Tilbake til nyheter

IT-Gruk 23/2023

3. november, 2023

Femte runde av trilogforhandlinger for AI Act: Unntak for støttefunksjoner

Femte runde at trilogforhandlingene om AI-forordningen (AI Act) mellom EU-kommisjonen, EU-parlamentet og rådet ble avsluttet forrige uke (25.10). Ut fra nyheter og kommentarer i etterkant er det tydelig at det fortsatt gjenstår noen helt sentrale utfordringer, blant annet knyttet til definisjonen av AI og politiets mulige bruk av AI. Samtidig kom det frem at partene hadde hatt fremgang på andre områder. En av disse er muligheten for at det kommer et unntak for bruk av AI-funksjonalitet som støttefunksjon til beslutninger. Vi ser nærmere på dette unntaket her. Om partene rekker å komme til enighet før utgangen av 2023 er derimot uklart nå som timeglasset for 2023 er i ferd med å renne ut. Vi setter vår lit til det neste møtet i desember og at det politiske trykket er stort nok til at det i alle fall kommer en politisk enighet. 

 

Ut fra det som har kommet frem i etterkant av forhandlingene, så kan det tyde på at det er oppnådd konsensus om formuleringen av artikkel 6 i forslaget til AI-lov, som adresserer vesentlige klassifiseringsregler for høyrisikosystemer innen kunstig intelligens (AI). Samtidig er det flere forhold og spørsmål av sentral betydning som forblir ubesvart og som kan ha betydning for klassifiseringen i enden. Nå er forhandlingene konfidensielle, men etter å ha samlet og gjennomgått nyhetsartikler så tegner det seg likevel et rimelig klart og overordnet bilde at situasjonen.

I tillegg er det viktig å minne om at det fortsatt er flere regelverk som allerede regulerer IT-løsninger og plattformer med AI-funksjonalitet og systemer. Dette gjelder blant annet personvernregelverket, (GDPR), regelverket for immaterialrett og cybersikkerhetsforordningen. Et annet aspekt er hvordan eksempelvis ChatGPT vil bli klassifisert etter «Digital Services Act» (DSA) og «Digital Markets Act» (DMA), og om kommisjonen kommer til å utpeke ChatGPT etter DSA som en veldig stor plattform med enkelte plikter å sikre tilgang og tilsvarende som gatekeeper etter DMA.

 

Unntak fra klassifisering som høyrisiko AI-system

Hva har så kommet ut av trilogforhandlingene av betydning? Den mest spennende nyheten er knyttet til klassifiseringen av høyrisiko AI-systemer. Dette er store systemer som kan påvirke borgeres sentrale rettigheter og friheter, slik som utdanningsvalg eller asylsøknader. For slike systemer inntreffer de mest kostbare og omfattende tiltakene med blant annet sertifisering og CE-merking. Et av spørsmålene jeg har fått de siste månedene er om det er alle systemer som faller inn under denne klassifiseringen hvis det kun er et støttesystem. Svaret er nå at det synes som om partene forsøker å finne et kompromiss der et AI-system, som oppfyller fire spesifikke vilkår, ikke vil bli klassifisert som et høyrisikosystem under AI Act hvis AI-systemet utfører «rene tilleggsfunksjoner», dvs. en form for støttefunksjon til andre beslutninger.

Fra det vi har klart å forstå, vil en AI-løsning som ønsker å bli unntatt kravene til et høyrisiko AI-system måtte oppfylle følgende forhold for å unntas:

  • Systemet må utføre en begrenset prosedyreoppgave;
  • Systemet må kunne identifisere avvik fra eventuelle mønster i beslutningstaking;
  • Systemet må ikke påvirke en beslutning, som for eksempel tildeling av lån eller jobbtilbud (dvs. være et støttesystem som selv ikke tilordner rettigheter eller plikter), eller
  • At systemet kun forbedrer arbeidskvaliteten, som for eksempel stavekontroll.

