Dansk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_da/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdage 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > EU's AI-reguleringslov og nødvendige tiltag for japanske virksomheder

EU's AI-reguleringslov og nødvendige tiltag for japanske virksomheder

IT

EU's AI-reguleringslov og nødvendige tiltag for japanske virksomheder

Den 12. juli 2024 blev “AI-lovgivningen (EU AI Act)” offentliggjort i EU, og den trådte i kraft den 1. august samme år.
Denne lov regulerer brugen og leveringen af AI-systemer inden for EU og vil fra 2025 også kræve bestemte tiltag fra japanske virksomheder.

Specifikt kan japanske virksomheder, ligesom driftsoperatører af e-handelssider i Japan skal overholde EU’s “Generelle Databeskyttelsesforordning (GDPR)”, blive underlagt EU’s AI-lovgivning, hvis de tilbyder AI-relaterede produkter eller tjenester til kunder inden for EU.

Her vil vi forklare, hvordan berørte virksomheder skal håndtere de krav, der følger med denne lovs ikrafttræden, herunder risikoklassificering af AI-systemer og vurdering af overensstemmelse med reguleringen.

Forudsætning: Forskellen mellem “forordninger” og “direktiver” i EU

Før vi går i dybden med forklaringen af AI-reguleringsloven, er det nødvendigt at forstå forskellen mellem “forordninger” og “direktiver” i EU-lovgivningen som en forudsætning.

Først og fremmest er “forordninger” retsakter, der gælder direkte for medlemsstater, virksomheder og andre inden for EU. Dette betyder, at de har forrang over national lovgivning i medlemsstaterne og sikrer, at ensartede regler anvendes i hele EU. Derfor, når en forordning træder i kraft, vil den samme reguleringsindhold blive anvendt i alle EU-medlemsstater.

På den anden side er “direktiver” retsakter, der sigter mod at koordinere og harmonisere reguleringsindholdet mellem EU-medlemsstaterne. Direktiver gælder dog ikke direkte for medlemsstaterne, men kræver, at hver stat omsætter det indhold, der er fastsat i direktivet, til national lovgivning. Normalt skal medlemsstaterne vedtage eller ændre deres nationale lovgivning inden for tre år efter, at direktivet er offentliggjort i EU’s officielle tidende.

En karakteristik af “direktiver” er, at de giver medlemsstaterne en vis skønsmæssig beføjelse, når de omsættes til national lovgivning, hvilket betyder, at der kan opstå forskelle i lovgivningen mellem de forskellige lande. Med andre ord, lovgivning baseret på “direktiver” er ikke fuldstændig ensartet i hele EU, og der kan være mindre forskelle fra land til land, hvilket man skal være opmærksom på.

Med denne sondring er AI-reguleringsloven vedtaget som en “forordning”. Det betyder, at AI-reguleringsloven gælder direkte for virksomheder beliggende inden for EU.

Relateret artikel: Essential Points on EU Law and Legal Systems for Businesses Expanding into Europe[ja]

AI-regulering og ekstraterritorial anvendelse under japansk lov

Hvad er ekstraterritorial anvendelse?

“Ekstraterritorial anvendelse” refererer til, når en lov vedtaget i et land også finder anvendelse på handlinger, der foretages uden for landets suveræne territorium. Baggrunden for at tillade ekstraterritorial anvendelse ligger i globaliseringen af økonomien og internationaliseringen af virksomhedsaktiviteter, med det formål at sikre retfærdig og korrekt økonomisk aktivitet på verdensplan.

Et eksempel, der har bidraget til bred anerkendelse af dette koncept, er GDPR (EU’s generelle databeskyttelsesforordning). Under GDPR kan virksomheder uden for EU, der opfylder følgende krav, være underlagt forordningen (ekstraterritorial anvendelse):

  • Når de tilbyder tjenester eller varer til personer inden for EU
  • Når de behandler personoplysninger med det formål at overvåge adfærden hos personer inden for EU

For eksempel blev det i retningslinjerne fra 2020 klargjort, at virksomheder uden for EU, der sender medarbejdere på forretningsrejse til EU og behandler personoplysninger i den forbindelse, var undtaget fra anvendelse, selvom ekstraterritorial anvendelse oprindeligt blev diskuteret i disse tilfælde.

