Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > EUs AI-reguleringslov og nødvendige tiltak for japanske selskaper

EUs AI-reguleringslov og nødvendige tiltak for japanske selskaper

IT

EUs AI-reguleringslov og nødvendige tiltak for japanske selskaper

Den 12. juli 2024 ble “AI-reguleringsloven (EU AI Act)” kunngjort i EU, og trådte i kraft 1. august samme år.
Denne loven regulerer bruken og tilbydingen av AI-systemer innenfor EU, og fra 2025 vil den også kreve visse tiltak fra japanske selskaper.

Spesifikt, på samme måte som japanske e-handelsnettsteder må overholde EUs “General Data Protection Regulation (GDPR)”, kan japanske selskaper som tilbyr AI-relaterte produkter eller tjenester til kunder innenfor EU, bli underlagt EU AI-reguleringsloven.

Her vil vi forklare hvordan berørte virksomheter må håndtere risikoklassifisering av AI-systemer og konformitetsvurderinger, blant annet, som et resultat av implementeringen av denne loven.

Forutsetninger: Forskjellen mellom “forordninger” og “direktiver” i EU

Før vi går inn på selve forklaringen av AI-reguleringsloven, er det nødvendig å forstå forskjellen mellom “forordninger” og “direktiver” i EU-lovgivningen som en forutsetning.

Først og fremst er “forordninger” rettsakter som gjelder direkte for medlemslandene, bedrifter osv. innenfor EU. Dette betyr at de har prioritet over nasjonale lover i medlemslandene og at det blir anvendt et enhetlig sett med regler i hele EU. Derfor, når en forordning trer i kraft, vil det samme reguleringsinnholdet bli anvendt i alle EU-medlemslandene.

På den annen side er “direktiver” rettsakter som har som mål å koordinere og harmonisere reguleringsinnholdet mellom EU-medlemslandene. Imidlertid gjelder direktiver ikke direkte for medlemslandene, og hvert land må erstatte innholdet som er fastsatt i direktivet med nasjonal lovgivning. Vanligvis må medlemslandene vedta eller endre nasjonal lovgivning innen tre år etter at direktivet er publisert i EU-tidende.

En særegenhet ved “direktiver” er at medlemslandene har en viss skjønnsmargin når de omdanner dem til nasjonal lovgivning, noe som betyr at det kan oppstå forskjeller i lovgivningen mellom landene. Med andre ord, lovgivning basert på “direktiver” er ikke fullstendig harmonisert i EU, og det er mulig at det kan oppstå noen forskjeller mellom landene.

Med denne distinksjonen i bakhodet er AI-reguleringsloven etablert som en “forordning”. Det betyr at AI-reguleringsloven gjelder direkte for virksomheter som er lokalisert innenfor EU.

Relatert artikkel: Essensiell lesning for bedrifter som utvider til Europa: En forklaring på EU-lovgivning og rettssystem[ja]

AI-regulering og ekstraterritoriell anvendelse under japansk lov

Hva er ekstraterritoriell anvendelse?

“Ekstraterritoriell anvendelse” refererer til når en lov vedtatt i et land også gjelder for handlinger som utføres utenfor landets suverene territorium. Bakgrunnen for å tillate ekstraterritoriell anvendelse ligger i globaliseringen av økonomien og internasjonaliseringen av bedriftsaktiviteter, med mål om å sikre rettferdig og korrekt økonomisk aktivitet over hele verden.

Et eksempel som har bidratt til bred anerkjennelse av dette konseptet er GDPR (EU’s generelle databeskyttelsesforordning). Under GDPR kan virksomheter som ikke har etablert seg i EU likevel bli underlagt forordningen (ekstraterritoriell anvendelse) hvis de oppfyller følgende krav:

  • Når de tilbyr tjenester eller varer til personer innenfor EU
  • Når de behandler personopplysninger med det formål å overvåke atferden til personer innenfor EU

For eksempel, i tilfeller hvor et selskap utenfor EU sender ansatte på forretningsreise til EU og behandler personopplysninger relatert til denne perioden, ble det i retningslinjene fra 2020 klargjort at dette var “utenfor anvendelsesområdet”, selv om ekstraterritoriell anvendelse var et diskutert tema i utgangspunktet.

