EU:s nuvarande och framtida AI-regleringar – vad innebär de för japanska företag? En översikt över påverkan

Med utvecklingen av AI har verktyg som ChatGPT börjat användas i affärsverksamheter, vilket har lett till en ökning av AI-relaterade affärer. Samtidigt har frågor kring internationell reglering av AI fått ökad uppmärksamhet.

I Japan har Ministry of Economy, Trade and Industry (METI) publicerat “Governance Guidelines for the Implementation of AI Principles Ver. 1.1″[ja] (vid tidpunkten för skrivandet). Den 14 juni 2023 (Reiwa 5) antogs världens första internationella “AI Regulation Act” av EU-parlamentet, vilket även har väckt stor uppmärksamhet i Japan.

I denna artikel kommer vi att introducera den nuvarande situationen och framtidsutsikterna för AI-regleringslagen, samt förklara dess inverkan på japanska företag.

Vad är AI-regleringslagen (AI Act)?

Den 14 juni 2023 antogs ett omfattande förslag till “AI-regler” i EU:s Europaparlament, som riktar sig mot användningen av AI i allmänhet. Det är världens första internationella “AI-regleringslag (AI Act)”, bestående av 85 artiklar, och utgör en del av EU:s sekundärlagstiftning.

Framöver, med sikte på att nå en överenskommelse inom 2023, kommer informella förhandlingar (triloger) att äga rum mellan de tre parterna (Europeiska kommissionen, Europaparlamentet och Europeiska rådet). Efter godkännande från Europaparlamentet och Europeiska rådet, som är lagstiftande organ, förväntas lagen träda i kraft under 2024.

EU:s rättssystem

EU:s rättssystem består av tre typer av lagar: primärrätt (fördrag), sekundärrätt (gemenskapslagstiftning) och rättspraxis.

Sekundärrätten, som är baserad på primärrätten (fördragen), består av lagar och förordningar som reglerar medlemsländerna direkt eller indirekt inom EU och kallas för EU-lag eller härledd lagstiftning.

Det finns huvudsakligen fem typer av sekundärrätt, men “EU:s AI-reglering” faller under kategorin förordningar (Regulation), vilket innebär att det är enhetliga regler som direkt binder medlemsländerna i EU.

EU:s lagstiftning (sekundärrätt) omfattar följande fem typer:

• Förordningar (Regulation): Har bindande kraft för alla medlemsländer och blir direkt tillämpliga (blir en del av det nationella rättssystemet utan att behöva ratificeras) när de antas.
• Direktiv (Directive): Medlemsländerna har en juridisk skyldighet att antingen införa ny lagstiftning eller ändra befintlig lagstiftning för att uppnå de uppsatta målen.
• Beslut (Decision): En form av lag med juridisk bindande kraft som riktar sig specifikt till vissa medlemsländer, företag eller individer, snarare än till allmänheten.
• Rekommendationer (Recommendation): Europeiska kommissionen rekommenderar att medlemsländernas regeringar, företag eller individer vidtar vissa åtgärder eller beteenden. De har ingen juridisk bindande kraft eller tvångskraft, men de kan uppmuntra till lagstiftning eller ändringar inom EU-länderna.
• Yttranden (Opinion): Ibland kallade “åsikter”, där Europeiska kommissionen uttrycker sin ståndpunkt om specifika ämnen. De har ingen juridisk bindande kraft eller tvångskraft.

“Regulation” anses vara den mest bindande formen av sekundärrätt, och exempelvis GDPR (General Data Protection Regulation) – “Allmänna dataskyddsförordningen” är ett exempel på en sådan förordning.

Tillämpningsområdet för EU:s AI-regleringslag

EU:s “AI-regleringslag” kommer att tillämpas direkt inom EU och har även extraterritoriell tillämpning i tredjeländer som handelspartner, vilket innebär att den har juridisk bindande kraft. Regleringen omfattar företag som lanserar AI-system och tjänster på den europeiska marknaden, inklusive AI-utvecklare, distributörer, leverantörer, importörer, återförsäljare och användare.

I AI-regleringslagen fastställs tydliga krav på specifika AI-system och företagens skyldigheter, men lagen strävar också efter att minska den administrativa och finansiella bördan för små och medelstora företag (SME).

Lagförslaget är en del av ett omfattande AI-paket som syftar till att garantera säkerheten och de grundläggande rättigheterna inom AI, samt att stärka engagemanget, investeringarna och innovationen inom AI i hela EU.

Europeisk lagstiftning måste följa grundtanken i EU-fördraget. Det innebär att även inom AI-teknologi måste mänskliga rättigheter och friheter inom EU garanteras, och för detta krävs skyddsåtgärder.

I lagförslaget förklaras syftet med regleringen vara att “främja användningen av pålitlig AI under mänsklig övervakning och att garantera skyddet av hälsa, säkerhet, grundläggande rättigheter, demokrati och rättsstatens principer samt miljön från riskerna med AI.”

Specifikt innehåller lagen följande “allmänna principer som gäller för alla AI-system”:

• Mänsklig autonomi och övervakning
• Teknisk robusthet och säkerhet
• Integritet och datagovernance
• Transparens
• Mångfald, icke-diskriminering och rättvisa
• Social och miljömässig välfärd

I regleringslagen framhålls det att för att uppnå dessa AI-principer är det avgörande att säkerställa AI-kompetens hos utvecklare, användare och leverantörer av AI.

Vid överträdelser kan enorma sanktionsavgifter tillkomma baserade på global försäljning (upp till 30 miljoner euro, motsvarande cirka 4,7 miljarder yen eller 6% av den globala försäljningen, beroende på vilket som är högre), vilket kan leda till att företag inte längre kan bedriva AI-verksamhet inom EU.