Ekstraterritorial anvendelse af EU’s AI-regulering

I EU’s AI-regulering anerkendes også ekstraterritorial anvendelse for virksomheder beliggende uden for EU. Følgende virksomheder og aktiviteter er omfattet:

  • Leverandører (Providers): Dem, der udvikler AI-systemer eller GPAI-modeller, dem, der får AI-systemer eller GPAI-modeller udviklet og introducerer dem på markedet, eller dem, der starter drift af AI-systemer under eget navn eller varemærke
  • Brugere (Users): Dem, der bruger AI-systemer under egen autoritet (dog undtaget er brug i personlige og ikke-erhvervsmæssige aktiviteter)
  • Importører (Importers): Importører beliggende eller etableret inden for EU, der introducerer AI-systemer på EU-markedet, hvor systemerne er mærket med navn eller varemærke fra en fysisk eller juridisk person etableret uden for EU
  • Distributører (Distributers): Fysiske eller juridiske personer, der tilhører forsyningskæden og tilbyder AI-systemer på EU’s indre marked, undtagen leverandører og importører

Som det fremgår, vil virksomheder beliggende uden for EU, der tilbyder, driver, importerer eller bruger AI-systemer eller GPAI-modeller inden for EU, være direkte underlagt EU’s AI-regulering.

Kendetegn ved EU’s AI-regulering: En risikobaseret tilgang

Kendetegn ved EU's AI-regulering: En risikobaseret tilgang

Hvad er en risikobaseret tilgang?

En af de mest markante træk ved EU’s AI-regulering er dens anvendelse af en ‘risikobaseret tilgang’ (risk-based approach), som indebærer regulering baseret på risikoenes art og omfang.

En ‘risikobaseret tilgang’ refererer til en metode, hvor styrken af reguleringen justeres baseret på indholdet og graden af risici. Med denne tilgang bestemmes strengheden af reguleringen for et AI-system ud fra alvoren af de risici, systemet potentielt kan forårsage.

Specifikt vil AI-systemer med høj risiko blive underlagt strengere regulering, mens systemer med lavere risiko vil blive mødt med mere lempelige regler. Dette sikrer, at systemer med lav risiko undgår overdreven regulering, mens systemer med høj risiko modtager passende overvågning og styring.

AI-systemer med uacceptabel risiko under japansk lov

Først og fremmest anses AI-systemer med uacceptabel risiko som en trussel mod mennesker og er principielt forbudt.

For eksempel hører AI-systemer, der manipulerer med kognition og adfærd hos specifikke sårbare grupper af brugere, som stemmeaktiverede legetøj, der fremmer farlig adfærd hos børn, til denne kategori. Desuden er social scoring, der klassificerer mennesker baseret på deres adfærd, socioøkonomisk status eller personlige karakteristika, også forbudt. Yderligere er systemer, der anvender ansigtsgenkendelsesteknologi til at identificere personer på afstand ved at sammenligne menneskelig biometrisk data med en reference database, kendt som “real-time og remote biometric identification systems”, også principielt forbudt.

Der er dog fastsat undtagelser, hvor brugen af disse systemer kan tillades. Specifikt er brugen af real-time remote biometric identification systems kun tilladt i begrænsede tilfælde af alvorlige hændelser. På den anden side er brugen af efterfølgende remote biometric identification systems tilladt, begrænset til formålet med at retsforfølge alvorlige forbrydelser, og kun med rettens godkendelse.

Yderligere undtagelser, hvor brugen kan udføres, omfatter søgning efter forsvundne børn eller potentielle kriminalitetsofre, forebyggelse af konkrete og umiddelbare trusler mod menneskers liv og fysisk sikkerhed eller terrorangreb, samt opsporing af gerningsmænd eller mistænkte for alvorlige forbrydelser. Disse undtagelser er underlagt strenge begrænsninger, som principielt kræver forudgående godkendelse fra en domstol, og der kræves omhyggelig håndtering af brugen af AI-systemer.

Højrisiko AI-systemer under japansk lovgivning

Næste, AI-systemer, der klassificeres som højrisiko, er dem, der potentielt kan have en negativ indvirkning på sikkerhed eller grundlæggende menneskerettigheder. Disse systemer er tilladt til brug, forudsat at de opfylder visse krav og forpligtelser (konformitetsvurdering).