Ekstraterritoriell anvendelse av EU’s AI-regulering

I EU’s AI-regulering er det også anerkjent ekstraterritoriell anvendelse for virksomheter som befinner seg utenfor EU. Følgende virksomheter og aktiviteter er omfattet:

  • Leverandører (Providers): De som utvikler AI-systemer eller GPAI-modeller, de som får utviklet og introduserer AI-systemer eller GPAI-modeller på markedet, eller de som starter drift av AI-systemer under eget navn eller varemerke
  • Brukere (Users): De som bruker AI-systemer under egen autoritet (med unntak av de som bruker AI-systemer for personlige og ikke-profesjonelle aktiviteter)
  • Importører (Importers): Importører som er etablert eller befinner seg innenfor EU, og som introduserer AI-systemer merket med navn eller varemerke til personer eller selskaper etablert utenfor EU, på EU-markedet
  • Distributører (Distributers): Naturlige eller juridiske personer som tilhører forsyningskjeden og som tilbyr AI-systemer på EU-markedet, annet enn leverandører og importører

Som det fremgår, selv for virksomheter som befinner seg utenfor EU, vil EU’s AI-regulering direkte gjelde dersom de tilbyr, driver, importerer eller bruker AI-systemer eller GPAI-modeller innenfor EU.

Kjennetegn ved EUs AI-reguleringslov: En risikobasert tilnærming

Kjennetegn ved EUs AI-reguleringslov: En risikobasert tilnærming

Hva er en risikobasert tilnærming?

Et av de mest fremtredende trekkene ved EU sin AI-reguleringslov er dens “regulering basert på innholdet og graden av risiko” (risikobasert tilnærming).

En “risikobasert tilnærming” refererer til en metode hvor styrken av reguleringen justeres basert på innholdet og graden av risikoen. Med denne tilnærmingen bestemmes strengheten av reguleringene som pålegges et AI-system i henhold til alvorlighetsgraden av risikoen systemet potensielt kan forårsake.

Spesifikt vil AI-systemer med høy risiko være underlagt strengere reguleringer, mens systemer med lavere risiko vil ha mer lempelige reguleringer. Dette tillater for unngåelse av overdreven regulering på systemer med lav risiko, og på den andre siden, sikrer det passende overvåkning og styring av systemer med høy risiko.

AI-systemer med uakseptabel risiko under japansk lov

Først og fremst anses AI-systemer med uakseptabel risiko som en trussel mot mennesker og er i prinsippet forbudt.

For eksempel, AI-systemer som manipulerer kognisjonen eller atferden til spesifikke sårbare brukergrupper, slik som stemmeaktiverte leker som oppmuntrer til farlig oppførsel blant barn, faller inn under denne kategorien. Sosial scoring som klassifiserer mennesker basert på deres atferd, sosioøkonomisk status eller personlige egenskaper er også forbudt. Videre er systemer som bruker ansiktsgjenkjenningsteknologi for å identifisere individer på avstand ved å sammenligne deres biometriske data med en referansedatabase, kjent som “realtids og fjern biometrisk autentiseringssystemer”, også i prinsippet forbudt.

Det er imidlertid fastsatt unntak der bruk av disse systemene kan tillates. Spesifikt er bruk av realtids fjern biometrisk autentiseringssystemer kun tillatt i begrensede tilfeller av alvorlige hendelser. På den annen side kan fjern biometrisk autentisering etter hendelsen tillates for å tiltale alvorlige forbrytelser, men kun med rettens godkjennelse.

I tillegg er det tilfeller der det eksepsjonelt kan tillates å implementere slike systemer, for eksempel i søket etter savnede barn eller potensielle ofre for kriminalitet, for å forhindre konkrete og umiddelbare trusler mot menneskers liv eller fysisk sikkerhet, eller for å forhindre terrorangrep, og for å oppdage og lokalisere gjerningsmenn eller mistenkte for alvorlige forbrytelser. Disse unntakene er underlagt strenge restriksjoner som i utgangspunktet krever forhåndsgodkjennelse fra en domstol, og det kreves forsiktig håndtering av bruken av AI-systemer.

