AI Acts Risikoprofiler
For at finde ud af, om du som virksomhed skal leve op til kravene i AI Act’en, skal du først og fremmest finde ud af, om du er indbefattet af definitionen af AI.
Forordningen gælder også for udbydere og brugere af AI-systemer placeret uden for EU, hvis dets output påvirker personer, der befinder sig i EU.
En mere detaljeret beskrivelse af EU’s definitioner af de forskellige dele af forordningen, kan du få et overblik over på deres hjemmeside.
EU’s AI Act har fire risikoprofiler
Med AI Act ønsker EU at regulere brugen af kunstig intelligens gennem en risikobaseret tilgang. Det vil sige, at jo højere risiko et AI-system har for at påvirke eller skade et menneskes liv, jo flere krav skal systemet levet op til.
EU inddeler AI-systemer i fire forskellige risikokategorier:
- Uacceptabel Risiko
- Høj Risiko
- Begrænset Risiko
- Minimal Risiko.
Uacceptabel Risiko er den højeste form for risikoprofil, og dækker AI-systemer, som EU ikke mener er forenelige med EU’s grundlæggende værdier og borgerrettigheder. Disse systemer vil derfor være forbudt i EU.
AI-systemer med Høj Risiko, er tilladt i EU, men er også de mest regulerede i EU. Udvikler eller arbejder man med den type AI-løsninger, vil der være en række omfattende krav, du skal leve op til, før de kan bringes på markedet og anvendes i EU.
Begrænset Risiko er den risikoprofil, som langt de fleste AI-systemer nok vil høre under. Her vil der hovedsageligt ligge et krav om gennemsigtighed, så borgerne ved, når de interagerer med et sådant system.
Den sidste risikoprofil er Minimal Risiko, og omhandler alle de AI-systemer, der ikke falder ind under de tre første kategorier. Her vil der ikke være særlige krav, de skal leve op til, men blot en opfordring til, at underskrive en frivillig Code of Conduct, som EU offentliggør på et senere tidspunkt.
1. Uacceptabel Risiko profil
AI-løsninger under risikoprofilen Uacceptabel Risiko opdeles i otte typer AI-systemer der:
1. Gennem underbevidste, manipulerende eller bedrageriske teknikker, forvrænger adfærd og forringer borgernes informerede beslutningstagning, hvilket forårsager betydelig skade.
2. Udnytter sårbarheder relateret til alder, handicap eller socioøkonomiske omstændigheder til at forvrænge adfærd, hvilket forårsager betydelig skade.
3. Via biometriske kategoriseringssystemer, udleder følsomme attributter (race, politiske holdninger, fagforeningsmedlemskab, religiøse eller filosofiske overbevisninger, sexliv eller seksuel orientering), undtagen mærkning eller filtrering af lovligt erhvervede biometriske datasæt eller når retshåndhævelse kategoriserer biometriske data.
4. Udfører social scoring, dvs. vurdering eller klassificering af enkeltpersoner eller grupper baseret på social adfærd eller personlige egenskaber, hvilket medfører skadelig eller ugunstig behandling af disse mennesker.
5. Vurderer risikoen for, at enkeltpersoner begår kriminelle handlinger udelukkende baseret på profilering eller personlighedstræk, undtagen når det bruges til at supplere menneskelige vurderinger baseret på objektive, verificerbare fakta direkte knyttet til kriminel aktivitet.
6. Sammensætter ansigtsgenkendelsesdatabaser ved ikke-målrettet indsamling af ansigtsbilleder fra internettet eller overvågningsbilleder.
7. Vurderer menneskers følelser på arbejdspladser eller uddannelsesinstitutioner, undtagen af medicinske eller sikkerhedsmæssige årsager.
8. Foretager fjernbiometrisk identifikation (RBI) i realtid på offentligt tilgængelige områder for retshåndhævelse, undtagen når:
– Der søges efter savnede personer, kidnappede ofre og personer, der er blevet menneskehandlet eller seksuelt udnyttet
– Forebyggelse af betydelig og nært forestående trussel mod livet eller forudsigelige terrorangreb
– Identifikation af mistænkte i alvorlige forbrydelser (f.eks. mord, voldtægt, væbnet røveri, narkotika- og ulovlig våbenhandel, organiseret kriminalitet og miljøkriminalitet osv.)
