Analys: Vad innebär EU:s nya AI-förordning?

Den 21 april 2021 presenterade EU-kommissionen sitt förslag till en förordning om harmoniserade regler för artificiell intelligens (AI). För närvarande är den nya AI-förordningen bara ett förslag vilket innebär att den inte är tillämplig lag ännu. Blir den nya AI-förordningen verklighet kommer den emellertid ha stor påverkan på verksamheters möjligheter att utveckla och använda AI-system. Denna artikel analyserar vad den nya AI-förordningen innebär i praktiken om den implementeras i sin nuvarande form.

Bakgrund och syfte

Förslaget till den nya AI-förordningen är del av EU:s digitala strategi enligt vilken EU ska vara världsledande i utvecklingen av säker, tillförlitlig och etisk AI. Ambitionen är att ta fram ett regelverk som möjliggör att potentialen med AI kan nyttjas i ökad utsträckning samtidigt som individers grundläggande rättigheter säkerställs.

Syftet med den nya AI-förordningen är att harmonisera regler för AI inom EU, skydda grundläggande rättigheter, främja de positiva aspekterna av AI och säkerställa fri rörlighet av AI-system. Närmare anges följande syften i den nya AI-förordningen:

  1. Säkerställa att AI-system som placeras och används på den inre marknaden är säkra och utvecklas och används i enlighet med grundläggande rättigheter, i enlighet med EU:s stadga om de grundläggande rättigheterna, och unionsvärden,
  2. Säkerställa rättssäkerhet och förutsebarhet för att underlätta investeringar och innovation inom AI,
  3. Förbättra styrning och effektiv tillämpning av befintliga lagar om grundläggande rättigheter och säkerhetskrav som är tillämpliga på AI, och
  4. Underlätta utvecklingen av en inre marknad för lagliga, säkra och pålitliga AI-system och förhindra fragmentering.

Tillämpningsområde och definitioner

Förordningen ska tillämpas på:

  • Tillhandahållare av AI-system som används på den inre marknaden oavsett om tillhandahållaren är etablerad inom EU eller inte,
  • De som använder AI-system som finns inom EU, och
  • Användare och tillhandahållare av AI-system där det som genereras av AI-systemet används inom EU oavsett om tillhandahållaren eller användaren är etablerad eller befinner sig inom EU eller i tredjeland.

I den nya AI-förordningen anges en definition av AI-system. För att regleringen ska följa med i teknik- och marknadsutvecklingen upprättas en bilaga där olika typer av tekniker och användningssätt, som enligt förslaget definieras som AI-system, registreras. Kommissionen ges befogenheter att uppdatera bilagan genom delegerade akter. AI-system som utvecklats eller används enbart för militärt bruk ska inte omfattas av förordningen

Förbjudna användningar av AI-system

Den nya AI-förordningen innehåller bestämmelser om att vissa användningar av AI-system ska vara förbjudna. Förbudet gäller att placera sådana system på marknaden, ta systemen i bruk och att använda systemen.

Förbjuden gäller exempelvis för AI-system som används av eller på uppdrag av offentliga organ för att profilera och klassificera fysiska personers trovärdighet över en viss tid baserat på personernas beteende eller uppskattade personlighet eller personlighetsdrag hos personen utifrån ett poängsystem. Åtgärden i fråga ska leda till skadlig eller ogynnsam behandling av personen, eller en grupp av personer, i en social kontext som inte har samband med den kontext som data samlades in i eller skapades för. Användningen ska leda till skadlig eller ogynnsam behandling av personen eller en grupp av personer som är obefogad eller oproportionerlig i förhållande till beteendet eller följderna av detta.

Högrisk AI-system och krav på CE-märkning

AI-system som utgör risk för säkerhet och hälsa samt för de grundläggande rättigheterna klassas som högrisk. Exempel på AI-system som definieras som högrisk är:

  • AI-system som utgör delar av reglerade produkter till exempel maskiner som för användning kräver tillstånd enligt vissa hänvisade rättsakter,
  • AI-system som används vid gränskontroll eller för att bedöma om fysiska personer har rätt till bidrag, och
  • AI-system som använder sig av biometriska uppgifter för att identifiera och kategorisera fysiska personer.