Højrisiko AI-systemer kan overordnet inddeles i to kategorier. For det første AI-systemer, der anvendes i produkter, som falder ind under EU’s produktsikkerhedslovgivning, herunder legetøj, luftfart, biler, medicinsk udstyr og elevatorer. For det andet AI-systemer, der hører under specifikke områder, hvor registrering i EU’s databaser er obligatorisk. Disse områder inkluderer forvaltning og drift af kritisk infrastruktur, uddannelse og erhvervsuddannelse, beskæftigelse og arbejdsstyring, adgang til essentielle offentlige tjenester og fordele, retshåndhævelse, indvandring og asyl, grænsekontrol samt støtte til fortolkning og anvendelse af loven.

Højrisiko AI-systemer kræver vurdering før de bringes på markedet og gennem hele deres livscyklus. Derudover er der anerkendt en ret til at indgive klager over AI-systemer til de udpegede nationale myndigheder.

Generelt kan det siges, at maskiner og køretøjer, hvor sikkerheden for menneskeliv og fysisk integritet er en forudsætning, falder ind under kategorien højrisiko AI. For eksempel kan AI til selvkørende biler også falde ind under denne kategori, så når japanske virksomheder udvikler AI til selvkørende biler og ønsker at ekspandere internationalt, er det afgørende, at de omhyggeligt overvejer, om de opfylder kravene til højrisiko AI og reagerer passende.

AI-systemer med begrænset risiko under japansk lovgivning

AI-systemer med begrænset risiko indebærer potentielle risici såsom gennemsigtighedsrisici og risici for identitetstyveri, manipulation og svindel. Konkret omfatter dette chatbots, deepfakes og generative AI, og ifølge Europa-Parlamentets synspunkt klassificeres størstedelen af de nuværende AI-systemer under denne kategori. Dette inkluderer for eksempel automatiske oversættelsessystemer, spillekonsoller, robotter der udfører gentagne produktionsprocesser, og endda AI-systemer som ‘Eureka-maskinen’.

Med hensyn til generativ AI, selvom den ikke klassificeres som højrisiko, kræves der overholdelse af gennemsigtighedskrav og EU’s ophavsretslovgivning. Dette indebærer specifikt følgende tiltag:

  • Klart at afsløre, at indholdet er genereret af AI
  • At designe modeller, så de ikke genererer ulovligt indhold
  • At offentliggøre en oversigt over ophavsretligt beskyttede data, der er brugt til at træne AI’en

Desuden skal avancerede og indflydelsesrige generelle AI-modeller (GPAI-modeller) som ‘GPT-4’ undergå grundige vurderinger på grund af deres potentiale til at medføre systemiske risici. I tilfælde af alvorlige hændelser pålægges der en rapporteringspligt til Europa-Kommissionen. Derudover skal indhold, der er genereret eller ændret ved hjælp af AI (billeder, lydfiler, videofiler, deepfakes osv.), tydeligt markeres som værende skabt af AI, så brugerne kan genkende dette indhold.

AI-systemer med minimal risiko under japansk lovgivning

Endelig er der for AI-systemer med minimal risiko ikke fastsat særlige regler i Japan. Eksempler på sådanne systemer inkluderer spamfiltre og anbefalingssystemer. Inden for denne kategori opfordres der i stedet for regulering til udvikling og overholdelse af adfærdskodekser.

Krav og forpligtelser vedrørende højrisiko-AI-systemer under japansk lovgivning

Krav og forpligtelser vedrørende højrisiko-AI-systemer

Forpligtelser for udbydere, brugere, importører og forhandlere

Med udgangspunkt i ovenstående skelnen er der især for højrisiko-AI-systemer pålagt særligt strenge reguleringer på grund af risicienes alvor. Der stilles konkrete krav til udbydere og brugere.

Først og fremmest skal udbydere, brugere, importører og forhandlere etablere et risikostyringssystem (Artikel 9). Dette indebærer at identificere de risici, der er forbundet med højrisiko-AI-systemer, at implementere og vedligeholde et system til passende styring af disse risici og at dokumentere dette. Desuden kræves der ved datastyring (Artikel 10) brug af datasæt til træning, validering og test, der opfylder kvalitetsstandarder. Dette er nødvendigt, fordi kvaliteten og pålideligheden af data skal håndteres strengt selv i udviklingsfasen af AI-systemet.

