De flesta är överens om att AI-tekniken både kan gynna oss och samtidigt utgöra ett hot. EU:s AI Act syftar till att hindra den negativa påverkan. En grundtanke är att AI-system ska styras av människor. Systemen ska också vara säkra, transparenta och spårbara, inte diskriminera eller påverka miljön negativt. EU:s AI-lag antogs officiellt av EU-parlamentet i mars 2024. Vi sammanfattar vad det handlar om och vad det pratas om.
Regleringen bygger på fyra risknivåer av AI-system. Ju högre risk, desto mer reglering. Dessa nivåer är:
1. "Unacceptable risk" förbjuds
2. "High risk" åläggs omfattande regleringar och kontrollsystem
3. "Limited risk" kommer enbart styras genom krav på transparens och dataansvar
4. "Minimal risk" regleras inte
Unacceptable risk: Exempel på AI-system som förbjuds är sådana som syftar till att manipulera svaga grupper, sådana som används för att klassificera människor utifrån exempelvis karaktär eller socioekonomisk status. Men också exempelvis ansiktsigenkänning på distans i realtid.
High risk: Högrisksystem kan vara exempelvis sådana som styr energisystem och annan viktig infrastruktur. Men också inom myndighetsutövning, skola eller vård, där det ställs höga krav på hur AI får användas. Högrisksystem måste dokumenteras, kontrolleras och riskbedömas innan de får användas.
Limited risk: Tjänster som genererar bild, text eller film hamnar troligen under Limited risk såsom exempelvis ChatGPT och Midjourney.
Minimal risk: System som inte inverkar på människors liv, såsom spamfilter eller chatbotar på en kundservice.
I debatten om regleringen har en del varit oroliga för att den hämmar teknikutveckling och hindrar effektiviseringar. Regleringarna sätter också stopp för eller klassificerar vissa system som redan används som High risk. I Sverige har man exempelvis föreslagit automatiserad ansiktsigenkänning i jakten på kriminella, något AI Act kommer att förbjuda helt. Företag som bryter mot AI Act kommer kunna få höga böter.
Precis som inför andra större EU-förordningar såsom GDPR, CSRD eller WCAG så gör alla företagare bäst i att förbereda sig, även om AI-användning inte faller under högrisknivån. Ett sätt är att skriva en AI-policy och som behandlar både input och output. Vad för data bör eller bör vi inte vi mata in, för att exempelvis skydda företagsinformation. Vad ska vi ha för etiska förhållningsregler? Hur säkerställer vi fakta och output? Policyn hjälper oss att hålla AI-systemen under mänsklig kontroll, precis som hela syftet är.