Open in app

Sign up

Sign in

Write

Sign up

Sign in

AI-Act — hvordan vil den påvirke meg som utvikler?

Anette Bergland
Bredvid
Published in
6 min readMar 7, 2024

--

2023 ble året kunstig intelligens ble allemannseie og noe de fleste plutselig måtte forholde seg til. Enkelte er kanskje smått lei allerede, mens andre fortsatt er særdeles engasjert over den videre utviklingen og mulighetene innen kunstig intelligens. Mange er nok en blanding — både lei av «Denne artikkelen/presentasjonen/oppsummeringen/what-not ble generert av ChatGPT» — og sitter på en rekke ideer til potensielle prosjekter der man kan benytte seg av eller trene modellene som nå er tilgjengelige.

Generert med OpenAis DallE

Som en passende avslutning på fjorårets AI entusiasme fikk vi i desember nyheten om at EU-kommisjonen og parlamentet hadde blitt enige. Vi kan derfor endelig snart vente oss et regelverk for kunstig intelligens fra EU. Det endelige utkastet som det er blitt enighet om ble tilgjengeliggjort 21 januar i år (ikke offisielt kunngjort).

TL;DR — Vil det påvirke meg?

Kravene som typisk vil merkes mest av utviklere, er nok krav som mange allerede er vant til eller kjent med i sin nåværende arbeidshverdag. For eksempel vil det komme krav om:

  • Testing
  • Logging
  • Utarbeidelse av teknisk dokumentasjon

I relasjon til AI-Act og utvikling av AI-systemer vil det være viktig at utviklere får tilstrekkelig tid til å lage god kode som testes ordentlig. En strategi som ‘bare få det til å funke’ kan bli dyrt for oppdragstaker med det nye regelverket. Videre vil det være viktig at utvikleres arbeidsprosess dokumenteres og kan vises til i etterkant av utviklingen av et nytt AI-system.

Hva er AI-Act?

AI-Act er nytt regelverk fra EU som vil regulere utviklingen og bruken av enkelte kunstig intelligente systemer eller ‘AI-systemer’ på det europeiske markedet.

‘AI-Act’ eller ‘KI-forordningen’ er EU-regelverk som kommer til å regulere utviklingen og bruken av enkelte kunstig intelligente systemer eller ‘AI-systemer’ på det europeiske markedet. Det er forventet at de siste prosessene rundt vedtakelsen vil ferdigstilles denne våren. AI-Act vil tre i kraft 20 dager etter at den er offisielt publisert i Den Europeiske Unions Tidende (Official Journal of the European Union), etter dette vil det ta to år før reglene i sin helhet er anvendelig EU-rett. Deler av regelverket vil likevel få virkning før dette. Deriblant vil delene om forbud få anvendelse allerede etter seks måneder og delene som omhandler ‘General Purpose AI’ (GPAI) får anvendelse etter 12 måneder.

I Norge må regelverket også inkorporeres i norsk rett som norsk lov, denne prosessen er litt annerledes enn resten av Europa siden vi ikke er en del av EU — kun EØS.

Det skal også nevnes og presiseres at reglene ikke vil få anvendelse på AI-systemer som ikke er ute på markedet, tatt i bruk eller undergår testing i reelle eller virkelige forhold. Dette vil i praksis innebære at regelverket trolig ikke vil være noen umiddelbar hindring for innovasjon og kreativitet.

På den annen side bør man nok følge litt med, da brudd på regelverket kan føre til skyhøye bøter der det høyeste bøtenivået ligger på 35 millioner euro eller 7 prosent av global omsetning.

AI-Act sin definisjon av ‘AI-systemer’ er følgende:

“An AI system is a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments.”

Definisjonen har en vid ordlyd og tilsier at en stor andel systemer som brukes og utvikles i dag vil anses å være et ‘AI-system’.

Dette utgangspunktet har også lovgiverne i EU hatt. Helt fra vi fikk forslaget til forordningen i 2021 har det derfor vært klart at vi vil få ulike ‘nivåer’ som vil bli regulert i ulik grad:

Hentet fra EU-kommisjonens presentasjon https://www.ceps.eu/wp-content/uploads/2021/04/AI-Presentation-CEPS-Webinar-L.-Sioli-23.4.21.pdf?

I regelverket legges det opp til å dele AI-systemer inn i fire nivåer:

  • uakseptabel risiko
  • høy risiko
  • systemer med krav til transparens
  • og systemer med lav eller ingen risiko.

AI-Acts regler er hovedsakelig rettet mot høy-risiko systemer og systemer med krav til transparens. Pyramiden over viser at disse kategoriene vil overlappe.

Systemer uten risiko

Systemer med minimal eller ingen risiko vil eksempelvis være spamfiltre, disse systemene vil fortsatt kunne brukes og utvikles uten noen ytterligere juridiske rammer (de er ikke tema for AI-Act).