Høyrisiko AI-systemer under japansk lov

Neste, AI-systemer som klassifiseres som høyrisiko, er de som potensielt kan ha en negativ innvirkning på sikkerhet eller grunnleggende menneskerettigheter. Disse systemene er tillatt for bruk så lenge de oppfyller visse krav og forpliktelser (konformitetsvurdering).

Høyrisiko AI-systemer kan deles inn i to hovedkategorier. For det første, AI-systemer som brukes i produkter som faller under EUs produktsikkerhetslovgivning, inkludert, men ikke begrenset til, leker, luftfart, biler, medisinsk utstyr og heiser. For det andre, AI-systemer som er klassifisert i spesifikke områder som krever registrering i EUs databaser. Disse områdene inkluderer forvaltning og drift av kritisk infrastruktur, utdanning og yrkesopplæring, ansettelse og arbeidsstyrkeforvaltning, tilgang til essensielle offentlige tjenester og fordeler, rettshåndhevelse, innvandring og asyl, grensekontroll, samt støtte til tolkning og anvendelse av loven.

Høyrisiko AI-systemer krever evaluering før de lanseres på markedet og gjennom hele livssyklusen. I tillegg er det anerkjent en rett til å fremme klager over AI-systemer til de utpekte nasjonale myndighetene.

Generelt kan det sies at maskiner og kjøretøy som har som forutsetning å sikre menneskers liv og fysisk sikkerhet, faller inn under kategorien høyrisiko AI. For eksempel kan AI for autonom kjøring også være relevant her, så når japanske selskaper utvikler AI for autonom kjøring og planlegger å ekspandere internasjonalt, må de nøye vurdere om de oppfyller kravene for høyrisiko AI og respondere tilsvarende.

AI-systemer med Begrenset Risiko

AI-systemer med begrenset risiko antas å innebære risikoer knyttet til transparens, samt risiko for identitetstyveri, manipulasjon og svindel. Dette inkluderer spesifikt chatbots, deepfakes og generative AI-systemer, som ifølge EU-parlamentets synspunkt, utgjør majoriteten av AI-systemene som er i bruk i dag. Eksempler på dette er automatiske oversettelsessystemer, spillkonsoller, roboter som utfører repetitive produksjonsprosesser, og til og med AI-systemer som “Eureka-maskinen”.

Når det gjelder generative AI-systemer, klassifiseres de ikke som høyrisiko, men det kreves at de oppfyller krav til transparens og overholdelse av EU’s opphavsrettslovgivning. Dette innebærer spesifikt følgende tiltak:

  • Å tydelig avsløre at innholdet er generert av AI
  • Å designe modeller slik at de ikke genererer ulovlig innhold
  • Å offentliggjøre en oversikt over opphavsrettsbeskyttede data som er brukt i treningen av AI

I tillegg må avanserte og innflytelsesrike generelle AI-modeller (GPAI-modeller), som “GPT-4”, gjennomgå grundige vurderinger på grunn av potensialet for å medføre systemiske risikoer. Videre, i tilfelle av alvorlige hendelser, pålegges det en rapporteringsplikt til Europakommisjonen. Dessuten må innhold som er generert eller modifisert av AI (bilder, lyd, videofiler, deepfakes osv.) tydelig merkes som generert av AI, slik at brukerne kan gjenkjenne innholdet som sådan.

AI-systemer med minimal risiko i Japan

Til slutt, når det gjelder AI-systemer med minimal risiko, er det ikke fastsatt spesielle reguleringer i Japan. Eksempler på slike systemer inkluderer spamfiltre og anbefalingssystemer. Innenfor denne kategorien oppfordres det heller til utvikling og etterlevelse av atferdskodekser enn til regulering.

Krav og forpliktelser knyttet til høyrisiko AI-systemer i Japan

Krav og forpliktelser knyttet til høyrisiko AI-systemer i Japan

Forpliktelser for tilbydere, brukere, importører og forhandlere

I lys av slike distinksjoner, er det spesielt for høyrisiko AI-systemer pålagt strenge reguleringer på grunn av risikoenes alvorlighetsgrad, og det kreves konkrete forpliktelser fra både tilbydere og brukere.

