Bruk av kunstig intelligens i virksomheter

AI-Forordningen

Hva er AI-forordningen

EUs kommende «Artificial Intelligence Act», også kalt «AI Act» (heretter «AI-forordningen») er EUs forsøk på et spesifikt rettslig rammeverk for å regulere visse aspekter av AI.

Forordningen tar sikte på å regulere bruk av AI-systemer på en sektoruavhengig og mest mulig teknologinøytral måte. Forordningen er på mange måter bygget etter modell av produktsikkerhetslovgivningen i EU, og målet er å sikre at utviklingen og bruken av AI-systemer er ansvarlig og i tråd med grunnleggende rettigheter, samt å sikre fri flyt av AI-baserte varer og tjenester innen EU.

Et nærmere sammendrag av AI-forordningen finnes her.

Status for AI-forordningen

Etter en uvanlig lang og omdiskutert prosess foreligger det nå utkast til en endelig tekst for AI-forordningen. Denne vil antakeligvis bli vedtatt i løpet av våren 2024, og vil antakelig tre i kraft trinnvis i løpet av en periode på tre år fra vedtakelsen. Som forordning vil den da også gjelde direkte i alle EU-land. AI-systemer med uakseptabel risiko antas å bli forbudt allerede seks måneder etter vedtakelsen, mens enkelte regler antas å tre i kraft så sent som 2030.

Det gjenstår også et stort arbeid innenfor EU med å ferdigstille tekniske standarder og andre forskrifter på lavere nivå. Mange av bestemmelsene i AI-Forordningen lener seg i praksis på disse, basert på en forutsetning om at disse eksisterer. Det er derfor også mange detaljer som vil være uavklart inntil videre.

Det er lite som tyder på at AI-forordningen ikke vil bli inntatt i EØS-avtalen, og vi må derfor regne med at den vil gjelde også i Norge. Norske myndigheter vil formodentlig ha som ambisjon å gjennomføre AI-forordningen etter samme tidslinje som EU, men EØS-prosessen skaper nok en reell risiko for forsinkelser. Særlig fremstår det som usikkert om EØS-prosessen og norsk lovgivningsprosess vil være ferdigstilt til de innledende trinnene for AI-forordningen trår i kraft i EU. Det er likevel ikke sikkert at en slik forsinkelse vil få særlig praktisk betydning, da mange virksomheter som omfattes av AI-forordningen nok også vil ha virksomhet i EU-land. Slikt sett vil nok mange norske virksomheter uansett måtte forholde seg indirekte til regelverket.

Definisjonen av AI-system

AI-forordningen definerer et AI-system som (vår oversettelse fra engelsk):

et maskinbasert system designet for å fungere med varierende nivåer av autonomi og som kan vise tilpasningsevne etter idriftsettelsen og som, for eksplisitte eller implisitte mål, utleder, fra inndata som den mottar, hvordan utdata genereres i form av eksempelvis prediksjoner, innhold, anbefalinger, eller beslutninger som kan påvirke fysiske eller virtuelle miljøer.

Definisjonen er ment å omfatte en rekke ulike typer AI-systemer og teknologier, både nå og i fremtiden, og er også forutsatt harmonisert med internasjonalt anerkjente definisjoner av AI. I fortalen understrekes blant annet er systemets mulighet for å fungere autonomt, og til å utlede nytt innhold, som karakteriserer et AI-system og skiller det fra tradisjonell programvare. Samtidig understrekes det at systemer som utelukkende er basert på regler (algoritmer) som er definert av mennesker ikke skal omfattes av definisjonen. Man tenker altså først og fremst systemer som baserer seg på maskinlæring eller nevrale nettverk mv, og hvor det kan være vanskelig for mennesker å forstå akkurat hvordan systemet fungerer.

Risikobasert tilnærming

AI-forordningen legger opp til en risikobasert tilnærming til regulering av AI, der man opererer med ulike risikokategorier for AI, og hvor høyere risikokategori betyr strengere regulering.

AI-systemer som strider med grunnleggende verdier anses å innebære uakseptabel risiko, og vil generelt bli forbudt.

AI-systemer med høy risiko vil underlegges krav for etisk bruk av AI, som blant annet omfatter krav om menneskelig tilsyn, krav til teknisk robusthet og sikkerhet, personvern og datakontroll, transparens, ikke-diskriminering og rettferdighet, bærekraft og ansvarliggjøring.

AI-systemer med lav risiko bare medføre begrensede plikter etter forordningen.

De fleste AI-systemer for bruk i ordinære virksomheter antas å ville klassifiseres som lav risiko i denne sammenheng, samtidig kan bruk av AI-systemer i enkelte typer virksomheter som er kritiske for samfunnet i seg selv gjøre at AI-systemet anses som høy risiko for dette formålet.

