KI-forordninga enkelt forklart

No kjem lova om kunstig intelligens, den såkalla KI-forordninga. Kva betyr det for deg og meg?

Publisert Sist oppdatert
Lana Bubalo
Førsteamanuensis Lana Bubalo. Foto: UiS

Kunstig intelligens (KI) gir oss enorme moglegheiter. Samtidig er det mange som fryktar følgjene av den raske utviklinga av denne teknologien. EUs KI-forordning (AI Act) er verdas første juridiske rammeverk som regulerer kunstig intelligens innanfor område som skule, arbeidsliv og næringsliv.

Regelverket blei endeleg vedteke i mars 2024 etter ein lang prosess. Det er venta at det vil tre i kraft i løpet av 2026. KI-forordninga har eit breitt anvendingsområde, og omfattar også generative KI-system som ChatGPT.

– Med dette strenge regelverket ønskjer EU å leie vegen for andre delar av verda og setje ein høg standard når det kjem til vern av grunnleggjande rettar i møte med kunstig intelligens. Samtidig er målet å fremje innovasjon og leggje til rette for vidare utvikling av KI-teknologien ved å skape rettstryggleik og føreseielegheit for både brukarar og utviklarar. EU har valt å regulere KI gjennom ein forordning, noko som tyder at reglane blir identiske i alle EU-land og ikkje vil kunne fråvikast, forklarer Lana Bubalo. Ho er førsteamanuensis og leiar ved Avdeling for rekneskap og rettsvitskap ved Handelshøgskulen UiS.

Gjeld også i Noreg

Noreg er som kjent ikkje medlem i EU. Vi er berre med i det økonomiske samarbeidsområdet i unionen, EØS. Trass i at KI-forordninga ikkje er merka som relevant for EØS, har det blitt bestemt at forordninga skal innlemmast og gjennomførast i norsk rett. Dermed blir det viktig å gjere seg kjend med regelverket også i Noreg. Forordninga vil få konsekvensar både for enkeltpersonar, bedrifter og offentleg sektor.

– Sjølv om KI-forordninga hovudsakleg blir gjeldande i EU og EØS-land som Noreg, vil den også ha verknad utanfor EU. Det avgjerande kriteriet for at forordninga blir nytta er at KI-systema påverkar personar som befinner seg i EU. Dermed vil også selskap utanfor EU som utviklar kunstig intelligens måtte forhalde seg til KI-forordninga om deira system blir brukt i eit EU-land, seier Bubalo.

KI-forordninga vil vere gjeldande for selskap som utviklar og sel KI-system, og einingar som brukar dei i ein profesjonell samanheng. Den vil dermed ikkje omfatte privat bruk av KI-system.

Fire nivå av risiko

Lana Bubalo forklarar at KI-forordninga har ein såkalla risikobasert tilnærming til kunstig intelligens.

– Det betyr at det nye regelverket tillèt meir fleksibilitet, særleg i møte med KI-system som er i stadig utvikling. Regelverket inneber fleire risikonivå med ulike plikter og konsekvensar for verksemdene som brukar KI. Ulike system for kunstig intelligens delast inn i fire risikonivå: uakseptable system, høgrisikosystem, system med avgrensa risiko og system med minimal risiko. Jo høgare risiko teknologien representerer, jo strengare krav må KI-systemet oppfylle, seier Bubalo.

System som klassifiserast som uakseptable forbys heilt. Dette er til dømes system som nyttast til masseovervaking eller biometrisk identifisering (til dømes ved å skanne andlet), eller som rangerer personar basert på sensitive opplysningar.

Høgrisikosystem inneber kunstig intelligens der det er høg risiko for at teknologien kan gå ut over helse, tryggleik og grunnleggjande rettar. Desse systema må godkjennast før dei blir sett på marknaden. I tillegg krev EU at teknologien blir evaluert og kontrollert etter at den har blitt teken i bruk.

– Her krevst det transparens om korleis KI-systema fungerer, slik at myndigheitene kan vurdere om reglane blir overhaldne. Døme er system som blir brukt i tilsetjingsprosessar og system som blir brukt som tryggleikskomponentar i kritisk infrastruktur, seier Bubalo.

Brot straffast hardt

System kategoriserte som avgrensa risiko er underlagde visse krav til openheit. Til dømes må brukarar informerast om at dei samhandlar med eit KI-system, slik at dei sjølv kan avgjere om dei vil halde fram bruken. Under denne kategorien fell til dømes chatbotar som ChatGPT og system som genererer såkalla "deep fakes" (manipulerte bilete og lydopptak).

Heldigvis vil dei aller fleste KI-system falle inn under kategorien minimal risiko. Døme er videospel, anbefalingssystem som Netflix og Spotify (som gir deg dei seriane og musikken du helst vil ha) og spamfilter. Det er ikkje nokon særskilde plikter for selskapa som tilbyr desse tenestene, men dei blir sjølvsagt oppfordra til å følgje etiske retningslinjer.

– KI-forordninga inneber også opprettinga av eit EU-styre for KI (AI Board) som vil støtte nasjonale myndigheiter, og eit kontor for kunstig intelligens (EU AI office). Tilsette ved dette kontoret skal saman med nasjonale myndigheiter vere ansvarleg for tilsyn og håndheving av det nye regelverket, seier Bubalo.

Regelverket trer sannsynlegvis i kraft i løpet av 2026. Konsekvensane for å ikkje følgje reglane er store. Brot på regelverket blir sanksjonerte med bøter opp til anten 35 millionar euro (over 400 millionar norske kroner) eller 7 % av selskapet si årlege omsetning.