Allt fler företag och myndigheter använder AI-system för att automatisera och effektivisera olika arbetsuppgifter som kan handla om allt från att bedöma arbetsprestation, fatta beslut om bidrag eller sammanfatta stora mängder text. Att använda AI-system kan emellertid leda till betydande risker och medföra negativa konsekvenser för enskilda och samhället. Ett sätt att minska sådana risker är att ställa krav på loggning, vilket görs i AI-förordningen.
AI-förordningens krav på loggning kan delas in i tre delar: (i) tekniska krav avseende loggning som ställs på AI-system med hög risk, (ii) krav på leverantör av sådana AI-system och (iii) krav på tillhandahållare av sådana AI-system (notera att AI-förordningen använder begreppet tillhandahållare för användare av AI-system).
Vi börjar med de tekniska kraven. Enligt artikel 12 AI-förordningen ska AI-system med hög risk tekniskt möjliggöra automatisk registrering av händelser (loggar) under hela systemets livstid. I artikelns andra punkt definieras minimikrav på hur loggningskapaciteten ska utformas. För att säkerställa en spårbarhetsnivå för funktionen hos ett AI-system med hög risk som är lämplig för systemets avsedda ändamål ska loggningskapaciteten möjliggöra registrering av händelser som är relevanta för följande.
För det första ska loggningskapaciteten möjliggöra identifiering av situationer som kan resultera i att AI-systemet med hög risk utgör en risk i den mening som avses i artikel 79.1 AI-förordningen eller i en väsentlig ändring. I sammanhanget är det viktigt att notera att olika bestämmelser i AI-förordningen använder olika riskbegrepp. För det andra ska loggningskapaciteten möjliggöra underlättande av den övervakning efter utsläppande på marknaden som avses i artikel 72 AI-förordningen. För det tredje ska loggningskapaciteten möjliggöra tillhandahållarens övervakning av driften av AI-system med hög risk som avses i artikel 26.5 AI-förordningen (se nedan).
Artikel 12.3 AI-förordningen ställer särskilda krav på loggningsfunktionerna för vissa AI-system med hög risk som förtecknas i bilaga III AI-förordningen. Exempel på dessa krav är att loggningsfunktionerna ska registrera perioden för varje användning av systemet, tillhandahålla indata för vilka sökningen har lett till en träff och tillhandahålla identifiering av fysiska personer som deltar i vissa kontroller enligt särskilda bestämmelser i AI-förordningen.
Efter denna korta genomgång av vilka tekniska krav som ställs på loggningsfunktioner för AI-system med hög risk ska vi titta på de krav som ställs på leverantörer och tillhandahållare av sådana AI-system. Vi börjar med de krav som ställs på leverantörer av AI-system med hög risk.
Enligt artikel 16 AI-förordningen ska leverantörer av AI-system med hög risk säkerställa att deras AI-system med hög risk uppfyller kraven i artikel 12 AI-förordningen (och även de övriga krav som ställs i kapitel II avsnitt 2 i AI-förordningen). Vidare framgår av artikel 16 AI-förordningen att leverantörer av AI-system med hög risk ska spara de loggar som genereras automatiskt av deras AI-system med hög risk enligt artikel 19 AI-förordningen, när loggarna står under deras kontroll.
Enligt artikel 19 AI-förordningen ska leverantörerna spara loggarna under en period som är lämplig för det avsedda ändamålet med AI-systemet med hög risk, dock i minst sex månader, om inte annat föreskrivs i tillämplig unionsrätt eller nationell rätt, i synnerhet unionsrätten om skydd av personuppgifter och utan att det påverkar tillämplig unionsrätt eller nationell rätt. Leverantörer som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska bevara de loggar som genereras automatiskt av deras AI-system med hög risk som en del av den dokumentation som ska bevaras enligt relevant rätt om finansiella tjänster.
Leverantörens skyldigheter avseende loggar slutar inte med kraven på lagring utan går ännu längre. På motiverad begäran av en behörig myndighet ska en leverantör också ge myndigheten tillgång till de automatiskt genererade loggar för AI-systemet med hög risk som avses ovan, i den mån sådana loggar står under leverantörens kontroll (se artikel 21.2 AI-förordningen).
Det kvarstår en genomgång av krav relaterade till loggar som ställs på tillhandahållare av AI-system med hög risk, den grupp aktörer som använder sådana AI-system för olika ändamål, allt från att fatta rekryteringsbeslut till att ställa medicinska diagnoser.
Enligt punkt 5 i artikel 25 AI-förordningen ska tillhandahållare bland annat övervaka driften av AI-systemet med hög risk och i vissa fall informera leverantören och marknadskontrollmyndigheten, till exempel vid fastställandet av en allvarlig incident. Även om punkten inte uttryckligen nämner loggar bör kontrollen av desamma ingå i kravet att övervaka driften AI-systemet. Detta synsätt bekräftas dels av det som framgår av artikel 12 AI-förordningen (se ovan), dels av att nästa punkt i samma artikel kräver att tillhandahållare av AI-system med hög risk ska spara de loggar som genereras automatiskt av AI-systemet med hög risk. Kravet gäller i den mån sådana loggar står under tillhandahållarens kontroll. Lagringsperioden ska vara lämplig för det avsedda ändamålet med AI-systemet med hög risk, dock minst sex månader. Kravet gäller om inte annat föreskrivs i tillämplig unionsrätt eller nationell rätt, i synnerhet unionsrätten om skydd av personuppgifter. Tillhandahållare som är finansinstitut som omfattas av krav avseende sina interna styrelseformer, arrangemang eller processer enligt unionsrätten om finansiella tjänster ska bevara loggar som en del av den dokumentation som ska bevaras enligt relevant unionsrätt om finansiella tjänster.
AI-förordningens förhållandevis långtgående krav avseende loggning motiveras i förarbetena. Enligt skäl 66 till AI-förordningen är dessa krav nödvändiga för att på ett effektivt sätt begränsa riskerna för hälsa, säkerhet och grundläggande rättigheter. Eftersom inga andra åtgärder som är mindre handelsbegränsande finns rimligen tillgängliga så anses dessa krav inte utgöra omotiverade begränsningar av handeln.
Av skäl 99 till AI-förordningen framgår att det mot bakgrund av AI-systemens natur och de risker för säkerhet och grundläggande rättigheter som kan vara förknippade med användningen av dem, inbegripet när det gäller behovet av att säkerställa en korrekt övervakning av ett AI-systems prestanda under verkliga förhållanden, är lämpligt att fastställa särskilda ansvarsområden för tillhandahållare. Enligt skälet bör tillhandahållare i synnerhet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att de använder AI-system med hög risk i enlighet med bruksanvisningarna. Vissa andra skyldigheter bör föreskrivas när det gäller övervakning av AI-systemens funktionssätt loggning.
Ovanstående genomgång förtydligar att AI-förordningen ställer omfattande krav på loggning för AI-system med hög risk. Kraven kan inte betraktas isolerade utan måste sättas i den större kontext som utgörs av AI-förordningens regler för hantering av risker, däribland kraven på riskhanteringssystem för AI-system med hög risk, kraven på teknisk dokumentation och kraven på data och dataförvaltning.
Bristande efterlevnad av AI-förordningens krav på loggning kan medföra sanktioner som bland annat administrativa sanktionsavgifter på upp till 15 000 000 EUR eller, om överträdelsen begås av ett företag, upp till 3 procent av dess totala globala årsomsättning under det föregående räkenskapsåret, beroende på vilket som är högst (artikel 99.4 AI-förordningen).