrive nærmere, hvilke typer af AI-systemer, der bliver omfattet af et egentligt forbud (systemer, der indebærer en uacceptabel risiko).
Grundlæggende om AI-forordningen
EU-Kommissionen offentliggjorde den 21. april 2021 sit forslag til AI-forordning, som i den kommende tid skal behandles og godkendes af Europa-Parlamentet og Rådet. Processen vil føre til den første vidtrækkende lovgivningsmæssige ramme for brugen af kunstig intelligens.
Forslagets grundpræmis er, at brugen af kunstig intelligens kan medføre store gevinster, men at dette skal balanceres i forhold til risikoen for, at AI anvendes til formål, der ikke stemmer overens med EU’s fundamentale værdier og rettigheder, der bl.a. er nedfældet i Chartret. Dette gælder f.eks. retten til retten til privatliv, forbud mod diskrimination på baggrund af køn, race, religion, alder og seksuel orientering mv., ytringsfriheden, og retten til beskyttelse af personoplysninger. Formålet med den nye forordning er derved at skabe en sikker ramme for AI-industrien til at udvikle og anvende nye AI-systemer bedst muligt og samtidig tage højde for de problematikker, der kan opstå i relation til EU’s fundamentale værdier og rettigheder.
Forordningen vil finde anvendelse på alle udbydere, der tilbyder AI-systemer på det indre marked, uanset om udbyderen er etableret inden for eller uden for EU. Derudover vil brugere af AI-systemer i EU samt udbydere og brugere af AI-systemer, der befinder sig i et tredjeland, men hvis output anvendes i EU, være omfattet. Forordningen har dermed et meget bredt anvendelsesområde.
Forslaget opererer med en risikobaseret tilgang, der indeholder fire niveauer: Uacceptabel risiko (forbudte AI-systemer), højrisikosystemer, AI med specifikke gennemsigtighedsforpligtelser og minimal eller ingen risiko. Jo større risikoen er for at overtræde grundlæggende rettigheder, jo strengere er reglerne. Den risikobaserede tilgang og højrisikosystemerne, hvor det meste praktiske arbejde og de sværeste afgrænsninger vil ligge, vil blive behandlet i en af vores kommende artikler.
Hvad er kunstig intelligens i forslagets forstand?
Kunstig intelligens er i forordningen defineret som softwaresystemer, der er udviklet med en eller flere af de teknikker og tilgange, der er oplistet i et bilag til forslaget, og som kan generere output i form af indhold, forudsigelser, anbefalinger eller beslutninger, der påvirker de miljøer, systemerne interagerer med, ud fra et givent sæt menneskeligt definerede mål.
De oplistede teknologier udgør den bredest mulige afgrænsning af de teknikker, der kan anvendes og omfatter bl.a. almindelig maskinlæring.
Forbudte AI-systemer
Risikoen for tilsidesættelse af grundrettighederne kan opstå både på grund af fejl og mangler i det overordnede design af AI-systemerne, eller på grund af brug af data der er skævvredne (biased), f.eks. et system, der er opbygget ved kun at anvende data for mænd, hvilket kan føre til mindre optimale resultater for kvinder.
Forordningens artikel 5 oplister de AI-systemer, EU-Kommissionen anser for at udgøre så høj en trussel mod vores fundamentale rettigheder og værdier, at al anvendelse heraf er forbudt, og hvor brugen heraf er bødesanktioneret.
Udkastet lægger op til, at følgende typer af AI-systemer skal være ulovlige:
AI-systemer, der påfører eller sandsynligvis vil påføre mennesker fysisk eller psykisk smerte ved enten at anvende subliminale teknikker, der rækker ud over den menneskelige bevidsthed, eller ved at udnytte en specifik gruppe af personers sårbarheder baseret på alder eller fysisk eller psykisk handicap, er ulovlige.
Subliminale teknikker er teknikker, der formidler et budskab på en skjult måde, så det kun opfattes ubevidst af personen, og dermed er egnet til at påvirke en person udover dennes bevidsthed. Hvis disse teknikker anvendes til at påvirke en persons adfærd, der påfører eller sandsynligvis vil påføre personen fysisk eller psykisk skade, er det ikke lovligt.
Et eksempel på dette er spil eller legetøj med indbygget stemmeassistent eller andre teknikker, der manipulerer f.eks. et barn til at gøre noget risikofyldt.
Det er ikke lovligt at anvende AI-systemer til at skabe et socialt pointsystem, der kan resultere i skadelig eller ugunstig behandling af visse fysiske personer eller hele grupper.
I Kina anvendes et socialt pointsystem, der består af et sæt databaser og andre initiativer til at overvåge og evaluere borgeres troværdighed og sociale adfærd. Mens meget af den information, der anvendes i systemet, kommer fra traditionelle kilder såsom straffeattester og finansielle data, anvendes der ligeledes realtids ansigtsgenkendelse til at overvåge borgere, der f.eks. går over for rødt eller spiller for høj musik i toget. Sådanne hændelser kan udløse en pointstraf, der kan påvirke borgernes mulighed for f.eks. at ansøge om lån eller købe fly- og togbilletter. Et system der anvender kunstig intelligens til at evaluere borgeres adfærd, og som giver borgere en ringere behandling i sammenhænge, der ikke har noget at gøre med de sammenhænge, dataene oprindeligt blev genereret eller indsamlet til, vil ikke være tilladt efter forordningen.
AI-systemer, der bruges til biometrisk fjernidentifikation
Endelig er det ulovligt at anvende AI-systemer til biometrisk fjernidentifikation i realtid på offentlige steder (som f.eks. ansigtsgenkendelse/persongenkendelse af borgere, der færdes på offentlige steder) med henblik på retshåndhævelse. Forbuddet mod dette kan dog tilsidesættes, hvis det findes strengt nødvendigt for en målrettet eftersøgning af f.eks. forsvundne børn eller at afsløre lokaliteten af gerningsmænd, der har begået særlig grov kriminalitet samt for at forebygge en specifik, væsentlig og overhængende trussel, som f.eks. et terrorangreb. Anvendelse af et sådant system er dog som udgangspunkt betinget af en specifik forudgående tilladelse.
Dette kan f.eks. være tilfældet ved masseovervågning af borgere foretaget af politiet. EU-Kommissionen anser ikke masseovervågning ved anvendelse af biometrisk identifikation for acceptabelt, og derfor er det principielt forbudt og kan kun anvendes i sjældne tilfælde.
I den næste artikel vil vi sætte fokus på forholdet mellem AI-forordningen og GDPR.