– Brug af AI-aktiveret real-time RBI er kun tilladt, når ikke at bruge værktøjet ville forårsage betydelig skade, og det skal tage hensyn til de berørte personers rettigheder og friheder.
2. Høj Risiko profil
AI-applikationer der potentielt kan påvirke menneskers sundhed, sikkerhed samt deres grundlæggende rettigheder eller miljøet negativt er inkluderet under Høj Risikoprofilen.
Højrisikoklassifikationen var en af de mest kontroversielle og diskuterede områder, da EU skulle beslutte AI Act. Af samme grund er denne risikoprofil også endt med at blive den mest omfattende i forhold til de krav, man som virksomhed skal leve op til.
Der er grundlæggende to måder, ens system kan komme til at tilhøre Høj Risikoprofilen på:
Som sikkerhedskomponent eller med krav om tredjepartsvurdering
Det ene er, hvis ens AI-system bliver brugt som en sikkerhedskomponent eller i forbindelse med produkter, der allerede kræver tredjepartsvurdering og som hører under en af disse klassifikationer:
In vitro diagnostiske medicinsk udstyr
Civil luftfartsikkerhed
To- eller trehjulede køretøjer og quadricykler
Landbrugs- og skovbrugskøretøjer
Marineudstyr
Jernbanesystemer
Motorkøretøjer og påhængskøretøjer
Civil luftfart
Maskiner
Legetøj
Fritidsbåde og jetski
Hejs og sikkerhedskomponenter til hejse
Udstyr og beskyttelsessystemer til brug i eksplosive atmosfærer
Radioudstyr
Trykapparater
Svævebaner
Personlige værnemidler
Gasapparater
Medicinske udstyr
Eller hvis ens AI-system omfatter:
- Lovlige biometrikker. Fjernbiometriske identifikationssystemer (undtagen biometrisk verifikation) der bekræfter, at en person er, hvem de påstår at være. Biometriske kategoriseringssystemer, der udleder følsomme eller beskyttede attributter eller karakteristika. Emotionsgenkendelsessystemer.
- Kritisk infrastruktur. Sikkerhedskomponenter til at styre og drifte kritisk digital infrastruktur, vejtrafik og forsyning af vand, gas, varme og elektricitet.
- Uddannelse og erhvervsuddannelse. AI-systemer, der fastlægger adgang, optagelse eller tildeling til uddannelses- og erhvervsuddannelsesinstitutioner på alle niveauer. Evaluering af læringsresultater, herunder dem der bruges til at styre elevernes læringsproces. Vurdering af det passende uddannelsesniveau for enkeltpersoner samt overvågning og opdagelse af forbudt elevadfærd under prøver.
- Beskæftigelse, personaleledelse og adgang til selvstændig beskæftigelse. AI-systemer, der bruges til rekruttering eller udvælgelse, især målrettede jobannoncer, analyse og filtrering af ansøgninger samt vurdering af kandidater. Forfremmelse og ophævelse af kontrakter, tildeling af opgaver baseret på personlighedstræk eller karakteristika og adfærd samt overvågning og evaluering af præstationer.
- Adgang til og brug af væsentlige offentlige og private tjenester. AI-systemer, der bruges af offentlige myndigheder til at vurdere berettigelse til ydelser og tjenester, herunder deres tildeling, nedsættelse, tilbagekaldelse eller inddrivelse. Evaluering af kreditværdighed, undtagen når der opdages økonomisk svindel. Evaluering og klassificering af nødopkald, herunder prioritering af politi, brandvæsen, medicinsk hjælp og akut patienttriage. Risikovurderinger og prissætning i sundheds- og livsforsikring.
- Retspleje. AI-systemer, der bruges til at vurdere enkeltpersoners risiko for at blive offer for kriminalitet. Polygraffer. Vurdering af bevisers pålidelighed under efterforskning eller retssager. Vurdering af enkeltpersoners risiko for at begå kriminalitet, og som ikke udelukkende baseres på profilering eller vurdering af personlighedstræk eller tidligere kriminel adfærd. Profilering under efterforskning, undersøgelser eller retssager.
