Hvad er den aktuelle situation og udsigterne for AI-regulering i EU? En forklaring på indvirkningen på japanske virksomheder

Med udviklingen af AI er brugen af AI-værktøjer som ChatGPT i forretningsprocesser blevet mere udbredt, og samtidig er der øget fokus på internationale reguleringer af AI.

I Japan har Ministeriet for Økonomi, Handel og Industri offentliggjort “Governance Guidelines for the Implementation of AI Principles Ver. 1.1″[ja] (på tidspunktet for skrivning). Den 14. juni 2023 (2023) blev verdens første internationale “AI Regulation Act” vedtaget i EU-Parlamentet, hvilket også har vakt stor opmærksomhed i Japan.

I denne artikel vil vi introducere den aktuelle situation og fremtidsudsigter for AI-reguleringen samt forklare dens indvirkning på japanske virksomheder.

Hvad er AI-lovgivningen (AI Act)?

Den 14. juni 2023 blev en omfattende ‘AI-lovgivningsforslag’, der dækker anvendelsen af AI generelt, vedtaget i EU’s Europaparlament. Det er verdens første internationale ‘AI-lovgivning (AI Act)’, som består af 85 artikler og fungerer som EU’s harmoniserede regler (sekundær lovgivning).

I løbet af 2023 vil der blive afholdt uformelle forhandlinger (triloger) med henblik på at nå til enighed inden årets udgang mellem de tre parter (Europa-Kommissionen, Europaparlamentet og Rådet for Den Europæiske Union). Efter godkendelse fra de lovgivende organer, Europaparlamentet og Rådet for Den Europæiske Union, forventes lovgivningen at blive vedtaget og træde i kraft i 2024.

EU’s retssystem

EU’s retssystem består af tre typer af retskilder: primær lovgivning (traktater), sekundær lovgivning (fællesskabslovgivning) og retspraksis.

Sekundær lovgivning er baseret på primær lovgivning (traktater) og består af love og regler, der direkte eller indirekte regulerer medlemslandene i EU. Disse love kaldes EU-lovgivning eller afledt lovgivning.

Generelt er der fem typer af sekundær lovgivning, men “EU AI-reguleringen” falder ind under kategorien forordninger (Regulation), hvilket betyder, at det er en ensartet regel, der direkte binder EU’s medlemslande.

EU’s sekundære lovgivning omfatter følgende fem typer:

• Forordninger (Regulation): Har bindende virkning for alle medlemslande og bliver direkte anvendelige (bliver en del af det nationale retssystem uden behov for ratifikationsprocedurer) ved vedtagelse.
• Direktiver (Directive): Pålægger medlemslandene en juridisk forpligtelse til at indføre nye love eller ændre eksisterende love for at opnå de fastsatte mål.
• Afgørelser (Decision): En form for lovgivning med juridisk bindende virkning, der er specifik snarere end generel, og som kan rette sig mod bestemte medlemslande, virksomheder eller personer.
• Anbefalinger (Recommendation): Udstedt af Europa-Kommissionen for at opfordre regeringer, virksomheder eller personer i medlemslandene til at tage bestemte handlinger eller foranstaltninger. De har ingen juridisk bindende kraft eller tvangsmæssig virkning, men de kan fremme lovgivning eller ændringer inden for EU’s medlemslande.
• Udtalelser (Opinion): Også kendt som “synspunkter”, hvor Europa-Kommissionen udtrykker sin mening om et specifikt emne, men uden juridisk bindende kraft eller tvangsmæssig virkning.

“Regulation” er den mest bindende form for sekundær lovgivning, og eksempler på forordninger inkluderer GDPR (General Data Protection Regulation) – “Den Generelle Forordning om Databeskyttelse”.

Anvendelsesområdet for EU’s AI-regulering

EU’s “AI-regulering” vil blive direkte anvendt inden for EU og vil også have ekstraterritorial anvendelse i tredjelande, herunder handelspartnere, og vil have juridisk bindende kraft. Reguleringen gælder for virksomheder, der lancerer AI-systemer og -tjenester på det europæiske marked, og omfatter AI-udviklere, deployere, udbydere, importører, distributører og brugere.

AI-reguleringen fastsætter klare krav til bestemte AI-systemer og forpligtelser for virksomheder, men søger samtidig at mindske den administrative og finansielle byrde for små og mellemstore virksomheder (SMV’er).

Lovforslaget er en del af et bredt AI-pakke, der sigter mod at sikre sikkerheden og de grundlæggende rettigheder ved brug af AI, samt at styrke tilgangen til, investeringen i og innovationen af AI i hele EU.

