Dette er femte del af serien “Lovgivning på AI-området” om hvordan lovgivning på internationalt, nationalt og regionalt niveau spiller sammen. Du kan læse fjerde del af serien her, hvor AI Act og mange af de andre reguleringer gennemgås lidt grundigere.
EU’s forordning om AI – AI Act – har fået meget omtale og forventes vedtaget henimod slutningen af dette år og træde i kraft om et par år. Og bekymringen ikke mindst i dansk erhvervsliv har været stor omkring det ville betyde snærende rammer for danske virksomheders arbejde med AI. På Digital Tech Summit i den forløbende uge gik professor i forvaltningsret og digitalisering Hanne Marie Motzfeldt på scenen med en god og en dårlig nyhed. Den gode nyhed er ikke nødvendigvis så god og den dårlige nyhed kan muligvis blive rigtigt dårligt, men er ikke afklaret endnu. Den gode nyhed er, at det formodentligt ikke vil være AI Act, der vil være synderligt begrænsende. Faktisk vil der for Danmarks vedkommende være tale om deregulering, mener Hanne Marie Motzfeldt.
”Det er en total harmoniserende regulering. Medmindre der sker noget dramatisk under lovgivningsprocessen, så har vi faktisk den udfordring, at noget af den regulering, vi allerede har, den falder til jorden. I dag kan vi faktisk ikke bruge selvlærende chatbots i det offentlige, for der er risiko for, at de lærer et sprog for de unge, som ikke kan bruges til de ældre,” sagde hun.
Den dårlige nyhed er, at der hvor reguleringen vil kunne mærkes er i forhold til sikkerhed. For det første kan det være svært at afgøre, hvad det er for modeller, der er omfattet. Som udgangspunkt havde forslaget til AI Act en meget bred definition af AI og det har Rådet forsøgt at indsnævre. I øjeblikket forsøger EU Parlamentet at udvide definitionen.
For det første kan det være svært at afgøre, hvad det er for modeller, der er omfattet. Som udgangspunkt havde forslaget til AI Act en meget bred definition af AI og det har Rådet forsøgt at indsnævre. I øjeblikket forsøger EU Parlamentet at udvide definitionen.
”Jeg tror, vi ender med en til dels indsnævret definition,” sagde Hanne Marie Motzfeld i hendes keynote tale.
Der hvor de stramme regler indenfor AI Act kommer til at lige er på de systemer, der bliver kategoriseret som en uacceptabel risiko, der er det øverste niveau i AI Acts risikokategorisering.
”Uacceptabelt betyder simpelthen, at det bliver bare forbudt,” sagde Hanne Marie Motzfeldt.
Men det er meget få systemer, der vil falde i denne kategori.
”Det vil ikke være for eksempel at profilere ved i en kommune, falder på ingen måde ind under det her. Det skal være et omfattende scoring-system, som vi måske kender fra Kina,” sagde Hanne Marie Motzfeld.
Det er ikke nok, at et system kan gå ind og påvirke vores underbevidsthed og manipulere os fx i forbindelse med valg. Selve systemet skal være udviklet med det formål, at manipulere eller skade for at det falder i gruppen af uacceptabel risiko.
Det er altså svært at havne i kategorien uacceptabel risiko, så noget af det vigtigste i AI Act bliver artikel 15 og dens krav til robusthed, præcision og sikkerhed.
AI Act er ikke GDPR og har slet ikke samme sanktionsmulighder som GDPR-lovgivningen. De muligheder ligger derimod i den omkringliggende lovgivning om sikkerhed og det er derfor her vi skal lægge vores opmærksomhed, mener Hanne Marie Motzfeld. Overordnet er det vigtigt at huske, at AI er en del af et større reguleringskompleks. Helt overordnet ligger et system af branchestandarder og regler om produktsikkerhed og under det ligger en række sikkerhedsreguleringer.
På Digital Tech Summit forklarede hun det på denne måde: ”Når man læser NIS2, når man læser den nye Cyber Resilience Act og direktivet om kritiske enheder. Der står simpelthen bare skrevet PANIK i de forarbejder. EU-lov giver er stærkt bekymret for, at vi er så højt digitaliserede, som vi er. Vi har rigtig mange fjender ude i verden og vi har ikke tilstrækkeligt højt sikkerhedsniveau. Alle de her reguleringer ligger med håndhævelsesordninger, som ligner GDPR. Og med bøder, som ligner GDPR.”
Share