Med AI ACT ønsker EU at regulere brugen af kunstig intelligens gennem en risikobaseret tilgang. Det vil sige, at jo højere risiko et AI-system har for at påvirke eller skade et menneskes liv, jo flere krav skal systemet levet op til.
EU har valgt at dele AI-systemer op i fire risikoprofiler med hver sine krav:
Uacceptabel Risiko er den højeste form for risikoprofil, og dækker AI-systemer, som EU ikke mener er forenelige med EU’s grundlæggende værdier og borgerrettigheder. Disse systemer vil derfor være forbudt i EU.
AI-systemer med Høj Risiko, er tilladt i EU, men er også de mest regulerede i EU. Udvikler eller arbejder man med den type AI-løsninger, vil der være en række omfattende krav, du skal leve op til, før de kan bringes på markedet og anvendes i EU.
Begrænset Risiko er den risikoprofil, som langt de fleste AI-systemer nok vil høre under. Her vil der hovedsageligt ligge et krav om gennemsigtighed, så borgerne ved, når de interagerer med et sådant system.
Den sidste risikoprofil er Minimal Risiko, og omhandler alle de AI-systemer, der ikke falder ind under de tre første kategorier. Her vil der ikke være særlige krav, de skal leve op til, men blot en opfordring til, at underskrive en frivillig Code of Conduct, som EU offentliggør på et senere tidspunkt.
Uacceptabel Risiko
AI-løsninger under risikoprofilen Uacceptabel Risiko opdeles i otte typer AI-systemer der:
- Gennem underbevidste, manipulerende eller bedrageriske teknikker, forvrænger adfærd og forringer borgernes informerede beslutningstagning, hvilket forårsager betydelig skade.
- Udnytter sårbarheder relateret til alder, handicap eller socioøkonomiske omstændigheder til at forvrænge adfærd, hvilket forårsager betydelig skade.
- Via biometriske kategoriseringssystemer, udleder følsomme attributter (race, politiske holdninger, fagforeningsmedlemskab, religiøse eller filosofiske overbevisninger, sexliv eller seksuel orientering), undtagen mærkning eller filtrering af lovligt erhvervede biometriske datasæt eller når retshåndhævelse kategoriserer biometriske data.
- Udfører social scoring, dvs. vurdering eller klassificering af enkeltpersoner eller grupper baseret på social adfærd eller personlige egenskaber, hvilket medfører skadelig eller ugunstig behandling af disse mennesker.
- Vurderer risikoen for, at enkeltpersoner begår kriminelle handlinger udelukkende baseret på profilering eller personlighedstræk, undtagen når det bruges til at supplere menneskelige vurderinger baseret på objektive, verificerbare fakta direkte knyttet til kriminel aktivitet.
- Sammensætter ansigtsgenkendelsesdatabaser ved ikke-målrettet indsamling af ansigtsbilleder fra internettet eller overvågningsbilleder.
- Vurderer menneskers følelser på arbejdspladser eller uddannelsesinstitutioner, undtagen af medicinske eller sikkerhedsmæssige årsager.
- Foretager fjernbiometrisk identifikation (RBI) i realtid på offentligt tilgængelige områder for retshåndhævelse, undtagen når:
- Der søges efter savnede personer, kidnappede ofre og personer, der er blevet menneskehandlet eller seksuelt udnyttet
- Forebyggelse af betydelig og nært forestående trussel mod livet eller forudsigelige terrorangreb
- Identifikation af mistænkte i alvorlige forbrydelser (f.eks. mord, voldtægt, væbnet røveri, narkotika- og ulovlig våbenhandel, organiseret kriminalitet og miljøkriminalitet osv.)
- Brug af AI-aktiveret real-time RBI er kun tilladt, når ikke at bruge værktøjet ville forårsage betydelig skade, og det skal tage hensyn til de berørte personers rettigheder og friheder.