Europæisk regulering skal overholde de grundlæggende principper i Traktaten om Den Europæiske Union. Det betyder, at menneskerettigheder og friheder inden for EU skal beskyttes, også inden for AI-teknologi, og at der er behov for sikkerhedsforanstaltninger til dette formål.

Lovforslaget forklarer formålet med reguleringen som “at fremme brugen af pålidelig AI under menneskelig tilsyn og at sikre beskyttelse af sundhed, sikkerhed, grundlæggende rettigheder, demokrati og retsstatsprincippet samt miljøet mod risici forbundet med AI.”

Specifikt er følgende “generelle principper, der gælder for alle AI-systemer” angivet:

• Menneskelig autonomi og tilsyn (human agency and oversight)
• Teknisk robusthed og sikkerhed (technical robustness and safety)
• Privatliv og databeskyttelse (privacy and data governance)
• Gennemsigtighed (transparency)
• Diversitet, ikke-diskrimination og retfærdighed (diversity, non-discrimination and fairness)
• Social og miljømæssig velvære (social and environmental well-being)

I reguleringen er det klart angivet, at for at opnå AI-principperne er det afgørende at sikre AI-litteracitet blandt AI-udviklere, brugere og udbydere.

Ved overtrædelse kan der pålægges store bøder baseret på global omsætning (op til 30 millioner euro, svarende til ca. 3,5 milliarder danske kroner eller 6% af den globale omsætning, afhængigt af hvad der er højst), hvilket kan medføre, at virksomheder ikke længere kan drive AI-forretning inden for EU.

Derfor kræves det, at virksomheder, herunder japanske virksomheder, der allerede er involveret i AI-forretning på EU-markedet eller overvejer at træde ind på markedet, skal tilpasse sig EU’s nye AI-regulering.

Baggrunden for lovgivningen om AI-regulering

Generativ AI er på den ene side et nyttigt værktøj, men det rummer også risici for at fremme kriminalitet og true demokratiet. I takt med at AI-teknologien udvikler sig og bliver mere udbredt, bliver disse problemer uundgåelige udfordringer.

Siden 2016 har Den Europæiske Union (EU), USA og Kina offentliggjort retningslinjer og nationale strategiforslag vedrørende AI. I EU har man især arbejdet på at udvikle reguleringer for AI og big data, og mellem 2017 og 2022 blev vigtige retningslinjer, erklæringer og lovforslag udarbejdet.

For eksempel blev “General Data Protection Regulation (GDPR)” vedtaget i april 2016, og den 21. april 2021 blev “AI-reguleringslovforslaget” offentliggjort. Den 30. maj 2022 blev “European Data Governance Act (DGA)” vedtaget og trådte i kraft den 24. september 2023.

Disse reguleringer sigter mod at sikre, at AI og big data anvendes sikkert og retfærdigt i hele samfundet, samtidig med at de fremmer innovation og økonomisk vækst.

EU har som en del af sin digitale strategi lanceret “A Europe fit for the Digital Age” (Et Europa egnet til den digitale tidsalder).

Efter offentliggørelsen af “AI-reguleringslovforslaget” og i lyset af den hurtige udvikling og udbredelse af generativ AI, vedtog Europa-Kommissionen den 14. juni 2023 et ændringsforslag, der tilføjede nye overvejelser og krav vedrørende generativ AI.

Kendetegn ved den japanske AI-reguleringslov

Den japanske “AI-reguleringslov” er grundlæggende karakteriseret ved tre hovedtræk: “risikobaseret AI-klassificering”, “krav og forpligtelser” og “støtte til innovation”.

Denne regulering anvender en metode kaldet “risikobaseret tilgang”, hvor AI’s risikoniveau kategoriseres i fire niveauer, og der anvendes reguleringer, der svarer til disse niveauer.

Specifikt er der, som det fremgår af nedenstående tabel, fastsat forbud, krav og forpligtelser i henhold til de fire risikoniveauer for AI-systemer. AI med høj risiko er specifikt reguleret for at sikre menneskers fysiske og livssikkerhed, selvbestemmelsesret, demokrati og retfærdig proces.

Påvirkningen af AI-reguleringsloven på Japan

EU har internationalt været pioner inden for at indføre reguleringer på områder som menneskerettigheder, beskyttelse af personoplysninger og miljøbevarelse. Disse reguleringer er blevet den “gyldne standard” for efterfølgende lands lovgivningsdesign.

Revisionen af den japanske lov om beskyttelse af personoplysninger blev også fremmet med det formål at harmonisere decentraliseret regulering, samt for at imødekomme EU’s GDPR (General Data Protection Regulation). Derudover findes der love som “Loven om forbedring af transparens og retfærdighed for specifikke digitale platforme” (trådte i kraft den 1. februar 2021), som er designet med henvisning til EU’s lovgivning.