Systemer med uakseptabel risiko

Systemer med uakseptabel risiko vil være systemer som anses som er trussel mot fysiske personer grunnleggende rettigheter. Dette inkluderer systemer for ‘social scoring’, scraping av internett eller overvåkningsbilder for å lage en ansiktsgjenkjenningsdatabase, og enkelte systemer for manipulering av atferd i tilfeller der den manipulerte atferden er egnet til å påføre noen skade. Systemer med uakseptabel risiko vil være ulovlige etter regelverket og det er brudd på reglene knyttet til disse som vil kunne medføre de høyeste bøtene.

Krav til transparens

For systemer som skal samhandle med fysiske personer innebærer kravene til transparens at det skal være tydelig for personen at de interagerer med et AI-system. Bestemmelsene om transparens vil også omfatte bilder, video og lyd som simulerer ekte — typisk kjente — fysiske personer si eller gjøre noe de ikke har gjort (“Deep Fakes”).

Systemer med høy risiko

AI-systemer av høy risiko kan sies å være regelverkets hovedtema, og de fleste bestemmelsene relaterer seg til disse systemene. Hva som anses å være ‘høyrisikosystemer’ vil i stor grad fremkomme av vedleggene til AI-Act, der vedlegg III vil liste opp en rekke ‘områder’ som vil medføre at et system er høyrisiko. Eksempler på områder der AI-systemer vil kunne anses å være høyrisiko er:

  • Kritisk infrastruktur som vann, strøm og gas
  • Medisinsk utstyr
  • Systemer som er med på å bestemme/avgjøre tilgangen til utdannelsesinstitusjoner eller rekruttering til arbeidsplasser
  • Systemer for og innen sektoren for politi og påtalemyndighetene
  • Systemer for grensekontroll
  • Systemer knyttet til demokratiske prosesser

EU-kommisjonen vil ha mulighet til å legge til nye områder og AI-Act vil ha egne bestemmelser for når og hvilke hensyn kommisjonen må ta for å da legge til flere områder.

AI-Act åpner også for at AI-systemer som i utgangspunktet faller inn under hva som anses høyrisiko ikke vil være det likevel, men det kreves da at vurderingene dokumenteres og at systemet registreres i en database hos EU.

Flere av bestemmelsene knyttet til høyrisikosystemer vil merkes av utviklere som arbeider med modeller innenfor denne risikokategorien. Eksempelvis er det foreslått krav til testing, logging, nøyaktighet, robusthet og informasjonssikkerhet samt utarbeidelse av teknisk informasjon som skal ferdigstilles før en eventuell lansering av AI-systemet mfl.

General Purpose Artificial Intelligence (GPAI) systemer

Fra pressemeldingene til parlamentet og kommisjonen i desember ble det klart at EU-parlamentet fikk gjennomslag for deler av sine forslag knyttet til ‘GPAI’ systemer (General Purpose Artificial Intelligence). GPAI-systemer er AI systemer med et generelt bruksområde, eksempelvis ChatGPT. I siste utkastet til AI-Act er klart at disse systemene vil få krav til transparens, dokumentasjonskrav og informasjonskrav knyttet til innholdet i dataen brukt til trening av modellen.

Enkelte GPAIer med høyere og mer systemisk risiko må overholde egne regler rettet mot disse, deriblant evalueringer av modellen, vurdering og tiltak for å begrense systemisk risiko, og gjennomføring av ‘adversial testing’ . ‘Adversial testing’ er en måte å teste AI/Maskinlæringsmodeller der man med vilje utsetter modellen for ulik og motstridende input for å prøve å evaluere hvor robust den er, se f.eks. Googles beskrivelse og informasjon her: https://developers.google.com/machine-learning/resources/adv-testing.

Videre må det også rapporteres til EU-kommisjonen dersom det skulle skje alvorlige hendelser knyttet til modellen. Det vil bli stilt krav til informasjonssikkerheten og det må rapporteres om energieffektiviteten til systemet.

Regler på regler, er det noe vi kan glede oss til også?

Med den pågående ‘AI-hypen’ bør nok de fleste konsulenthus, innovasjonsavdelinger og andre virksomheter som sitter på en gruppe ivrige teknologer — ha et øye til AI-forordningen fra EU fremover.

Et positivt punkt er at AI-Act vil inneholde et eget kapittel om tiltak for å støtte innovasjon. Dette kapittelet inkluderer egne bestemmelser knyttet til regulatoriske sandkasser. Sandkasser har de siste årene blitt etablert av ulike offentlige myndigheter for å bidra til å hjelpe virksomheter som utvikler nye løsninger til å overholde relevant regelverk.

I Norge har blant annet Datatilsynet og Finanstilsynet hatt egne sandkasser. I AI-Act er det foreslått at offentlige regulatoriske AI-sandkasser skal prioritere små, mellomstore og start-up virksomheter ved opptak. Ideen bak en slik bestemmelse er at regelverket skal bidra til positiv innovasjon i eurosonen — hvilket vil være positivt for alle oss som fortsatt ikke er lei ‘AI-hypen’.

AI
Ai Act Compliance
Developer

--

--

Anette Bergland
Bredvid
Follow

Written by Anette Bergland

0 Followers
Follow

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams