eu ai act blog

Hvorfor det er på tide at begynde at planlægge for EU AI Act

Få teknologier har potentialet til at bekymre regulatorer og glæde virksomheder ligesom kunstig intelligens (AI). Det har eksisteret i mange år i forskellige former. Men europæiske lovgivere har følt sig tvunget til at træde til, efterhånden som intelligente algoritmer i stigende grad bliver indlejret i forretningsprocesser og borgervendte teknologier.

Udfordringen for virksomheder, der udvikler sådanne systemer, vil være at vurdere, om de opfylder de strenge kriterier, der er nødvendige for at komme på markedet inden for blokken. Især for britiske virksomheder skal der træffes en beslutning om, hvordan de divergerende reguleringsordninger skal styres.

Hvad er der i AI-loven?

Regeringer over hele kloden ser nærmere på kunstig intelligens i et forsøg på at minimere misbrug eller utilsigtet misbrug. Det G7 diskuterer det. Det Hvide Hus forsøger at etablere spilleregler til beskytte individuelle rettigheder og sikre ansvarlig udvikling og implementering. Men det er EU, der er længst på vej til fuldt udformet lovgivning. Dens forslag for en ny "AI-lov" blev for nylig godkendt af Europa-Parlamentet.

AI-loven vil søge at anlægge en risikobaseret tilgang, der klassificerer AI-modeller efter "uacceptabel", "høj", "begrænset" og "minimal" risiko. 

Uacceptabel risiko betyder systemer, der truer folks "sikkerhed, levebrød og rettigheder". De omfatter ansigtsgenkendelsesteknologi, regeringens sociale scoringer og prædiktiv politiarbejde, og de vil blive fuldstændig forbudt.

Høj risiko systemer kan omfatte kunstig intelligens, der bruges i kritisk infrastruktur, som kan bringe borgernes sundhed i fare, eller i uddannelsesmiljøer, hvor det kan bruges til at score eksamener. Andre eksempler er:

  • Brug af AI på arbejdspladser, såsom sortering af CV'er.
  • Kreditvurdering.
  • Verifikation af dokumenter ved grænsekontrol.
  • Politiet vurderer beviser.

 

MEP'er satte også anbefalingssystemer til sociale medier, og AI plejede at påvirke vælgere under valg i højrisikokategorien.

Begrænset risiko henviser til AI-systemer, hvor brugere skal informeres om, at de interagerer med en maskine, såsom en chatbot.

Minimal/ingen risiko systemer som AI-spamfiltre eller videospil kan frit bruges uden begrænsninger. EU hævder, at denne kategori omfatter størstedelen af ​​AI-produkter, der i øjeblikket er i brug.

Hvad er forpligtelserne for virksomheder, der overholder reglerne?

Disse udviklere (udbydere) af potentielt højrisiko AI skal springe gennem flere hoops, før deres produkter tillades på markedet. Disse omfatter:

  • Risikovurderinger og afbødningssystemer
  • Vedligeholdelse af datasæt af høj kvalitet for at minimere risiko og diskrimination
  • Logning af aktivitet for at tilføje gennemsigtighed til resultater
  • Detaljeret dokumentation af systemet og dets formål at dele med myndigheder
  • Klar og "tilstrækkelig" information til brugerne
  • "passende" menneskeligt tilsyn for at minimere risikoen 
  • Høje niveauer af "robusthed, sikkerhed og nøjagtighed."

 

Når et system er udviklet og har bestået en overensstemmelsesvurdering, vil det blive registreret i en EU-database og forsynet med et CE-mærke. Virksomhedsbrugere af AI-modeller skal dog sikre løbende menneskelig overvågning og overvågning, mens udbydere har en forpligtelse til at overvåge systemer, når de først er på markedet. Begge interessenter skal rapportere alvorlige hændelser og enhver funktionsfejl i AI-modeller.

Hvordan vil loven påvirke britiske virksomheder?