I Japan er der i øjeblikket ingen hård lovgivning om AI, og man har valgt en politik, der håndterer dette gennem selvregulering med soft law.

Som nævnt ovenfor vil EU’s “AI-reguleringslov” blive anvendt direkte på medlemslandene, samt have ekstraterritorial anvendelse på virksomheder, der opererer inden for EU’s grænser, hvilket også gælder for virksomheder baseret uden for EU.

Som det vil blive nærmere beskrevet senere, kan flere forskellige love, defineret fra forskellige perspektiver, finde anvendelse på distributionen af AI-produkter inden for EU, og det er afgørende at have strategier for at håndtere disse. Japanske virksomheder skal derfor være opmærksomme på fremtidige tendenser og træffe passende juridiske foranstaltninger.

Adoption af ændringsforslag, der inkluderer generativ AI

AI-reguleringsloven er en lov, der er blevet ændret af EU’s tre institutioner (Europarådet, Europa-Parlamentet og Europa-Kommissionen).

Den 11. maj 2023 vedtog IMCO (Udvalget for det Indre Marked og Forbrugerbeskyttelse) og LIBE (Udvalget for Borgernes Rettigheder og Retlige og Indre Anliggender) et ændringsforslag til AI-reguleringsloven.

Disse ændringsforslag blev vedtaget af Europa-Parlamentet den 14. juni 2023.

Rapporten indeholder vigtige ændringer af lovforslaget, herunder forbud mod forudsigende politiarbejde, en lang række tilføjelser til listen over standalone AI-systemer, der er klassificeret som højrisiko, og en stærk og omfattende rolle for det nye AI-kontor (EAIB – European Artificial Intelligence Board, som erstatter den tidligere institution).

Derudover er der foreslået en stærkere sammenkobling med GDPR (General Data Protection Regulation) og en stigning i stakeholderengagement i visse områder, samt indførelsen af specifikke bestemmelser relateret til generativ AI og generel AI.

Senere, den 24. oktober 2023, blev den fjerde trilog om AI-reguleringsloven afholdt, hvor der blev gjort betydelige fremskridt med politisk følsomme spørgsmål. Især blev der opnået en foreløbig aftale om filtreringsmekanismen for højrisiko AI-systemer (Art. 6).

Desuden blev der givet politisk vejledning om fremtidige retninger for basismodeller/generelle AI-systemer, governance, forbud og retshåndhævelsesorganer, og tekniske teams blev pålagt at arbejde på konkrete tekstforslag vedrørende ovennævnte spørgsmål.

Om AI-regulering i relaterede love

AI-reguleringslovgivningen involverer flere love, som er fastsat ud fra forskellige perspektiver. Disse tre love er blevet vedtaget af Den Europæiske Union (EU) for at sikre beskyttelse af personlige oplysninger i det digitale rum og for at garantere fair konkurrence.

DSA (Den Digitale Tjenesteakt)

EU’s “Den Digitale Tjenesteakt” (DSA = Digital Services Act) er en omfattende lovgivning vedrørende e-handel i EU, som trådte i kraft den 16. november 2022 (med fuld implementering planlagt til den 17. februar 2024).

I EU blev et direktiv om e-handel vedtaget i år 2000, men det er blevet vanskeligt at anvende det i takt med udviklingen af internettet og online platforme. Derfor blev DSA (Den Digitale Tjenesteakt) indført som en revidering af det eksisterende direktiv for at skabe ensartede regler i EU.

Formålet med DSA er at sikre, at det indre markeds mæglertjenester fungerer korrekt, beskytte brugernes grundlæggende rettigheder og opretholde et sikkert digitalt miljø. Regulerede virksomheder omfatter online mæglertjenester, hostingtjenester og online platforme (herunder VLOP og VLOSE).

Det er en lov, der omfattende regulerer både BtoB og BtoC aspekterne vedrørende ansvar for ulovligt indhold og håndtering af tvister, når de opstår.

Specifikt pålægger den foranstaltninger til at fjerne ulovligt indhold og produkter/tjenester, styrker beskyttelsen af brugernes grundlæggende rettigheder og kræver omfattende regler for gennemsigtighed og ansvarlighed.

Desuden er der pålagt strengere regler for VLOP (Very Large Online Platform) = “Meget Store Online Platforme” og VLOSE (Very Large Online Search Engine) = “Meget Store Online Søgemaskiner”, som har et gennemsnitligt antal brugere i EU på over 45 millioner om måneden.

