EU:s reglering av AI
Informationen i denna artikel är endast avsedd som allmän vägledning och utgör inte juridisk rådgivning.
Sammanfattning
EU:s AI-förordning (EU) 2024/1689 (”AI-förordningen”) förbjuder vissa AI-system som medför oacceptabla risker, ställer upp strikta krav på AI-system med hög risk och fastställer transparenskrav för andra system.
Förordningen trädde i kraft den 1 augusti 2024, men dess bestämmelser kommer att börja tillämpas stegvis:
- 2 februari 2025: Bestämmelserna om förbjudna AI-användningsområden.
- 2 augusti 2025: Bestämmelser om AI-modeller för allmänna ändamål.
- 2 augusti 2026: Börjar tillämpas i sin helhet, inklusive de flesta kraven för AI-system med hög risk.
- 2 augusti 2027: Kraven för AI-system med hög risk som är komponenter i produkter som regleras av lagstiftningen i bilaga I (t.ex. medicinteknik, leksaker, fordon) börjar tillämpas.
Förordningen är tillämplig på bland annat:
- Leverantörer som släpper ut AI-system eller AI-modeller för allmänna ändamål på marknaden i EU.
- Tillhandahållare (dvs. användare) av AI-system som är etablerade eller befinner sig i EU.
- Leverantörer och tillhandahållare i tredjeländer, om utdata från AI-systemet används inom EU.
- Importörer, distributörer, produkttillverkare och ombud.
Förordningen är inte tillämplig på AI-system som utvecklas eller används uteslutande för militära, försvars- eller nationella säkerhetsändamål.
Skyldigheter för leverantörer och tillhandahållare (användare)
Förordningen fastställer skyldigheter för olika aktörer i värdekedjan:
- Leverantörer är de verksamheter som utvecklar ett AI-system. De har det primära ansvaret att säkerställa att systemet uppfyller alla krav, genomföra bedömning av överensstämmelse, CE-märka produkten och registrera den i en EU-databas (Artikel 3.3).
- Tillhandahållare (användare) är de som sedan använder det färdiga AI-systemet i sin organisation. Tillhandahållare ska använda högrisksystem i enlighet med bruksanvisningen, säkerställa mänsklig tillsyn och informera leverantören om allvarliga incidenter och behöver i vissa fall göra en konsekvensbedömning innan ett AI-system med hög risk börjar användas i organisationen (Artikel 3.4).
- Om en verksamhet både utvecklar ett AI-system med hög risk och sedan också använder systemet i den egna organisationen, behöver alltså verksamheten leva upp till de skyldigheter som gäller för leverantörer och tillhandahållare av AI-system med hög risk.
Förbjudna AI-användningsområden (AI-förordningen, Artikel 5)
Vissa AI-användningsområden som anses medföra en oacceptabel risk är helt förbjudna. Dessa inkluderar system som:
- Använder subliminala, manipulativa eller vilseledande tekniker för att väsentligt påverka en persons beteende på ett skadligt sätt.
- Utnyttjar sårbarheter hos specifika grupper (t.ex. på grund av ålder eller funktionsnedsättning) på ett sätt som orsakar betydande skada.
- Används för social poängsättning av myndigheter som leder till skadlig eller ofördelaktig behandling.
- Gör riskbedömningar av fysiska personer för att förutse brott, baserat enbart på profilering eller personlighetsdrag.
- Skapar eller utvidgar databaser för ansiktsigenkänning genom oriktad insamling av bilder från internet eller övervakningskameror.
- Används för att uttyda känslor på arbetsplatser eller i utbildningsinstitutioner, med undantag för medicinska eller säkerhetsmässiga skäl.
AI-system med hög risk (AI-förordningen, Artikel 6)
AI-system klassificeras som högrisk om de antingen är en säkerhetskomponent i en produkt, eller AI-systemet i sig är en produkt, som omfattas av viss EU-lagstiftning (listad i AI-förordningen, bilaga I) och kräver tredjepartsbedömning, eller om de används inom något av de specifika områden som listas i AI-förordningen, bilaga III.
