EU-regulering af kunstig intelligens rammer bredt - men det kan håndteres
EU's nye AI-reguleringer er ikke en jungle at finde rundt i, som man kunne have frygtet.
EU har fremlagt sit nye AI-regulativ, som har været varslet længe for brug af kunstig intelligens. Med en sund og naturlig skepsis over for alt, hvad der kommer fra EU, og klog af skade fra GDPR-orkanen i 2018, var det med både spænding og lidt frygt, at jeg åbnede lovteksten.
Det var dog både med lidt undren og med tiltagende ro, at jeg fik tygget mig igennem teksten. EU har nemlig valgt at skyde med skarpt, og med den definition, de har bygget ind i loven, er stort set alle IT-systemer defineret som kunstig intelligens (AI). Sammenligner man med GDPR-lovgivningen, som også skyder meget bredt og kalder stort set alt, der kan ligne en hotmail-account, for persondata, er vi meget i samme boldgade.
Modsat sidst har EU dog valgt at skrue lidt ned for kravene og har faktisk ingen krav til langt de fleste AI-systemer, som nu kaldes “no-risk-systemer”. Det vil altså sige, at der ingen regulering eller krav overhovedet er til langt det meste AI. Når man læser den del af teksten, kan man ikke undgå at lade skuldrene falde lidt ned og føle, at man slap med skrækken for et EU-monster af administration uden mening.
I den næste kategori, “Limited risk”, som bl.a. inkluderer chatbots, er kravene også nærmest til at overse. Det bliver et krav, at brugere af f.eks. chatbots bliver gjort opmærksomme på, at de kommunikerer med en AI, men ellers er der ikke mange krav.
Til gengæld er der et stort hop op til det næste skridt, som er “High Risk-systemer”. High Risk er systemer, der påvirker menneskers liv eller adfærd. Her skal man dokumentere teknik, risiko, gennemsigtighed og præcision og overvåge AI’en og føre logs. Det ser i lovteksten ud til at være et enormt arbejde. Kommer man i den kategori, er GDPR det rene vand, og både jurister og teknikere må tage en dyb indånding, inden de tager fat.
EU’s grundlæggende argumenter for overhovedet at indføre denne lovgivning er at sikre vores rettigheder som borgere og sikre mere innovation i AI. I forhold til rettigheder vil reguleringen ligesom GDPR nok have en positiv virkning og fjerne de mest rådne æbler, mens størstedelen kan gøre, som de plejer, med lidt ekstra papirarbejde.
Når det kommer til innovationen, giver EU-regulativet ikke meget mening. For langt de fleste AI-løsninger er der jo netop ingen ændringer, og for “High Risk” er kravene nu blevet så høje, at færre vil kunne byde ind med nye, innovative løsninger.
Som en sidste kategori stiller EU her med “Prohibited” (ulovlig) AI-praksis. Her finder vi blandt andet politiets mulighed for billedgenkendelse i det offentlige rum (med mindre man leder efter forsvundne børn og terrorister). Et ret konkret bud på, at reguleringen faktisk kommer til at gøre en forskel for vores rettigheder.
Alt i alt er EU faktisk kommet med en lovtekst, som er ret konkret og lettere end GDPR-lovgivningen at omsætte til praksis. At lovgivningen kun sikrer rettigheder og ikke rigtig gør noget for innovationen kan ikke overraske nogen, men hvilken embedsmand vil kunne skrive en så lang tekst uden ordet innovation alligevel?
Dan Rose