Først og fremst kreves det at tilbydere, brukere, importører og forhandlere etablerer et risikostyringssystem (Artikkel 9). Dette innebærer å identifisere risikoer som er iboende i høyrisiko AI-systemer, å implementere et system for å håndtere disse risikoene på en passende måte, og videre å dokumentere og opprettholde dette systemet. Når det gjelder datastyring (Artikkel 10), kreves det bruk av datasett for trening, validering og testing som møter kvalitetsstandarder. Dette er fordi kvaliteten og påliteligheten av data må håndteres strengt selv i utviklingsfasen av AI-systemet.

I tillegg er det pålagt å utarbeide teknisk dokumentasjon (Artikkel 11). Denne tekniske dokumentasjonen skal inneholde informasjon som er nødvendig for å bevise at høyrisiko AI-systemet overholder regulatoriske krav, og den skal være klar til å leveres til relevante myndigheter i medlemslandene eller tredjeparts sertifiseringsorganer. Videre er det nødvendig å designe og utvikle en loggføringsfunksjon som automatisk registrerer hendelser mens AI-systemet er i drift (Artikkel 12). Høyrisiko AI-systemer er også pålagt å registreres i en database under EU-kontroll før de lanseres på markedet, og tilbydere har ansvar for å etablere og dokumentere et kvalitetsstyringssystem og opprettholde det.

Tilbyderens forpliktelser

Tilbydere er forpliktet til å oppbevare teknisk dokumentasjon, dokumenter relatert til kvalitetsstyringssystemet, godkjennelser og beslutninger fra tredjeparts sertifiseringsorganer og andre relevante dokumenter i 10 år etter at produktet er lansert på markedet eller tatt i bruk. På denne måten har tilbydere et ansvar for å opprettholde kvaliteten og sikkerheten til AI-systemet over tid og sikre transparens.

Brukerens forpliktelser

På den annen side er det også pålagt spesifikke forpliktelser for brukere av høyrisiko AI-systemer. Brukere må oppbevare logger som automatisk genereres av høyrisiko AI-systemet for en passende periode i lys av systemets tiltenkte formål, med mindre EU-lovgivningen eller nasjonal lovgivning i medlemslandene spesifiserer noe annet. Spesifikt er det pålagt å oppbevare loggene i minst seks måneder.

Videre, når høyrisiko AI-systemer tas i bruk eller brukes på arbeidsplassen, er det en forpliktelse for arbeidsgiveren, som er brukeren, å informere ansattes representanter og berørte ansatte på forhånd om at systemet vil bli brukt. Dette er fastsatt fra et perspektiv om å beskytte arbeidstakernes rettigheter og sikre transparens.

Slik sett er det etablert strenge krav og forpliktelser for både tilbydere og brukere av høyrisiko AI-systemer. Spesielt i tilfeller der avansert AI-teknologi som medisinsk utstyr eller autonome kjøresystemer håndteres, kan det også være nødvendig å gjennomføre en samsvarsvurdering og gjennomgang av tredjeparts sertifiseringsorganer, med tanke på å sikre overensstemmelse med eksisterende regulatoriske rammeverk. Derfor må virksomheter handle forsiktig og planmessig.

Trinnvis implementeringsplan for japansk AI-reguleringslov

Trinnvis implementeringsplan for japansk AI-reguleringslov

EU sin AI-reguleringslov har en trinnvis implementeringsplan fra kunngjøring til anvendelse. Dette krever at virksomheter forbereder og responderer i henhold til hvert trinn.

Den japanske AI-reguleringsloven ble offentliggjort i statsgazetten 12. juli 2024, og trådte i kraft 1. august samme år. På dette stadiet kreves det at virksomheter først bekrefter og vurderer innholdet i reguleringene.

Den 2. februar 2025 vil bestemmelsene om ‘Generelle prinsipper’ og ‘AI-systemer med uakseptabel risiko’ bli anvendt. Hvis en virksomhet håndterer AI-systemer med uakseptabel risiko, må de umiddelbart stoppe slik håndtering.

Deretter, den 2. mai 2025, vil praksiskodene (Codes of Practice) for leverandører av generelle AI-modeller (GPAI) bli publisert. Virksomheter må handle i samsvar med disse praksiskodene.