Forskellen mellem dette kommende regime og Storbritanniens er stærk. Ifølge til Edward Machin, en senioradvokat i data-, privatlivs- og cybersikkerhedsteamet hos Ropes & Gray, hævdes sidstnævnte at være mere innovationsdrevet og pro-business.

"I modsætning til EU planlægger den britiske regering ikke at indføre AI-lovgivning, og den vil heller ikke oprette en ny AI-regulator. I stedet vil eksisterende agenturer (f.eks. ICO, FCA) understøtte rammerne og udstede sektorspecifik vejledning,” siger han til ISMS.online.

"Selvom Storbritannien er noget af en outlier i sin let-touch-tilgang, er rammerne baseret på principper - sikkerhed, gennemsigtighed, retfærdighed, ansvarlighed og klageadgang - fælles for, hvordan de fleste lovgivere i øjeblikket tænker om AI-regulering."

Det er dog usandsynligt, at britiske virksomheder med EU-aktiviteter vil være i stand til at drage fordel af denne lettere berøringstilgang, medmindre de vælger at støtte de divergerende overholdelsesordninger, som vil komme med yderligere omkostninger.

"Hvis Storbritannien fortsætter med at tage en mere let-touch tilgang til regulering end EU, bliver britiske organisationer, der er underlagt AI-loven, nødt til at beslutte, om de vil vedtage en enkelt, europæisk tilgang til compliance," fortsætter Machin.

”Alternativet er at have separate processer for Storbritannien og EU, som for mange virksomheder vil være dyre, svære at operationalisere og formentlig med begrænset kommerciel fordel. Hvis virksomheder klart og nemt kan adskille visse overholdelsesforpligtelser efter geografi, bør de selvfølgelig overveje dem og samtidig erkende, at de i praksis også skal opfylde de højere EU-standarder i andre tilfælde."

Hvad man skal passe på

Reglerne er naturligvis stadig i forandring, indtil de er færdige. Europa-Kommissionen, medlemslandene og parlamentarikere vil mødes i en række "trilogmøder" for at uddybe detaljerne. For eksempel er det stadig at se, hvordan generative AI-modeller vil blive behandlet. Alt det har Kommissionen sagt indtil videre er, at de bliver nødt til at følge gennemsigtighedskravene og forhindres i at generere "ulovligt indhold" og krænke ophavsretten. Stanford-forskere har allerede hævdet at mange AI-modeller, inklusive GPT-4, i øjeblikket ikke overholder AI-loven.

Machin tilføjer, at virksomheder, der udvikler eller bruger højrisikomodeller, også skal holde et vågent øje med, hvad der derefter sker.

"Der vil sandsynligvis være uenighed om, hvordan 'højrisiko' AI-systemer defineres, og virksomheder vil nøje følge med i, hvordan dette ryster ud, i betragtning af at grundlæggende modeller og teknologier, der i stigende grad påvirker folks liv (såsom inden for beskæftigelse og finansielle tjenesteydelser) vil blive fanget af denne definition,« argumenterer han.

Jonathan Armstrong, partner hos Cordery, regner med, at der vil gå mindst fire måneder, før virksomheder får den klarhed, de leder efter.

”Det råd, vi giver vores kunder i øjeblikket, er at lave en formel vurdering, men det behøver ikke være for besværligt. Vi har f.eks. hjulpet kunder med at tilpasse deres proces til vurdering af deres databeskyttelse. Dette er en god base, da den ser på nogle af de ting, AI-loven vil tage fat på, såsom retfærdighed, gennemsigtighed, sikkerhed og besvarelse af forespørgsler,” siger han til ISMS.online.  

"Det vil også hjælpe dem med at håndtere de fem AI-principper i Storbritannien [politisk papir]. Jeg tror, ​​det ikke er for meget ekstra byrde for de fleste organisationer, hvis de gør GDPR rigtigt – men for nogle er det et stort hvis.”

 

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!