Høj Risiko
AI-applikationer der potentielt kan påvirke menneskers sundhed, sikkerhed samt deres grundlæggende rettigheder eller miljøet negativt er inkluderet under Høj Risikoprofilen.
Højrisikoklassifikationen var en af de mest kontroversielle og diskuterede områder, da EU skulle beslutte AI ACT. Af samme grund er denne risikoprofil også endt med at blive den mest omfattende i forhold til de krav, man som virksomhed skal leve op til.
Der er grundlæggende to måder, ens system kan komme til at tilhøre Høj Risikoprofilen på.
Det ene er, hvis ens AI-system bliver brugt som en sikkerhedskomponent eller i forbindelse med produkter, der allerede kræver tredjepartsvurdering og som hører under en af disse klassifikationer:
- Civil luftfartsikkerhed
- To- eller trehjulede køretøjer og quadricykler
- Landbrugs- og skovbrugskøretøjer
- Marineudstyr
- Jernbanesystemer
- Motorkøretøjer og påhængskøretøjer
- Civil luftfart
- Maskiner
- Legetøj
- Fritidsbåde og jetski
- Hejs og sikkerhedskomponenter til hejse
- Udstyr og beskyttelsessystemer til brug i eksplosive atmosfærer
- Radioudstyr
- Trykapparater
- Svævebaner
- Personlige værnemidler
- Gasapparater
- Medicinske udstyr
- In vitro diagnostiske medicinsk udstyr
Det andet er, hvis ens AI-system omfatter:
- Lovlige biometrikker. Fjernbiometriske identifikationssystemer (undtagen biometrisk verifikation) der bekræfter, at en person er, hvem de påstår at være. Biometriske kategoriseringssystemer, der udleder følsomme eller beskyttede attributter eller karakteristika. Emotionsgenkendelsessystemer.
- Kritisk infrastruktur. Sikkerhedskomponenter til at styre og drifte kritisk digital infrastruktur, vejtrafik og forsyning af vand, gas, varme og elektricitet.
- Uddannelse og erhvervsuddannelse. AI-systemer, der fastlægger adgang, optagelse eller tildeling til uddannelses- og erhvervsuddannelsesinstitutioner på alle niveauer. Evaluering af læringsresultater, herunder dem der bruges til at styre elevernes læringsproces. Vurdering af det passende uddannelsesniveau for enkeltpersoner samt overvågning og opdagelse af forbudt elevadfærd under prøver.
- Beskæftigelse, personaleledelse og adgang til selvstændig beskæftigelse. AI-systemer, der bruges til rekruttering eller udvælgelse, især målrettede jobannoncer, analyse og filtrering af ansøgninger samt vurdering af kandidater. Forfremmelse og ophævelse af kontrakter, tildeling af opgaver baseret på personlighedstræk eller karakteristika og adfærd samt overvågning og evaluering af præstationer.
- Adgang til og brug af væsentlige offentlige og private tjenester. AI-systemer, der bruges af offentlige myndigheder til at vurdere berettigelse til ydelser og tjenester, herunder deres tildeling, nedsættelse, tilbagekaldelse eller inddrivelse. Evaluering af kreditværdighed, undtagen når der opdages økonomisk svindel. Evaluering og klassificering af nødopkald, herunder prioritering af politi, brandvæsen, medicinsk hjælp og akut patienttriage. Risikovurderinger og prissætning i sundheds- og livsforsikring.
- Retspleje. AI-systemer, der bruges til at vurdere enkeltpersoners risiko for at blive offer for kriminalitet. Polygraffer. Vurdering af bevisers pålidelighed under efterforskning eller retssager. Vurdering af enkeltpersoners risiko for at begå kriminalitet, og som ikke udelukkende baseres på profilering eller vurdering af personlighedstræk eller tidligere kriminel adfærd. Profilering under efterforskning, undersøgelser eller retssager.