Udpegede VLOP’er og VLOSE’er skal inden for fire måneder efter at have modtaget beslutningen tilpasse deres systemer, ressourcer og processer til DSA, indføre afhjælpende foranstaltninger og etablere et uafhængigt system for at sikre overholdelse af lovgivningen. Derefter skal de gennemføre en revision og den første årlige risikovurdering og rapportere til Europa-Kommissionen.

DSA (Den Digitale Tjenesteakt) forventes at blive fuldt implementeret fra den 17. februar 2024, og overholdelsen af DSA for virksomheder, der ikke er VLOP eller VLOSE, vil blive overvåget af Europa-Kommissionen og medlemsstaternes myndigheder fremover.

Medlemsstaterne skal inden den 17. februar 2024 etablere en uafhængig “Digital Service Koordinator” med ansvar for at overvåge overholdelsen af DSA, og som vil have beføjelser til at håndhæve sanktioner, herunder bøder, for overtrædelser.

På den anden side vil Europa-Kommissionen direkte overvåge VLOP’er og VLOSE’er og have beføjelser til at håndhæve sanktioner.

Bøder for overtrædelse af loven kan beløbe sig til op til 6% af den pågældende virksomheds globale årsomsætning fra det foregående år.

Denne lovgivning er en del af EU’s digitale strategi kendt som “Et Europa klædt på til den digitale tidsalder” og sigter mod at tackle de nye udfordringer og risici, der følger med den digitale æra.

DMA (Den Digitale Markedslov)

EU’s “Digitale Markedslov” (DMA = Digital Markets Act) træder hovedsageligt i kraft fra den 2. maj 2023 og har til formål at sikre et retfærdigt og konkurrencedygtigt digitalt marked og forhindre, at bestemte digitale platforme dominerer markedet.

Reguleringen gælder for udpegede gatekeepers, som har fastsatte forpligtelser, og ved overtrædelse kan der pålægges sanktioner såsom bøder op til 10% af den globale omsætning.

En “gatekeeper” er en af de største digitale platforme, der opererer inden for Den Europæiske Union, og som kaldes sådan på grund af deres vedvarende position på markedet i visse digitale sektorer og opfyldelsen af visse kriterier såsom antal brugere, omsætning og kapital.

Europa-Kommissionen vil inden den 6. september 2023 udpege de nyeste gatekeepers, og disse virksomheder vil få en frist på op til seks måneder (indtil marts 2024) til at overholde de nye forpligtelser i henhold til den Digitale Markedslov. De virksomheder, der blev udpeget som gatekeepers, var Alphabet, Amazon, Apple, ByteDance, Meta og Microsoft, og i alt 22 af deres primære platforme og tjenester blev udpeget som omfattet af loven.

Dette lovgivningsinitiativ sigter mod at forhindre, at store digitale platforme misbruger deres markedsstyrke og gøre det lettere for nye aktører at træde ind på markedet.

GDPR (General Data Protection Regulation)

GDPR (General Data Protection Regulation) er en ny “databeskyttelseslov” fra EU, som trådte i kraft den 25. maj 2018.

Det er et juridisk rammeværk, der fastsætter retningslinjer for indsamling og behandling af personoplysninger fra enkeltpersoner både inden for og uden for EU. Denne forordning pålægger forpligtelser på organisationer, der enten opererer i EU eller indsamler data relateret til personer i EU.

Relateret artikel: Vejledning til udarbejdelse af en GDPR-kompatibel privatlivspolitik[ja]

Forventede tendenser i AI-regulering fremover

I det følgende vil vi forklare de AI-systemer, som virksomheder bør være særligt opmærksomme på, ud fra den tidligere nævnte risikoklassificeringstabel for AI.

Forbud mod brug af social kreditvurdering

En af de AI-systemer, der falder ind under “forbudte risici” i henhold til EU’s reguleringslov, er social kreditvurdering (social credit score), som vil blive fuldstændigt forbudt, ikke kun i offentlige institutioner, men også generelt, ifølge ændringsforslaget.

Med “social kreditvurdering” menes et system, der scorer enkeltpersoners sociale status og adfærd.

I Kina fungerer det som et værktøj i et overvågningssamfund og er som en del af nationalpolitikken ved at opbygge et socialt kreditsystem inden for fire områder: offentlig administration, handel, samfund og retsvæsen.

Specifikke restriktioner inkluderer forbud mod at bruge fly og højhastighedstog, udelukkelse fra private skoler, forbud mod at etablere organisationer som NPO’er, udelukkelse fra prestigefyldte job, udelukkelse fra hoteller, nedsættelse af internethastigheden og offentliggørelse af personlige oplysninger på hjemmesider og i medier. På den anden side, hvis scoren er høj, kan man modtage forskellige “privilegier”.