AI-system som definieras som högrisk får endast användas om de genomgått en granskningsprocess av en behörig offentlig aktör och beviljas en CE-märkning. För att beviljas en CE-märkning behöver aktören bl.a. upprätthålla adekvat nivå av transparens i hur AI-systemet fungerar, tillhandahålla relevant dokumentation av systemets funktion för tillsyn och säkerställa användning av data som är av hög kvalitet. Olika krav gäller beroende på vilken roll en aktör har i förhållande till AI-systemet, kraven är fler för en tillhandahållare än en användare av AI-system som definieras som högrisk. AI-system som definieras som högrisk ska utformas och utvecklas på ett sådant sätt att de, med hänsyn till det avsedda syftet, uppnår en lämplig nivå av noggrannhet, robusthet och cybersäkerhet som upprätthålls under systemens hela livscykel.

Krav på information och transparens

Den nya AI-förordningen innehåller informations- och transparenskrav för hur AI-system som är avsedda att interagera med fysiska personer ska utformas och utvecklas så att fysiska personer blir informerade om att de interagerar med AI-system. Fysiska personer ska informeras om de exponeras för AI-system som används för att registrera känslor eller biometrisk kategorisering. Detta ska dock inte gälla för AI-system som med stöd i lag används för brottsbekämpande ändamål. Det ska framgå att bilder eller rörlig media som kan uppfattas som äkta men som är manipulerat eller genererat av AI-system har blivit manipulerat eller generat av AI-system. Undantag finns för brottsbekämpande ändamål och för att garantera rätten till yttrandefrihet, konstnärlig frihet och frihet för forskning.

EU-databas över AI-system

Den nya AI-förordningen innehåller regler om en EU-databas som ska innehålla en katalog över AI-system som definieras som högrisk och som ska registreras i databasen innan systemet tas i bruk eller ut på den inre marknaden. Informationen i databasen ska vara tillgänglig för allmänheten. Kommissionen och medlemsstaterna ska samarbeta för att för att utveckla och förvalta databasen. Kommissionen har ansvaret för databasen.

Höga sanktionsavgifter

Den nya AI-förordningen innehåller höga administrativa sanktionsavgifter. Storleken beror på vilket brott mot förordningen som skett. Användningen av förbjudna AI-system ska leda till böter på upp till 30 000 000 euro eller upp till 6 procent av föregående års globala omsättningen om det gäller ett företag vars omsättning är högre än det stadgade bötesbeloppet. Även EU:s institutioner kan bli ålagda sanktionsavgifter genom beslut av den Europeiska dataskyddsstyrelsen (EDPB).

Sammanfattning

Den nya AI-förordningen bedöms ha en betydande påverkan på verksamheter som utvecklar och använder AI. Det ställs höga rättsliga krav som kan göra det svårare för verksamheter att utveckla och använda AI och. Kraven förväntas även leda till högre kostnader. Regelbrott kan leda till omfattande administrativa sanktionsavgifter.

Nästa steg

Privata och offentliga verksamheter som redan idag utvecklar eller använder AI, eller planerar att göra det framöver, rekommenderas att noga följa utvecklingen på området AI-förordningen. Genomförandet av gjorbarhetsstudier, förstudier, riskanalyser och/eller konsekvensbedömningar rekommenderas. I förekommande fall bör analyserna genomföras i ett tidigt skede under utvecklingsprocessen eller med god framförhållning innan en upphandlingsprocess påbörjas. Ett sådant tillvägagångssätt bidrar till att säkerställa regelefterlevnad och undvika höga kostnader samt eventuella sanktionsavgifter.

Kontakta Sebastian Berg (sebastian@techlaw.se), expert inom IT/teknik, dataskydd och AI för råd.

Mer information

Källa: Förslag till den nya AI-förordningen (COM(2021) 206 final)

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.