Det er også verdt å merke seg at AI-forordningen først og fremst måler risiko opp mot grunnleggende rettigheter (menneskerettigheter), og ikke kommersiell, teknisk eller juridisk risiko. AI-forordningens risikoklassifisering må derfor ikke forstås som noen målestokk for hvilken risiko bruken av et AI-system medfører for den enkelte virksomhet.

Betydning

AI-forordningen innebærer for det første en fullharmonisert tilnærming til AI-regulering innen EU, og vil derfor også begrense lovgivernes muligheter for å regulere AI-systemer på en annen måte enn det som følger av AI-forordningen.

AI-forordningen medfører først og fremst plikter for tilbydere av AI-systemer, og den har størst fokus på AI-systemer som innebærer høy risiko for grunnleggende rettigheter. Tilbydere av slike AI-systemer vil blant annet bli pålagt plikt til samsvarsvurdering og registrering.

Det stilles også særskilte krav til såkalte grunnmodeller og generelle AI-systemer (såkalt GPAI), inkludert generativ AI. AI-forordningen har her også regler om hvordan det regulatoriske ansvaret stiller seg der man integrerer GPAI-systemer i annen programvare mv. Virksomheter som integrerer GPAI-modeller i egne løsninger må derfor være oppmerksom på dette.

Virksomheter som bare benytter et AI-systemer i egen virksomhet, uten selv å være tilbydere, pålegges imidlertid kun begrensede direkte plikter under AI-forordningen, og da også begrenset til AI-systemer med høy risiko. Bruk av høyrisiko AI vil blant annet stille krav til risikovurderinger og menneskelig tilsyn, og dette vil kreve tilstrekkelige ressurser og kompetanse for de virksomheter som dette gjelder.

AI-forordningens fokus på tilbydere og høyrisikosystemer gjør også at den antakeligvis vil ha mindre direkte betydning for vanlige virksomheter enn eksempelvis innføringen av GDPR hadde. Det er imidlertid verdt å merke seg at bruken av AI-systemer kan ha betydning for hvilke plikter man har under andre regelsett. Blant annet stiller GDPR særskilte krav til behandling av personopplysninger ved bruk av AI.

Man bør uansett være bevisst på hvilken risikoklassifisering de AI-systemer virksomheten tilbyr eller benytter har eller vil få etter AI-forordningen. Virksomheter innen kritiske samfunnsområder, slik som transport, helse, energi, finans, telekommunikasjon mv, må også være oppmerksom på at bruk av AI innen deres områder ofte vil klassifiseres med høy risiko.

Tilsyn og sanksjoner

Det legges opp til et styringsregime med tilsynsmyndigheter og markedsovervåkning både på europeisk og nasjonalt nivå, samt sertifiseringsmekanismer mv. Overtredelser av AI-forordningen kan straffes med bøter inntil 7% av årlig omsetning på verdensbasis, eller EUR 40 millioner dersom dette er høyere. Erfaringene med GDPR tyder på at sanksjonsregimet vil kunne benyttes til det fulle overfor virksomheter som ikke følger reglene.

Annet regelverk

Generelt

AI-forordningen begrenser ikke plikter som følger av annet regelverk, og regulerer eksempelvis ikke privatrettslige forhold eller forhold som er underlagt annen særlovgivning. Samtidig vil nok etterlevelse av AI-forordningen etter omstendighetene også kunne få indirekte betydning for vurderinger etter annet regelverk der dette er relevant.

Det er som nevnt verdt å merke seg at risikoklassifiseringen som AI-forordningen bygger på ikke har noen nødvendig sammenheng med hvilken kommersiell og juridisk risiko bruk av AI kan innebære for en virksomhet etter annet regelverk. Et AI-system med lav risikoklassifikasjon etter AI-forordningen kan likevel innebære høy risiko eller stille store krav etter andre rettsregler. Risikoen ved bruk av AI-systemer for den enkelte virksomhet må vurderes konkret, og AI-forordningens risikoklassifisering vil i mange tilfeller kun være en komponent i denne vurderingen.

Spesiallovgivning

Spesiallovgivningen inneholder flere regler som kan ha betydning for bruk av AI.

Foruten det sektorspesifikke regelverk som kan gjelder for enkelte typer virksomheter, typisk innenfor samfunnsviktige sektorer, må sektoruavhengig regelverk knyttet til blant annet personvern og digital sikkerhet antas særlig aktuelt ved bruk av AI-systemer.

Eksempelvis vil bruk av -systemer til behandling av personopplysninger i mange tilfeller medføre krav om personvernkonsekvensanalyse (såkalt DPIA). Bruk av AI-systemer vil ha flere grensesnitt mot digital sikkerhet både med tanke på angrepsflater og forsvar. Krav i sektorspesifikk lovgivning til menneskelig tilsyn mv kan også gjøre at bruken av AI-systemer i praksis vil være ulovlig, eller må begrenses. Eventuelt at slik bruk må sertifiseres eller lignende.