Men et sådant system har rejst bekymringer omkring individets privatliv og frihed, og dets anvendelse er fortsat genstand for debat.

Forbuddet mod brug af social kreditvurdering inden for EU er for at sikre, at anvendelsen af AI-teknologi er retfærdig og gennemsigtig.

Styrkelse af begrænsninger for generativ AI

En af de AI-systemer, der falder ind under “begrænset risiko” i EU’s reguleringslov, er generativ AI.

Generativ AI (Generative AI) er en type AI, der skaber nyt indhold eller løsninger baseret på træningsdata, og som har fået øget opmærksomhed i de senere år, eksempelvis Chat GPT. Der er dog forskellige udfordringer forbundet med generativ AI, hvilket nødvendiggør regulering.

I lovgivningen om AI-regulering er der tilføjet nye overvejelser og krav i takt med den hurtige udvikling og udbredelse af generativ AI.

Specifikt pålægges leverandører af generativ AI, herunder OpenAI, at afsløre ophavsretligt beskyttede data, der er brugt til træning af LLM (Large Language Models), som en del af deres forpligtelser.

Formålet hermed er at styrke gennemsigtigheden og reguleringen af risikostyring for generativ AI.

I EU’s lovgivning, herunder GDPR (General Data Protection Regulation), har princippet om “transparens” traditionelt været højt prioriteret. Der er pålagt forpligtelser til at afsløre beskyttelsesforanstaltninger og AI’s anvendelse og formål på forhånd til de berørte parter, og dette princip er blevet en international “gylden standard”.

Begrænsninger i brugen af følelsesgenkendende AI

Følelsesgenkendende AI, som falder ind under “begrænset risiko” i EU’s reguleringslov, er også et AI-system, hvor der gælder pligter til transparens, herunder forpligtelsen til at informere om brugen af AI på forhånd.

“Følelsesgenkendende AI” refererer til AI, der kan aflæse ændringer i menneskelige følelser.

Specifikt findes der følgende fire typer, som gennem mikrofoner, kameraer og sensorer analyserer følelser som glæde, vrede, sorg og interesse:

• Tekstbaseret følelsesgenkendende AI: Analyserer følelser baseret på tekst indtastet af mennesker eller på taledata, der er konverteret til tekst.
• Stemmebaseret følelsesgenkendende AI: Analyserer følelser ud fra den menneskelige stemme.
• Ansigtsgenkendende følelsesgenkendende AI: Aflæser følelser fra ansigtsudtryk gennem et kamera.
• Biometrisk følelsesgenkendende AI: Genkender følelser baseret på biometriske data som hjernebølger og puls.

Disse teknologier anvendes i forskellige sammenhænge, såsom i kundeservice, callcentre og salgsarbejde. Med yderligere teknologisk udvikling forventes det, at de også vil blive brugt inden for sundhedssektoren.

Det er dog nødvendigt at beskytte privatlivets fred i forbindelse med biometriske data og indsamlede personoplysninger samt at udvikle lovgivningen, der følger med.

Opsummering: Status og fremtidsudsigter for AI-regulering

Ovenfor har vi forklaret status og fremtidsudsigter for EU’s “AI-reguleringslov” samt dens indvirkning på japanske virksomheder. Det kan siges, at “EU AI-reguleringsloven”, som er den første af sin art i verden, har et stort potentiale for at blive den internationale “guldstandard”.

For japanske virksomheder, der planlægger at træde ind på EU-markedet, bliver det vigtigt at holde øje med udviklingen i denne AI-reguleringslov. Vi anbefaler, at du konsulterer en advokat, der er ekspert i international ret og AI-teknologi, for at få rådgivning om AI-regulering i EU.

Vejledning om foranstaltninger fra vores kontor

Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internettet og juraen. AI-forretninger indebærer mange juridiske risici, og support fra advokater, der er eksperter i juridiske spørgsmål relateret til AI, er afgørende. Vores firma tilbyder avanceret juridisk support til AI-forretninger, herunder ChatGPT, gennem et team af AI-kyndige advokater og ingeniører. Vi leverer tjenester som udarbejdelse af kontrakter, vurdering af lovligheden af forretningsmodeller, beskyttelse af intellektuelle ejendomsrettigheder og håndtering af privatlivets fred. Yderligere detaljer er angivet i nedenstående artikel.

Monolith Advokatfirmas ekspertiseområder: AI (såsom ChatGPT) juridiske tjenester[ja]