Et slikt unntak vil kunne bidra til å skille mellom systemer som direkte tilordner rettigheter og plikter, og systemer som tydelig er basert på menneskelige beslutninger. Samtidig, blir det interessant å se hvor skillet da skal gå mellom at et høyrisiko AI-system fortsatt skal ha en form for menneskelig kontroll («human oversight») ift. om alle beslutninger skal kontrolleres og da faktisk tydeliggjøre at AI-systemet faktisk er et støttesystem. Et annet spørsmål med et slikt unntak er hvordan dette skal praktiseres og om virksomheten selv skal kunne gjøre slike vurderinger uten å registrere AI-løsningen. Løsningen ligger som vanlig i hva detaljene i dette kan forventes å bli etter et kompromiss.

En videreføring av dette unntaket fra høyrisiko-kategorien er at EU-kommisjonen skal utarbeide en detaljert liste over høyrisiko- og lavrisiko-bruksområder, samt å kunne endre denne listen når det foreligger bevis for at AI-systemer ikke utgjør en betydelig risiko for mennesker, selv om de ikke oppfyller noen av de identifiserte unntakene. Dermed vil slike systemer kunne unngå kravene til et høyrisiko AI-system. Om dette blir tilfelle, er derimot fortsatt ikke avklart.

 

Enighet på enkelte punkter

Det er også signaler på at forhandlingene hadde en positiv utvikling knyttet håndteringen av store AI-modeller, dvs. «fundamental models» med AI. Dette er modeller som vi forstår i utgangspunktet ikke er høyrisiko AI-systemer, men fordi det er modeller med stor innvirkning på samfunnet («high impact») så er det enighet om at det kan være behov for å kunne strengere kunne regulere slike modeller. Det gjenstår å se om partene kan bli enige om detaljene og definisjonene.

 

Og uenighet på sentrale sider ved reguleringen virkeområde

Samtidig er det uenighet om sentrale sider av regelverket. Blant annet er det fortsatt en diskusjon omkring definisjonen av kunstig intelligens. Som vi tidligere har nevnt, er det et krav om en viss autonomi i systemet, og en slik definisjon er helt grunnleggende for AI-forordningen. Det blir spennende å se om det her kommer et fremskritt som gjør det tydeligere hva som er et minimumskrav for et system som faller innenfor regelverket eller om det systemer som prinsipielt faller utenfor. En annen diskusjon er hvordan regelverket sikrer at det ligger en felles forståelse og definisjon i bunn som sikrer at eksempelvis at definisjoner fra amerikanske NIST ikke er i konflikt med AI-forordningen.

Den største uenigheten derimot synes å ligge på hva som skal være mulighetene for bruk av AI-systemer til rettshåndhevelse. Politi- og etterretningstjenester, som ikke faller inn under unntaket for militær bruk, vil etter stor sannsynlighet ønske å kunne bruke AI-systemer, blant annet knyttet til ansiktsgjenkjennelse ( med biometri) for å kunne drive overvåkning og etterforskning. At det finnes forbrukerorganisasjoner som derimot ønsker å begrense slik rett til overvåkning av samfunnet og samtidig ivareta borgeres friheter og rettigheter synes åpenbart. Hvor våre politikere ender, er derimot uklart.

 

Hvor går vi nå?

Det neste steget i trilogforhandlingene er planlagt å finne sted i begynnelsen av desember, men med de uavklarte problemstillingene som fortsatt er på bordet begynner det å bli mer sannsynlig at et endelig vedtak først kommer i 2024. Kompromiss må på plass for at partene skal bli enige. En ting er at tiden er i ferd med å løpe ut og en annen ting er at selv om det kommer en politisk enighet før utgangen av året, vil regelverket mest sannsynlig også kreve en del tid med juridisk bearbeidelse før endelig tekst vedtas. I så fall kan vi kanskje håpe på et vedtak rundt mars måned, og så får vi håpe ikke valget til EU-parlamentet i juni 2024 forsinker prosessen ytterligere.

 

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du sende en e-post til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.

Gå til
  • Spisskompetanse
  • Mennesker
  • Cases
  • Kurs