Derudover er der krav om at udarbejde teknisk dokumentation (Artikel 11). Denne tekniske dokumentation skal indeholde oplysninger, der beviser, at højrisiko-AI-systemet overholder de regulatoriske krav, og skal være klar til at blive fremlagt for de relevante myndigheder i medlemslandene eller tredjepartscertificeringsorganer. Der er også et krav om at designe og udvikle en logfunktion, der automatisk registrerer hændelser under drift af AI-systemet (Artikel 12). Højrisiko-AI-systemer skal desuden registreres i en database under EU’s kontrol før de bringes på markedet, og udbyderne har ansvaret for at etablere og vedligeholde et kvalitetsstyringssystem og dokumentere dette.

Udbyderens forpligtelser

Udbydere er forpligtede til at opbevare teknisk dokumentation, dokumenter relateret til kvalitetsstyringssystemet, godkendelser og afgørelser fra tredjepartscertificeringsorganer og andre relaterede dokumenter i 10 år efter markedsintroduktionen eller driftsstarten og fremlægge dem på anmodning fra de nationale myndigheder. På denne måde har udbyderen et ansvar for at opretholde kvaliteten og sikkerheden af AI-systemet over tid og sikre gennemsigtighed.

Brugerens forpligtelser

På den anden side er der også specifikke forpligtelser pålagt brugerne i forbindelse med brugen af højrisiko-AI-systemer. Brugere skal opbevare logs, der automatisk genereres af højrisiko-AI-systemet, i en passende periode i forhold til det tilsigtede formål med AI-systemet, medmindre der er særlige bestemmelser i EU-lovgivningen eller national lovgivning. Specifikt er der krav om opbevaring i mindst seks måneder.

Desuden, når højrisiko-AI-systemer tages i brug eller anvendes på arbejdspladsen, er brugeren, som er arbejdsgiveren, forpligtet til at informere medarbejderrepræsentanter og de berørte medarbejdere om anvendelsen af systemet på forhånd. Dette er fastsat ud fra et perspektiv om at beskytte arbejdstageres rettigheder og sikre gennemsigtighed.

Således er der fastsat strenge krav og forpligtelser for både udbydere og brugere af højrisiko-AI-systemer. Især i tilfælde, hvor man håndterer avanceret AI-teknologi som medicinsk udstyr eller autonome køresystemer, kan der være behov for at gennemføre konformitetsvurderinger og gennemgå tredjepartscertificering, samtidig med at man overvejer overensstemmelse med eksisterende reguleringsrammer, hvilket kræver, at virksomhederne handler omhyggeligt og planlagt.

Trinvis implementering af AI-reguleringsloven i Japan

Trinvis implementering af AI-reguleringsloven i Japan

EU’s AI-reguleringslov vil blive implementeret gradvist fra offentliggørelsen til anvendelsen, hvilket kræver, at virksomheder forbereder sig og reagerer i overensstemmelse med hver fase.

Den 12. juli 2024 (Reiwa 6) blev AI-reguleringsloven offentliggjort i den officielle statsavis, og den trådte i kraft den 1. august samme år. I denne fase forventes det, at virksomheder først og fremmest bekræfter og overvejer indholdet af reguleringen.

Den 2. februar 2025 (Reiwa 7) vil bestemmelserne om ‘Generelle principper’ og ‘AI-systemer med uacceptabel risiko’ blive anvendt. Hvis en virksomhed håndterer AI-systemer med uacceptabel risiko, skal de straks stoppe denne håndtering.

Derefter, den 2. maj 2025 (Reiwa 7), vil Codes of Practice for udbydere af generelle AI-modeller (GPAI) blive offentliggjort. Virksomheder skal reagere i overensstemmelse med disse praksiskoder.

Efterfølgende, den 2. august 2025 (Reiwa 7), vil bestemmelserne om ‘GPAI-modeller’ og ‘Straffebestemmelser’ blive anvendt, og medlemslandene vil udnævne de relevante myndigheder. På dette tidspunkt skal udbydere af GPAI-modeller overholde de relevante regler.

Den 2. februar 2026 (Reiwa 8) vil retningslinjer for implementering af AI-systemer baseret på AI-reguleringsloven blive offentliggjort. Samtidig bliver overvågning efter markedsføring af højrisiko AI-systemer obligatorisk, og virksomhederne skal etablere et system til at håndtere dette.

