AI Act, der skal regulere kunstig intelligens i Europa, er nu vedtaget af Europaparlamentet. Nu kommer så al arbejdet med at få loven implementeret i praksis.
Onsdag var en historisk dag, når det gælder kunstig intelligens i EU. Det blev nemlig dagen, hvor AI Act efter mange års forberedelse endelig blev vedtaget som lovtekst af Europaparlamentet. Det skriver EU i en pressemeddelelse.
Nu begynder arbejdet så med den praktiske implementering og med at få de mange AI-udbydere til at overholde loven, når de tilbyder tjenester i EU-medlemslande. Det kan, som vi har set med Digital Markets Act (DMA), godt tage lidt tid og er ikke nødvendigvis gnidningsløst.
Den nye lov sætter spillereglerne for, hvad EU kalder GPAI – General Purpose Artificial Intelligence. Disse kunstige intelligenser til generelle formål omfatter, som den årvågne læser formentlig allerede har gættet, den nye bølge af chatbots og tjenester, der går under kategorinavnet generativ AI.
AI Act rummer en række forbud. Det er for eksempel forbudt at oprette biometriske genkendelsessystemer, der anvender ”følsomme” karakteristikker, hvilket formentlig primært betyder ansigt og øjne med mere. Ligeledes er det nu forbudt at skabe databaser med ansigter, der skrabes fra Internettet eller offentlige overvågningskameraer, hvis disse bruges til ansigtsgenkendelse.
AI-brug ved lovhåndhævelse indskrænkes
Det er nu også forbudt for skoler og arbejdsplacer at bruge AI til at forsøge at identificere, når en person udtrykker følelser med ansigt og krop. Følelses-identifikation må heller ikke bruges til profilering i forbindelse med prædiktiv analyse under politiarbejde eller til foretage social evalueringer med en såkaldt ”social score”, som vi kender det fra Kina. Endelig forbydes al brug af AI til manipulation af menneskelig adfærd eller sårbarheder.
Politiet er dog ikke helt afskåret fra at bruge AI i deres arbejde. Hvis biometriske identifikationssystemer skal anvendes, og især hvis de anvendes ”live”, kræver det opfyldelse af en lang liste af krav, som EU har specificeret for at sikre folks privatlivsrettigheder.
Der er i det hele taget stramme krav til, hvad EU kalder ”højrisiko-brugstilfælde”, hvilket ud over en hel del politiarbejde også omfatter bl.a. brug af AI i kritisk infrastruktur, offentlige services, ansættelses-processer, juridiske processer, valghandlinger, uddannelse med mere. Der stilles blandt andet som krav til sådanne brugstilfælde, at systemet har en vis gennemsigtighed, har menneskelig supervision, og reducerer risici.
Deepfakes skal markeres
Alle EU-borgere har ret til at klage over en beslutning eller en handling, der er taget af, eller er baseret på, en AI. Denne ret omfatter også indsigt i hvorfor, f.eks. en beslutning blev taget, som den gjorde.
Endelig har EU også sat krav om et vist niveau af gennemsigtighed for GPAI-tjenester, inklusive muligheden for indsigt i, hvorvidt der er anvendt copyright-beskyttet materiale til træning af AI’en. Ligesom med ’gatekeeper’-firmaerne i DMA, vil EU holde specielt øje med de største AI-udbydere, der skal opfylde en række ekstra krav, såsom fortsatte tjek og indrapportering til EU om modellerne og eventuelle utilsigtede begivenheder.
Der, hvor vi formentlig først kommer til at se en række tilfælde af brud på AI-loven er i dennes krav om at syntetiske eller manipulerede billeder, lydbidder og videoer skal markeres som værende kunstige. Deepfakes er altså ulovlige i fremtiden, hvis de ikke bærer tydelig markering af, at de ikke repræsenterer virkeligheden.
AI Act mangler nu kun nogle smådetaljer for at blive sat i værk. Europarådet skal officielt erklære dets støtte til loven, hvilket er en formalitet. Derudover skal loven til et sidste tjek hos jurister og sprogeksperter, samt publiceres i EUs officielle journal. Derefter træder loven i kraft efter tyve dage. Der er en periode på to år, hvor AI-selskaber i samarbejde med EU kan rette sine produkter ind efter loven, men derefter falder hammeren ved lovbrud.