Erstatningsansvar

Bruk av AI kan også medføre ansvar etter alminnelige erstatningsrettslige prinsipper. Noen må kunne holdes ansvarlig for skade forårsaket av AI, men hvordan risikoer og ansvar i denne sammenheng skal plasseres er ikke klart.

I tilfeller der det eksisterer en kontraktrelasjon mellom den potensielle skadevolder og den potensielle skadelidte vil erstatningsansvaret som utgangspunkt kunne reguleres i kontrakten, og det vil ofte også da omfattes av mer generelle bestemmelser om ansvar og ansvarsbegrensninger mv.

Utenfor kontrakt er utgangspunktet at alminnelige erstatningsregler gjelder. Her kan det for det første tenkes en form for produktansvar for den som tilvirkere eller tilbyr et AI-system. EU har blant annet foreslått å utvide produktansvarsreglene slik at de vil omfatte AI-systemer. Men det kan også tenkes at en virksomhet som benytter AI vil kunne holdes erstatningsrettslig ansvarlig etter alminnelige erstatningsrettslige prinsipper, basert på skyldansvar eller ulovfestet objektivt ansvar.

EU har også foreslått et AI-ansvarsdirektiv som vil gjøre det enklere for skadelidte å fremme erstatningskrav for skade relatert til bruk av AI-systemer. Arbeidet med dette synes å ha stoppet litt opp i forbindelse med AI-forordningen, men det må forventes at dette også vil vedtas i nær fremtid.

Immaterialrettslige utfordringer

Bruk av AI reiser flere immaterialrettslige utfordringer, både med tanke på bruk av treningsdata til maskinlæringsformål, informasjonssikkerhet, og beskyttelse av systemets utdata. Eksempelvis kan bruk av data for maskinlæringsformål potensielt innebære brudd på immaterielle rettigheter, personvern eller informasjonssikkerhet overfor tredjepart. Pr i dag er nok også det immaterialrettslige utgangspunktet at det som skapes av et AI-system har begrenset (om noen) beskyttelse, selv om tilsvarende resultat skapt av mennesker ville hatt beskyttelse.

Virksomheter som benytter data til maskinlæringsformål, eller som benytter AI i produksjon av tekst, bilder, video, musikk eller tjenester, bør være oppmerksom på dette og søke å regulere risiko knyttet til dette gjennom kontraktbestemmelser og andre tiltak.

Anbefalinger ved bruk av AI

Det er generelt sett mange muligheter, og få absolutte rettslige begrensninger, ved bruk av AI i ordinære virksomheter. Samtidig er det fra et virksomhetsstyringsperspektiv viktig å være oppmerksom på de risikoer som AI kan innebære, å ikke ta uønsket eller uinformert risiko knyttet til AI, samt å gjøre tiltak der dette er påkrevet eller hensiktsmessig. Rettslige handlingsrom og risiko vil også kunne ha direkte sammenheng med hvilke vurderinger man gjør, og hvilke løsninger man velger.

Virksomheter bør kartlegge egen bruk av AI, både nå og i henhold til fremtidige planer, samt utarbeide en strategi og retningslinjer for bruk av AI.

Det er selvsagt ikke noe mål i seg selv å begrense bruk av AI i denne sammenheng, eller å lage unødig omfattende styrings- og ledelsessystemer for bruk av AI. Men man bør foreta en risikoanalyse av hvilke plikter, risikoer og andre konsekvenser bruken av AI medfører for virksomheten, både regulatorisk og kommersielt.

Man bør videre se på hvilke tekniske, organisatoriske og kontraktsrettslige tiltak som virksomheten kan og bør gjøre for å håndtere risiko forbundet med bruk av AI. Her kan det nok også være synergier i å samordne tilnærmingen til AI med virksomhetens tiltak knyttet til personvern og informasjonssikkerhet. Retningslinjene kan gjerne også omfatte ansattes bruk av fritt tilgjengelige AI-tjenester slik som ChatGTP.

Risikoene og særegenskapene ved AI-systemer må også hensyntas både i virksomhetens strategier for bruk av AI, og i de kontrakter som virksomheten inngår. Tradisjonelle kontraktsformater og -mekanismer vil ikke nødvendigvis være egnet for å regulere AI-systemer, og som kunde bør man blant annet vurdere å stille krav til leverandøren som gjør at man kan oppfylle de krav man selv pålegges ved bruk av AI.

Bruk av AI-systemer kan også reise etiske problemstillinger, og AI-forordningen anbefaler at også AI-systemer med minimal risiko er underlagt etiske retningslinjer.

Den daglige forvaltningen av AI bør normalt ikke ligge til virksomhetens styre, men styrer i selskaper der bruk av AI er aktuelt bør ha dette på sin dagsorden både med hensyn til strategi, konkurransekraft og risikohåndtering.