Områdena i bilaga III inkluderar bland annat:
- Biometri: System för biometrisk fjärridentifiering, kategorisering baserat på känsliga attribut och känsloigenkänning.
- Kritisk infrastruktur: Säkerhetskomponenter för drift av t.ex. vägtrafik och försörjning av vatten, gas och el.
- Utbildning och yrkesutbildning: System för antagning, utvärdering av läranderesultat och övervakning vid prov.
- Anställning och arbetsledning: System för rekrytering, befordran, uppsägning och övervakning av prestationer.
- Tillgång till tjänster och förmåner: System för att utvärdera rätt till offentliga förmåner, kreditvärdighet och riskbedömning för försäkringar.
- Brottsbekämpning
- Migration, asyl och gränskontroll
- Rättskipning och demokratiska processer
Ett system listat i bilaga III ska dock inte anses vara högrisk om det inte utgör en betydande risk för hälsa, säkerhet eller grundläggande rättigheter, exempelvis om det utför en snäv processuell uppgift eller endast är förberedande för en mänsklig bedömning.
Krav för AI-system med hög risk
Högrisksystem måste uppfylla en rad strikta krav innan de får släppas ut på marknaden. De centrala kraven är:
- Riskhanteringssystem: Ett kontinuerligt system för att identifiera, utvärdera och minska risker under hela systemets livscykel (Artikel 9).
- Data och dataförvaltning: Krav på att tränings-, validerings- och testdata är relevanta, representativa, felfria och fullständiga (Artikel 10).
- Teknisk dokumentation: Detaljerad dokumentation måste upprättas innan systemet släpps ut på marknaden (Artikel 11).
- Loggning: Systemen måste tekniskt möjliggöra automatisk registrering av händelser (loggar) för att säkerställa spårbarhet (Artikel 12).
- Transparens och information till tillhandahållare: Systemen ska vara tillräckligt transparenta för att användare ska kunna tolka utdata och använda dem korrekt. Tydliga bruksanvisningar ska medfölja (Artikel 13).
- Mänsklig kontroll: Systemen ska kunna övervakas effektivt av människor för att förebygga eller minimera risker (Artikel 14).
- Riktighet, robusthet och cybersäkerhet: Systemen ska ha en lämplig nivå av riktighet, vara motståndskraftiga mot fel och skyddade mot cyberhot (Artikel 15).
Sanktioner (AI-förordningen, Artikel 99)
Medlemsstaterna ska införa effektiva, proportionella och avskräckande sanktioner för överträdelser. Förordningen anger maximala administrativa sanktionsavgifter i tre nivåer:
- Upp till 35 000 000 EUR eller 7 % av den globala årsomsättningen för överträdelser av förbuden i artikel 5.
- Upp till 15 000 000 EUR eller 3 % av den globala årsomsättningen för överträdelser av de flesta andra skyldigheter, inklusive kraven på högrisksystem.
- Upp till 7 500 000 EUR eller 1 % av den globala årsomsättningen för tillhandahållande av oriktig, ofullständig eller vilseledande information till myndigheter.
För små och medelstora företag ska de lägre av beloppen (det fasta beloppet eller procentsatsen) gälla. Svensk utredning har föreslagit lägre tak för sanktionsavgifter mot myndigheter.
Ikraftträdande och tillämpning (AI-förordningen, Artikel 113)
AI-förordningen trädde i kraft den 1 augusti 2024.
Bestämmelserna kommer dock att börja tillämpas vid olika tidpunkter i en stegvis process, som kortfattat är:
- 2 februari 2025: Bestämmelserna om förbjudna AI-användningsområden (Artikel 5).
- 2 augusti 2025: Bestämmelser om AI-modeller för allmänna ändamål.
- 2 augusti 2026: Förordningen börjar tillämpas i sin helhet, inklusive de flesta kraven för AI-system med hög risk.
- 2 augusti 2027: Kraven för AI-system med hög risk som är komponenter i produkter som regleras av lagstiftningen i bilaga I (t.ex. medicinteknik, leksaker, fordon) börjar tillämpas.