- Migration, asyl og grænsekontrol. Polygraffer. Vurderinger af atypisk migration eller sundhedsrisici. Undersøgelse af ansøgninger om asyl, visum og opholdstilladelser samt tilknyttede klager vedrørende berettigelse. Opdagelse, genkendelse eller identifikation af enkeltpersoner, undtagen verifikation af rejsedokumenter.
- Administration af retfærdighed og demokratiske processer. AI-systemer der bruges til at undersøge og tolke fakta samt anvende loven baseret konkrete fakta eller bruges i alternativ tvistbilæggelse. Påvirkning af valg og folkeafstemningsresultater eller stemmeadfærd, med undtagelse af resultater, der ikke direkte interagerer med mennesker, såsom værktøjer til organisering, optimering og strukturering af politiske kampagner.
3. Begrænset Risiko profil
AI-systemer anses ikke for højrisiko, hvis de ikke udgør en væsentlig risiko for sundhed, sikkerhed eller fundamentale rettigheder for fysiske personer, herunder ved ikke at påvirke beslutningstagningens udfald væsentligt.
Begrænset Risiko inkluderer AI-systemer der er beregnet til at:
- Udføre en snæver proceduremæssig opgave
- Forbedre resultatet af en tidligere gennemført menneskelig aktivitet
- Registrere beslutningstagningsmønstre eller afvigelser fra tidligere beslutningstagningsmønstre, men som ikke er beregnet til at erstatte eller påvirke den tidligere gennemførte menneskelige vurdering uden korrekt menneskelig gennemgang
- Udføre en forberedende opgave til en vurdering, der er relevant for anvendelsestilfældene i de AI-systemer, der er nævnt under Høj Risiko.
Eksempler på AI-systemer med begrænset risiko kan være chatbots eller AI-genereret tekst, der offentliggøres med det formål at informere offentligheden om samfundsrelevante emner.
Dette gælder også for AI-genereret lyd- og videoindhold samt deepfakes.
4. Minimal Risiko profil
Hører ens AI-system ikke til nogle af de tre ovenstående risikoprofiler, vil den automatisk blive kategoriseret under Minimal Risiko.
Eksempler på dette kunne være spamfiltre, systemer der anbefaler film eller musik samt videospil der bruger AI til at styre NPC’er.
Her følger der ingen krav. Blot en anbefaling om at underskrive en frivillig Code of Conduct.
General Purpose AI (GPAI)
Generativ AI, såsom ChatGPT, skal ikke bare identificeres i forhold til ovenstående fire risikoprofiler, men skal også overholde en række gennemsigtighedsregler og EU’s ophavsretslov.
AI-modeller til generelt brug med høj indvirkning, og som potentielt udgør en systemisk risiko, såsom den mere avancerede AI-model GPT-4, skal gennemgå grundige evalueringer, og alle alvorlige hændelser skal rapporteres til Europa-Kommissionen.
- |Branchen generelt. Cybersikkerhed. Digitale kompetencer. Kapital og iværksætteri. NewTech. Nyheder
Et digitalt liv uden Silicon Valley – og med Europa i stedet?
Der bliver talt meget om Europas digitale suverænitet, og måske ligefrem en skilsmisse fra de store tech-selskaber. Men er det…
- |Branchen generelt. Cybersikkerhed. NewTech. Nyheder. Regulatoriske Rammer
IT-Branchen er med til at sætte den politiske kurs for AI og mikrochips
Tre områder og tre forskellige love skal være med til at få Europa helt frem i den teknologiske kamp og…
- |Kapital og iværksætteri. NewTech. Nyheder
Et nybrud på 19 mia. kr.
Med 19 mia. kr. vil regeringen styrke Danmarks forskning inden for områder som sikkerhed, kvante, rummet, sundhed og klima og…
- |NewTech. Nyheder
Slår AI Slop internettet ihjel?
Mere og mere af det, vi møder online, er AI-produceret. Af maskiner, der efterligner mennesker, for at tilfredsstille andre maskiner.…