- Migration, asyl og grænsekontrol. Polygraffer. Vurderinger af atypisk migration eller sundhedsrisici. Undersøgelse af ansøgninger om asyl, visum og opholdstilladelser samt tilknyttede klager vedrørende berettigelse. Opdagelse, genkendelse eller identifikation af enkeltpersoner, undtagen verifikation af rejsedokumenter.
- Administration af retfærdighed og demokratiske processer. AI-systemer der bruges til at undersøge og tolke fakta samt anvende loven baseret konkrete fakta eller bruges i alternativ tvistbilæggelse. Påvirkning af valg og folkeafstemningsresultater eller stemmeadfærd, med undtagelse af resultater, der ikke direkte interagerer med mennesker, såsom værktøjer til organisering, optimering og strukturering af politiske kampagner.
Begrænset Risiko
AI-systemer anses ikke for højrisiko, hvis de ikke udgør en væsentlig risiko for sundhed, sikkerhed eller fundamentale rettigheder for fysiske personer, herunder ved ikke at påvirke beslutningstagningens udfald væsentligt.
Begrænset Risiko inkluderer AI-systemer der er beregnet til at:
- Udføre en snæver proceduremæssig opgave
- Forbedre resultatet af en tidligere gennemført menneskelig aktivitet
- Registrere beslutningstagningsmønstre eller afvigelser fra tidligere beslutningstagningsmønstre, men som ikke er beregnet til at erstatte eller påvirke den tidligere gennemførte menneskelige vurdering uden korrekt menneskelig gennemgang
- Udføre en forberedende opgave til en vurdering, der er relevant for anvendelsestilfældene i de AI-systemer, der er nævnt under Høj Risiko.
Eksempler på AI-systemer med begrænset risiko kan være chatbots eller AI-genereret tekst, der offentliggøres med det formål at informere offentligheden om samfundsrelevante emner.
Dette gælder også for AI-genereret lyd- og videoindhold samt deepfakes.
Minimal Risiko
Hører ens AI-system ikke til nogle af de tre ovenstående risikoprofiler, vil den automatisk blive kategoriseret under Minimal Risiko.
Eksempler på dette kunne være spamfiltre, systemer der anbefaler film eller musik samt videospil der bruger AI til at styre NPC’er.
Her følger der ingen krav. Blot en anbefaling om at underskrive en frivillig Code of Conduct.
General Purpose AI (GPAI)
Generativ AI, såsom ChatGPT, skal ikke bare identificeres i forhold til ovenstående fire risikoprofiler, men skal også overholde en række gennemsigtighedsregler og EU’s ophavsretslov.
AI-modeller til generelt brug med høj indvirkning, og som potentielt udgør en systemisk risiko, såsom den mere avancerede AI-model GPT-4, skal gennemgå grundige evalueringer, og alle alvorlige hændelser skal rapporteres til Europa-Kommissionen.
Hvis du vil vide mere om AI ACT
IT-Branchen vil løbende opdatere hjemmesiden med uddybende artikler, vejledninger og hjælp til at forstå EU’s AI ACT.
Digitaliseringsstyrelsen har for øvrigt netop meldt ud, at de bliver national tilsynsmyndighed i forhold til AI ACT, og implementeringen af forordningen i Danmark på tværs af tilsynsmyndigheder. IT-Branchen vil derfor have tæt kontakt med Digitaliseringsstyrelsen, og løbende informere om tiltag og aktiviteter fra dem.
Se også Digitaliseringsstyrelsen guides til ansvarlig anvendelse af generativ kunstig intelligens.
Derudover anbefaler vi at bruge EU Artificial Intelligence Act’s Compliance Checker, hvor du med et par hurtige klik kan se, hvilken risikoprofil dit AI-system tilhører, og hvilke krav du så skal leve op til.
Har du brug for juridisk hjælp til AI ACT, er du velkommen til at kontakte advokatfirmaet DAHL, som IT-Branchens medlemmer kan benytte sig af, på 88 91 91 00 eller skrive til shield@dahllaw.dk.