AI-förordningen – en summering

I slutet av 2023 nåddes en politisk överenskommelse som innebär det mest ambitiösa förslaget att reglera tekniktillämpningar som bygger på artificiell intelligens (”AI”) – EU:s AI-förordning (”AI Act”). EU-parlamentet har röstat igenom förordningen och nu kvarstår enbart formaliteter tills förordningen publiceras i EU:s officiella tidning. Nedan följer en beskrivning av några viktiga delar av förordningen och vad man som organisation som använder eller planerar att använda sig av AI-teknik bör tänka på. Texten är en förenklad sammanfattning av förordningens regler och följer inte förordningens terminologi helt och hållet, och ska därför inte tolkas helt bokstavligt.

Riskbaserad struktur

AI Act har en riskbaserad struktur, där vissa AI-tillämpningar förbjuds helt, vissa som anses utgöra en hög risk träffas av en omfattande mängd krav och där särskilda regler gäller för generella AI-modeller som kan utföra en mängd olika uppgifter, likt OpenAI:s ChatGPT och Googles Gemini (före detta Bard). Därtill träffas vissa mindre riskfyllda AI-modeller endast av mer begränsade krav, som att exempelvis lämna viss information.

Förbud mot vissa AI-tillämpningar

I artikel 5 till AI Act räknas ett antal förbjudna tillämpningar upp, bland annat:

  • AI-system som använder undermedvetna tekniker för att avsiktligt manipulera eller vilseleda en persons beteende.
  • AI-system som utnyttjar en persons utsatta ställning eller sårbarheter för att manipulera personens beteende.
  • Biometrisk kategorisering av individer och social scoring.
  • Identifiering av personer på allmän plats i realtid på biometrisk väg.

Till förbuden finns i vissa fall betydande undantag, exempelvis för brottsbekämpande ändamål.

Högrisktillämpningar

Förordningen tar sikte på många AI-tillämpningar som betraktas som hög risk. Där ställs omfattande krav på efterlevnad av olika skyldigheter i AI Act innan AI-modeller görs tillgängliga på marknaden och tas i bruk. Viktigt att notera är att tillämpningar som endast tar sikte på testning och forskning inte omfattas av kraven.

Högrisktillämpningar räknas upp i bilaga I och III i AI Act. Bilaga I innebär att krav på AI-system även kommer gälla tillsammans med krav som finns i befintlig produktsäkerhetslagstiftning som räknas upp i bilaga I. I bilaga III räknas ett antal andra tillämpningar upp som räknas som hög risk. Högrisktillämpningarna i bilaga III gäller vissa användningstyper inom följande sektorer:

  • Biometrisk identifiering och kategorisering av fysiska personer
  • Kritisk infrastruktur
  • Utbildning
  • Arbetslivet
  • Tillgång till och åtnjutande av grundläggande privata tjänster och offentliga tjänster och förmåner (bland annat rätt till ersättningar och kreditprövning)
  • Brottsbekämpning
  • Migration och gränskontroll
  • Rättsskipning och demokratiska processer

Kraven gäller om användningsområdet omfattas av bilaga III och samtidigt kan anses utgöra hög risk. Görs bedömningen att en tillämpning inte är hög risk fast användningsområdet omfattas av bilaga III ska detta dokumenteras. Även system som inte anses utgöra hög risk ska registreras. Regler om detta finns i artikel 6 i AI Act.

Kraven på högrisktillämpningar innan de kan tas i bruk innefattar bland annat:

  • Införande och användning av ett riskhanteringssystem
  • Dataanvändning och datakvalitet
  • Teknisk dokumentation
  • Föra register
  • Transparens och informationskrav
  • Mänsklig översyn
  • Korrekthet, robusthet och informationssäkerhet
  • CE-märkning, registrering och intygande av efterlevnad

Generella modeller / Generativ AI

Givet den utveckling av generativ AI som exempelvis OpenAI:s ChatGPT och Googles Bard/Gemini inneburit de senaste två åren har tilläggsreglering för generella modeller tillkommit i AI Act. Regleringen tar sikte på generella modeller som kan utföra ett större antal olika typer av uppgifter. Kraven på generella modeller beror på kategorisering. För modeller som anses ha systemrisker som kan påverka samhället i stor utsträckning är kraven mer omfattande. Modellen presumeras ha sådana systemrisker om databehandlingskapaciteten ligger över 10^25 flyttalsoperationer per sekund (”FLOPS”). Generella modeller som bygger på open source-licensiering undantas från delar av kraven som annars gäller för generella modeller.

Kraven på generella modeller är bland annat följande:

  • Teknisk dokumentation
  • Information till de som avser integrera den generella modellen i andra AI-system
  • Policy för att beakta upphovsrättsfrågor och följa dessa vid användning och insamling av träningsdata
  • Tillhandahålla dokumentation om träningsdata som använts för modellen

För generella modeller med systemiska risker tillkommer följande krav:

  • Regelbunden utvärdering av modellen
  • Cybersäkerhet
  • Incidentrapportering
  • Ytterligare krav på teknisk dokumentation

Andra skyldigheter och bestämmelser enligt förordningen

Förordningens regulatoriska krav handlar till störst del om förbjudna tillämpningar, högrisktillämpningar och generella modeller. I vissa andra situationer finns dock informationskrav på AI-system som inte faller in under någon av dessa kategorier, exempelvis rörande chattbotar, deepfakes och annan generativ AI (AI-genererad bild, tal, video och text), för att säkerställa att användare förstår i vilken utsträckning de interagerar med AI-system och AI-genererat material.