Yderligere, den 2. august 2026 (Reiwa 8), vil bestemmelserne om ‘Højrisiko AI-systemer’ beskrevet i bilag III blive anvendt. På dette tidspunkt skal medlemslandene etablere AI-regulerings-sandkasser, og overholdelse af reglerne for de relevante højrisiko AI-systemer bliver obligatorisk.

Endelig, den 2. august 2027 (Reiwa 9), vil bestemmelserne om ‘Højrisiko AI-systemer’ beskrevet i bilag I blive anvendt. Dette vil gøre det obligatorisk for de relevante AI-systemer defineret i bilag I at overholde reglerne.

På denne måde vil AI-reguleringsloven blive implementeret gradvist over flere år, og reguleringer, der svarer til risikoenes alvorlighed, vil blive anvendt sekventielt. Virksomheder skal nøjagtigt forstå hver anvendelsesdato og fremme passende reaktioner for de relevante AI-systemer.

Relateret artikel: Hvad er status og udsigterne for AI-regulering i EU? Vi forklarer også indvirkningen på japanske virksomheder[ja]

Vejledning i foranstaltninger fra vores advokatfirma

Monolith Advokatfirma er et advokatfirma med omfattende erfaring inden for IT, især internettet og lovgivningen. Vi kombinerer dybdegående juridisk ekspertise med teknologisk knowhow for at levere unikke og effektive juridiske tjenester.

AI-forretninger indebærer mange juridiske risici, og support fra advokater, der er eksperter i juridiske spørgsmål relateret til AI, er afgørende. Vores firma tilbyder avanceret juridisk support til AI-forretninger, herunder ChatGPT, gennem et team af AI-kyndige advokater og ingeniører. Vi leverer tjenester som udarbejdelse af kontrakter, vurdering af forretningsmodellers lovlighed, beskyttelse af intellektuelle ejendomsrettigheder og privatlivshåndtering. Yderligere detaljer er angivet i nedenstående artikel.

Monolith Advokatfirmas ekspertiseområder: AI (ChatGPT osv.) juridiske tjenester[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Hvad er DAO (Decentraliserede Autonome Organisationer) og juridiske problemer i Japan?

Hvad er DAO (Decentraliserede Autonome Organisationer) og juridiske problemer i Japan?

IT

Netbutiksdrift og lov: Japansk 'Præmie Display Lov' & 'Elektronisk Kontrakt Lov'

Netbutiksdrift og lov: Japansk 'Præmie Display Lov' & 'Elektronisk Kontrakt Lov'

IT

Hvad skal man være opmærksom på, når man indgår en kontrakt om systemudvikling?

Hvad skal man være opmærksom på, når man indgår en kontrakt om systemudvikling?

IT

Hvad er 'Stablecoins'? En forklaring på deres forhold til elektroniske betalingsmetoder i den reviderede 'Japanese Funds Settlement Law

Hvad er 'Stablecoins'? En forklaring på deres forhold til elektroniske betalingsmetoder i den re.

IT

Hvad skal man være opmærksom på ved udstedelse af NFT'er? En forklaring på de juridiske virkninger af at eje og overføre NFT'er

Hvad skal man være opmærksom på ved udstedelse af NFT'er? En forklaring på de juridiske virkning.

IT

Hvor meget skal man juridisk set implementere funktioner, der ikke er i specifikationerne for systemudvikling?

Hvor meget skal man juridisk set implementere funktioner, der ikke er i specifikationerne for sy.

IT

En advokat forklarer, hvordan man laver brugsbetingelser for webtjenester osv. (anden del)

En advokat forklarer, hvordan man laver brugsbetingelser for webtjenester osv. (anden del)

IT

Er crawling af billeder på nettet en overtrædelse af ophavsretten? En forklaring på de juridiske problemer med maskinlæring

Er crawling af billeder på nettet en overtrædelse af ophavsretten? En forklaring på de juridiske.

IT

Hvad er forskellen mellem STO og ICO? En forklaring på konceptet med sikkerhedstokens og betydningen af STO

Hvad er forskellen mellem STO og ICO? En forklaring på konceptet med sikkerhedstokens og betydni.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tilbage til toppen