Den nya AI-förordningen: En ny global standard för utveckling och användning av AI?

För lite drygt två månader sedan presenterade EU-kommissionen sitt förslag till AI-förordning. Förordningen kan bli en global standard för utveckling och användning av artificiell intelligens (”AI”) och förordningens potentiella inverkan på AI-området jämförs med dataskyddsförordningens (”GDPR”) inverkan på dataskyddsområdet. Om förslaget antas kommer EU:s medlemsstater att få ett harmoniserat regelverk kring AI som kommer att påverka många företag och deras verksamhet.

EU-kommissionen planerar att investera en miljard euro om året i AI. Främjande av AI-teknologi och en AI-vänlig inre marknad är tveklöst viktigt för EU och att EU sedan en tid tillbaka har haft AI på agendan råder det inget tvivel om. År 2018 enades kommissionen och medlemsstaterna om att gå samman om AI-politik och investeringar genom en samordnad plan för AI. I april 2021 offentliggjordes den reviderade samordnade planen. En viktig del i kommissionens AI-plan är att etablera en rättslig ram för AI som tillsammans med den samordnade planen kommer att ”garantera säkerheten och de grundläggande rättigheterna för människor och företag och samtidigt stärka AI-utrullningen, investeringarna och innovationen i hela EU” (se kommissionens pressmeddelande den 21 april 2021). Det är mot den bakgrunden kommissionen den 21 april publicerade den nya AI-förordningen.

I egenskap av förordning kommer de nya AI-reglerna att börja gälla samtidigt och på samma sätt i alla medlemsstater. Regelverket kommer alltså inte att behöva implementeras i svensk rätt utan på samma sätt som t.ex. GDPR kommer AI-förordningen (om den antas) att börja gälla automatiskt på ikraftträdandedagen. Förslaget måste antas av Europaparlamentet och medlemsstaterna genom det ordinarie lagstiftningsförfarandet.

Syftet med förordningen är att harmonisera regler för AI inom EU, skydda grundläggande rättigheter, främja de positiva aspekterna av AI och säkerställa fri rörlighet av AI-system. För att skapa en strukturerad uppdelning mellan olika typer av AI och dess användning använder förslaget ett riskbaserat angreppssätt där viss AI-teknologi är förbjuden, viss AI-teknologi är tillåten med restriktioner och krav, och viss AI-teknologi får användas fritt.

• Oacceptabel risk – förbjudet: AI som bedöms utgöra ett hot mot människors säkerhet, försörjningsmöjligheter och rättigheter. T.ex. system som stater kan använda för social poängsättning eller som manipulerar mänskligt beteende för att kringgå användarnas fria vilja.
• Hög risk – strikta skyldigheter innan AI:n släpps ut på marknaden: T.ex. AI-system som används i kritiska infrastrukturer (t.ex. transport) som kan innebära hot mot människors liv och hälsa, utbildning där systemen kan avgöra individers tillgång till utbildning och yrkeskarriär (t.ex. poängsättning av prov) eller rättsskipning (t.ex. tillämpning av lagstiftning i ett konkret fall). AI-system för biometrisk fjärridentifiering anses utgöra en särskilt hög risk och omfattas av speciella krav. För att sätta hög risks-AI i bruk måste en ändamålsenlig riskbedömning göras och riskreducerande system införas. För att säkerställa spårbarhet av resultat ska åtgärder loggas och detaljerad dokumentation som omfattar all nödvändig information om systemet och dess ändamål ska lämnas till myndigheter som kontrollerar att kraven uppfylls. Detta och en rad andra krav ställs på hög risks-AI. Kommissionen ska tillsammans med medlemsstaterna instifta en databas för hög risks-AI som ska vara tillgänglig för allmänheten. En ”European Artificial Intelligence Board” med representanter från varje medlemsstat ska skapas för att definiera hög risks-AI.
• Begränsad risk – transparenskrav: AI-system med särskilda transparenskrav, t.ex. chattbotar. Användarna ska vara medvetna om att de interagerar med en maskin så att de kan fatta välgrundade beslut om att fortsätta eller avsluta.
• Minimal risk – fri användning: t.ex. AI-stödda videospel eller skräppostfilter. AI-system i denna kategori utgör en minimal eller obefintlig risk för medborgarnas rättigheter eller säkerhet och omfattas därför inte av några speciella krav eller åtgärder. Enligt kommissionen är den absoluta majoriteten av AI-system att betrakta som minimal risk.

Bedömningen av hur ett AI-system ska klassificeras görs av företagen själva eller av en tredje part – beroende på omständigheterna i det enskilda fallet. Likt GDPR införs höga sanktionsavgifter för den som bryter mot förordningen, 20 miljoner euro eller 4 % av den globala årsomsättningen om det beloppet är högre.

Om AI-förordningen antas lär det dröja några år innan den träder i kraft. Sveriges regering är positiv till förslaget och uttryckte i en faktapromemoria att ”potentialen [för AI] är betydande och Sverige ska vara ledande i att ta tillvara möjligheterna som användningen av AI kan ge och regeringen ser därför positivt på EU-reglering som stödjer detta.” 

Setterwalls följer med spänning utvecklingen. För mer information, se kommissionens pressmeddelande den 21 april 2021 (här) samt förslaget i sin helhet här.

Innehållet är en allmän redogörelse av informativ karaktär och är inte juridisk rådgivning att lägga till grund för bedömning i ett enskilt ärende.