I förordningen finns också vissa bestämmelser för att underlätta efterlevnad och innovation för start-ups och andra mindre organisationer, genom möjligheter till testning och användning av regulatoriska sandlådor i samarbete med tillsynsmyndigheter.

Aktörer som ansvarar enligt förordningen

Det mest omfattande ansvaret enligt AI Act faller på leverantörer av AI-system, det vill säga aktörer som utvecklar AI-system och gör dem tillgängliga på marknaden inom EU. Leverantörerna har huvudansvaret för att följa förordningens krav rörande högrisktillämpningar och ansvaret enligt bestämmelserna om generella modeller. Rörande högrisktillämpningar har även importörer och distributörer ett visst ansvar, exempelvis att se till att leverantören fullgjort sina skyldigheter. Användarorganisationer som tar AI-system i bruk har också ett ansvar för sin användning av AI-tillämpningar, exempelvis att säkra en fullgod mänsklig översyn och att spara loggar som genereras av AI-systemet. Alla aktörer (oavsett kategori) som placerar sitt eget varumärke på ett AI-system, modifierar systemet på ett betydelsefullt sätt eller byter användningsområde kan få ett mycket mer omfattande ansvar som motsvarar det leverantörer får när det är fråga om högrisktillämpningar.

Sanktioner, tillsyn och granskningsorgan

AI Act har ett sanktionssystem som liknar det som ofta använts av EU i förordningar den senaste tiden, exempelvis GDPR. Följande sanktionsavgifter kan bli aktuella för olika sorters tillämpningar:

  • Förbjudna tillämpningar – upp till 35 miljoner euro eller 7 % av global årsomsättning
  • Högrisktillämpningar och generella modeller – upp till 15 miljoner euro eller 3% av global årsomsättning
  • Övriga krav – upp till 7,5 miljoner euro eller 1% av global årsomsättning

För att följa förordningens efterlevnad och för arbete med andra AI frågor på EU-nivå så har EU-kommissionen nyligen startat EU AI Office. Utöver detta organ kommer det att finnas nationella tillsynsmyndigheter, gransknings- och certifieringsorgan som arbetar med efterlevnad av förordningen. Vilka dessa blir är ännu inte klart.

Antagande och implementationstid

Förordningen har som nämnt ovan röstats igenom av EU-parlamentet. Förordningen träder sedan i kraft 20 dagar efter att den publicerats i Europeiska unionens officiella tidning. Efter ikraftträdandet gäller några varierande tidsperioder innan förordningen börjar tillämpas skarpt. Tiden från ikraftträdande till att reglerna börjar tillämpas är följande:

  • Förbjudna tillämpningar – 6 månader (ca november 2024)
  • Generella modeller – 12 månader (ca maj 2025)
  • Högrisktillämpningar enligt bilaga III (se ovan) – 24 månader (ca maj 2026)
  • Högrisktillämpningar enligt bilaga I och produktsäkerhetslagstiftning (se ovan) – 36 månader (ca maj 2027)
  • Övriga krav (informationskrav) – 24 månader (ca maj 2026)

Vad ska vi som organisation tänka på?

För vissa tillämpningar är det lång tid kvar innan bestämmelserna i AI Act börjar tillämpas, men för att vara förberedd är det bra att redan nu börja orientera sig i förordningens struktur och fundera på hur er organisation påverkas:

  • Ha som rutin att ha en regulatorisk checklista när ett nytt AI-system introduceras eller utvecklas i verksamheten som stämmer av mot kraven i AI Act.
  • Omfattas vår tillämpning av definitionen av AI i AI Act?
  • Om ja, verkar vår AI-tillämpning falla in under någon av förordningens kategorier, exempelvis förbjudna tillämpningar eller högrisktillämpningar?
  • Vilken slags aktör är vi mest sannolikt? (leverantör, användarorganisation, distributör m.m.)

Verkar det finnas en sannolikhet att er organisation omfattas av förordningen bör en fördjupad analys göras av tillämpligheten. Kommer ni fram till att ni omfattas bör ett projekt för efterlevnad av förordningen sättas i gång.

Tveka inte att höra av er om ni har funderingar kring AI Act, bedömningar kring tillämplighet och projekt för efterlevnad.

Läs mer om AI Check.

Specialister inom området

Johan Hübner

Partner / Advokat

Stockholm

Johan Hübner

Agne Lindberg

Partner / Advokat

Stockholm

Agne Lindberg

John Neway Herrman

Senior Associate / Advokat

Stockholm

John Neway Herrman

Linus Larsén

Senior Associate / Advokat

Stockholm

Linus Larsén

Erik Ålander

Senior Associate / Advokat

Stockholm

Erik Ålander