Etter dette, den 2. august 2025, vil bestemmelsene om ‘GPAI-modeller’ og ‘straffebestemmelser’ bli anvendt, og medlemslandene vil utnevne tilsynsmyndigheter. På dette stadiet må leverandører av GPAI-modeller overholde de relevante reglene.

Den 2. februar 2026 vil retningslinjer for implementering av AI-systemer i henhold til AI-reguleringsloven bli publisert. Samtidig blir det obligatorisk med overvåking etter markedsføring for høyrisiko AI-systemer, og virksomheter må etablere systemer for å håndtere dette.

I tillegg, den 2. august 2026, vil bestemmelsene om ‘Høyrisiko AI-systemer’ som er oppført i Vedlegg III bli anvendt. På dette tidspunktet må medlemslandene etablere AI-reguleringssandkasser, og det blir essensielt å overholde reglene for de aktuelle høyrisiko AI-systemene.

Til slutt, den 2. august 2027, vil bestemmelsene om ‘Høyrisiko AI-systemer’ som er oppført i Vedlegg I bli anvendt. Dette gjør det obligatorisk for de AI-systemene som er definert i Vedlegg I å overholde reglene.

Slik blir den japanske AI-reguleringsloven trinnvis implementert over flere år, og reguleringer som svarer til risikonivået blir gradvis anvendt. Virksomheter må nøyaktig forstå hver anvendelsestidspunkt og fremme tiltak som svarer til de aktuelle AI-systemene.

Relatert artikkel: Hva er statusen og utsiktene for AI-regulering i EU? Forklaring av påvirkningen på japanske selskaper[ja]

Veiledning i tiltak fra vår advokatfirma

Monolith Advokatfirma kombinerer dyptgående erfaring innen IT, spesielt internett, og juridiske tjenester i Japan.

AI-virksomheter innebærer mange juridiske risikoer, og støtte fra advokater som er eksperter på juridiske spørsmål relatert til AI er avgjørende. Vårt firma tilbyr avansert juridisk støtte for AI-virksomheter, inkludert ChatGPT, gjennom et team av AI-kyndige advokater og ingeniører. Vi tilbyr tjenester som utarbeidelse av kontrakter, vurdering av forretningsmodellers lovlighet, beskyttelse av immaterielle rettigheter og personvern. Du kan lese mer om dette i artikkelen nedenfor.

Tjenesteområder hos Monolith Advokatfirma: AI (ChatGPT etc.) juridiske tjenester[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Har prompter opphavsrett? En grundig forklaring av immaterielle rettigheter i AI-æraen

Har prompter opphavsrett? En grundig forklaring av immaterielle rettigheter i AI-æraen

IT

Stabile mynter også regulert! Forklaring av hovedpunktene i den reviderte japanske loven om betalingsmidler fra Reiwa 4 (2022)

Stabile mynter også regulert! Forklaring av hovedpunktene i den reviderte japanske loven om beta.

IT

For sikker bruk av SES-kontrakter - En forklaring på potensielle juridiske problemer

For sikker bruk av SES-kontrakter - En forklaring på potensielle juridiske problemer

IT

Tiltak ved oppdagelse av systemfeil etter godkjenning

Tiltak ved oppdagelse av systemfeil etter godkjenning

IT

Er skjermbilder et brudd på opphavsretten? Forklaring av metoder for å identifisere opphavspersonen og hvordan man sletter dem

Er skjermbilder et brudd på opphavsretten? Forklaring av metoder for å identifisere opphavsperso.

IT

Hva er sivil mekling som en løsning på konflikter i systemutvikling?

Hva er sivil mekling som en løsning på konflikter i systemutvikling?

IT

Forskjellen og fordeler og ulemper ved hovedentreprenører og underentreprenører i systemutvikling

Forskjellen og fordeler og ulemper ved hovedentreprenører og underentreprenører i systemutviklin.

IT

Personlige ingeniører bør forberede kontrakter på forhånd for felles virksomhet med selskaper

Personlige ingeniører bør forberede kontrakter på forhånd for felles virksomhet med selskaper

IT

Hva er de kontraktsmessige risikoene ved bedrifters implementering av AI? En forklaring på Nærings- og Handelsdepartementets

Hva er de kontraktsmessige risikoene ved bedrifters implementering av AI? En forklaring på Nærin.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen