Torsdag for snart to uker siden ble Europaparlamentet endelig enige om det materielle innholdet i AI-forordningen. Selv om noen detaljer gjenstår, ser det med dette ut til at den nye forordningen vil vedtas i løpet av året. På tide, vil mange si.
Meldingen om politisk enighet kommer samtidig med at flere av landets politiske partier etterlyser en plan for kunstig intelligens (AI/KI) fra regjeringen, pionérforskeren Geoffrey Hinton – som la grunnlaget for ChatGPT – slutter i Google og advarer verden mot sin egen oppfinnelse, og Oljefondet-sjef Nicolai Tangen ber regjeringer over hele verden innføre statlig regulering for å sikre etisk bruk av kunstig intelligens. Tangen varsler samtidig at Oljefondet, som i snitt eier 1,5 prosent av alle børsnoterte selskaper globalt, i august vil legge frem en rekke standarder for hvordan de ønsker at selskaper som benytter seg av kunstig intelligens, skal håndtere dette.
Etisk og risikobasert tilnærming
AI Act er en del av EUs strategi for å styrke investeringer og innovasjon innen kunstig intelligens i det indre marked. Den nye forordningen får et bredt nedslagsfelt, da virkeområdet avgjøres av om den kunstige intelligensen vil påvirke personer som er lokalisert i EU. Forordningen vil muligens svare på Tangens etterlysning om både bedre og mer etisk regulering av AI.
Forordningen har en risikobasert tilnærming, med inndeling i fire risikokategorier basert på den kunstige intelligensens mulige risiko for vår helse, sikkerhet og grunnleggende rettigheter. Jo høyere risiko bruken av KI utgjør, jo strengere skal bruken reguleres. Mens KI som havner i kategorien «uakseptabel», vil være forbudt, vil «høyrisiko» KI – som kan utgjøre en stor mulig trussel mot samfunnet og enkeltpersoner, være hovedmålet for de nye reglene.
I den opprinnelige teksten ville KI angitt i forordningens Annex III, automatisk bli ansett som «høyrisiko» og dermed omfattes av et strengt regime med krav til risikostyring, åpenhet og datastyring. Parlamentet har imidlertid endret dette. KI omfattet av Annex III skal nå kun klassifiseres som «høyrisiko» dersom den utgjør en betydelig risiko for skade på helse, sikkerhet eller grunnleggende rettigheter. Dette betyr at klassifisering blant annet kan avgjøres av hvorvidt KI skal benyttes som beslutningsstøtte eller om KI skal gi et automatisk resultat. Endringen innebærer at virksomheter selv må vurdere hvorvidt deres KI-system skal klassifiseres som «høyrisiko». Dette er i seg selv utfordrende med tanke på kritikken for eksempel generativ KI har møtt i det siste. Her blir det nødvendig å gjøre grundige vurderinger slik at KI-systemer ikke klassifiseres med lavere grad av risiko enn hva som er tilfellet.
Imidlertid vil EU-kommisjonen både kunne legge til og fjerne løsninger i Annex III for å sikre at listen oppdateres i tråd med utviklingen og bruk av KI. Dette vil gi kommisjonen et viktig verktøy for å oppnå sitt eget mål om at vi skal ha tillit til AI, slik at investeringsviljen og innovasjon i det indre marked øker.
Fra «black box» til «glass box»
EU har planer om å bli best i verden når det kommer til utvikling og sikker bruk av kunstig intelligens. Tillit er imidlertid både viktig og nødvendig for at det sosiale og økonomiske potensialet i KI skal kunne utnyttes fullt ut.
Én av de største tillitsutfordringene med kunstig intelligens er fortsatt «black box»-problematikken. Forordningen stiller derfor tydelige krav til både åpenhet og forklarbarhet nettopp for at vi skal kunne ha tillit til KI-systemer.
Gjennom tydelige krav til åpenhet skal brukerne, som også omfatter virksomheter, få forståelse for hvordan data hentes inn og hvordan de vil benyttes. Ved å få tilstrekkelig informasjon får brukerne kontroll og kan ta informerte avgjørelser. Åpenhet handler også om at en bruker skal forstå om man interagerer med et system fremfor en person. Forklarbarhet handler blant annet om å kunne forklare for dem som blir påvirket av beslutninger tatt av KI, hvordan systemet har kommet til det aktuelle resultatet. At KI-en har tillit, handler om at den som benytter KI-en, må kunne stole på resultatet, blant annet fordi dataene resultatet er basert på, har god kvalitet og teknologien er nøyaktig, robust og sikker.
Når det gjelder hvor langt kravet til åpenhet og forklarbarhet vil strekke seg, gjenstå det å se. Som med annen EU-lovgivning vil det komme både veiledning og praksis. En av de viktigste referansene til fortolkning vil trolig være EU-kommisjonens ekspertgruppe på kunstig intelligens sin veiledning «Ethics Guidelines for trustworthy AI» fra 2019, som også AI Act er bygget på. Retningslinjene peker på at KI skal respektere alle lover og andre reguleringer, samt respektere etiske prinsipper og verdier. Den skal være robust fra et teknisk perspektiv, samtidig som den hensyntar det miljøet den utøves i. Retningslinjene presenterer også syv nøkkelkrav som KI-systemer bør oppfylle for å anses om pålitelige. Virksomheter som allerede har bygget sin KI rundt disse retningslinjene, vil være godt rustet når AI Act trer i kraft.
EU har flere initiativ på trappene
I september 2022 kom EU-kommisjonen med to nye forslag: AI Liability Directive og det oppdaterte Product Liability Directive. De foreslåtte rettsaktene skal gjøre det enklere å søke erstatning utenfor kontrakt når skade er forårsaket av et KI-system, og så dette skal bidra til tillit og investeringsvillighet. Målsetningen med AI Liability Directive er å harmonisere regler i medlemsstatene når det gjelder krav utenfor kontrakt. Product Liability Directive regulerer ansvarsforholdene rundt bruk av KI og reduserer juridisk usikkerhet knyttet til ansvar. Direktivet fastsetter felles regler for fremleggelse av dokumentasjon for høyrisikosystemer med kunstig intelligens, for å gjøre det mulig for en saksøker å underbygge et eventuelt erstatningsansvar.
Hva blir viktig fremover
Virksomheter som utvikler eller tar i bruk KI, bør allerede nå begynne å forberede seg på endringene i det regulatoriske landskapet. Undersøk hvilken risikogruppe KI-en du utvikler eller vil ta i bruk, omfattes av, og gjør deg kjent med hvilke forpliktelser som gjelder denne kategorien og din rolle.
Både AI Act, AI Liability Directive og Product Liability Directive fremhever viktigheten av et robust risikostyringssystem. Det blir også viktig å kunne dokumentere at dataene KI-en bygger på, er upartiske og ikke diskriminerer. Gode systemer for dokumentasjon og for å håndtere data blir viktig for å kunne vise etterlevelse. Unnlatelse av å ha god dokumentasjon kan gjøre det vanskeligere å forsvare seg mot rettskrav, og virksomheter kan pådra seg ytterligere kostnader for å motbevise ugunstige antakelser fremsatt mot deres system. Med dette på plass vil man også kunne svare ut spørsmål fra investorer som er seg sitt samfunnsansvar bevisst og stiller krav til håndtering av KI i sine investeringsobjekter og dermed øker egen markedsverdi på flere måter.
Telenor skal samarbeide med Nvidia: Bygger eget KI-senter