Därför krävs det att företag, inklusive japanska företag som redan är aktiva inom AI-sektorn på EU-marknaden eller som överväger att expandera dit, anpassar sig till EU:s nya AI-regleringar.

Bakgrunden till införandet av AI-regleringar

Generativ AI är å ena sidan ett praktiskt verktyg, men det innebär också risker som kan främja brottslighet och hota demokratin. I takt med att AI-tekniken utvecklas och blir mer utbredd, blir dessa problem oundvikliga utmaningar.

Sedan 2016 har Europeiska unionen (EU), USA och Kina publicerat riktlinjer och nationella strategiförslag relaterade till AI. I EU har man särskilt arbetat framåt med att utveckla regleringar för AI och big data, och mellan 2017 och 2022 skapades viktiga riktlinjer, deklarationer och regleringsförslag.

Till exempel, i april 2016 antogs “Allmänna dataskyddsförordningen (GDPR)”, den 21 april 2021 presenterades “Förslaget till AI-reglering” och den 30 maj 2022 antogs “Europeiska datagovernanslagen (DGA)”, som började gälla den 24 september 2023.

Dessa regleringar syftar till att säkerställa att AI och big data används på ett säkert och rättvist sätt i hela samhället, samtidigt som de främjar innovation och ekonomisk tillväxt.

EU har som en del av sin digitala strategi lanserat “A Europe fit for the Digital Age” (Ett Europa anpassat för den digitala eran).

Efter att “Förslaget till AI-reglering” presenterades, och med tanke på den snabba utvecklingen och spridningen av generativ AI, antog Europeiska kommissionen den 14 juni 2023 ett ändringsförslag som inkluderade nya synsätt och krav relaterade till generativ AI.

Kännetecken hos AI-regleringslagen

“AI-regleringslagen” bygger på tre huvudsakliga kännetecken: “riskbaserad AI-klassificering”, “krav och skyldigheter” samt “stöd till innovation”.

Denna reglering använder en metod som kallas “riskbaserat tillvägagångssätt”, där AI:s risknivå kategoriseras i fyra nivåer och regleringar tillämpas därefter.

Specifikt, som visas i tabellen nedan, finns det förbjudna handlingar och krav samt skyldigheter som är fastställda beroende på de fyra risknivåerna för AI-system. För AI med hög risk specificeras användningsområdena med hänsyn till säkerheten för människors kroppar och liv, säkerställande av självbestämmande, demokrati och upprätthållande av korrekt förfarande.

Påverkan av AI-regleringslagen på Japan

EU har internationellt varit pionjärer inom att införa regleringar inom områden som mänskliga rättigheter, skydd av personuppgifter och miljöbevarande. Dessa regleringar har sedan blivit “guldstandarden” för andra länders systemdesign.

Ändringarna i den japanska lagen om skydd av personuppgifter, som också syftade till att harmonisera decentraliserade regleringar, drevs framför allt av behovet att anpassa sig till EU:s GDPR (General Data Protection Regulation). Dessutom finns det lagar som “Lagen om förbättring av transparens och rättvisa för specifika digitala plattformar” (trädde i kraft den 1 februari 2021), som har utformats med EU:s lagstiftning som förebild.

I Japan hanteras AI för närvarande inte genom hård lagstiftning, utan genom mjuk lagstiftning i form av självreglering.

Som nämnts ovan kommer EU:s “AI-regleringslag” att tillämpas direkt på medlemsländerna, men också extraterritoriellt på företag som bedriver verksamhet inom EU, vilket innebär att den även gäller för företag som är baserade utanför EU.

Som vi kommer att nämna senare kan flera olika lagar, som definieras från olika perspektiv, komma att tillämpas på exporten av AI-produkter inom EU, och det är avgörande att vidta åtgärder för att hantera dessa. Japanska företag måste noggrant följa utvecklingen och vidta lämpliga åtgärder för att följa lagarna.

Antagandet av ändringsförslag inklusive genererad AI

AI-regleringslagen är en lag som har ändrats genom förslag från EU:s tre institutioner: Europeiska rådet, Europaparlamentet och Europeiska kommissionen.

Den 11 maj 2023, antog IMCO (Committee on Internal Market and Consumer Protection) – ‘Kommittén för den inre marknaden och konsumentskydd’ och LIBE (Committee on Civil Liberties, Justice and Home Affairs) – ‘Kommittén för medborgerliga fri- och rättigheter, rättsliga och inrikes frågor’, ett ändringsförslag till AI-regleringslagen.

Dessa ändringsförslag antogs av Europaparlamentet den 14 juni 2023.

Rapporten innehåller viktiga ändringar av lagförslaget, såsom förbud mot prediktiv polisverksamhet, en omfattande tilläggning till listan över högriskbaserade fristående AI-system och en stark och omfattande roll för det nya AI-kontoret (EAIB – European Artificial Intelligence Board som ersätter den tidigare institutionen).

Dessutom föreslås en starkare samverkan med GDPR (General Data Protection Regulation) – ‘Allmänna dataskyddsförordningen’, en ökning av intressenternas engagemang inom vissa områden, samt införandet av specifika bestämmelser relaterade till genererad AI och generell AI.

Senare, den 24 oktober 2023, hölls det fjärde trilogmötet (trepartssamtal) om AI-regleringslagen, där betydande framsteg gjordes gällande politiskt känsliga frågor. Särskilt en preliminär överenskommelse uppnåddes om det omdiskuterade filtreringsmekanismen för högrisk AI-system (Art. 6).

Ytterligare politisk vägledning gavs om grundmodeller/generell AI-systemstyrning, förbud och framtida riktning för brottsbekämpande myndigheter, och teknikteamet blev ålagda att arbeta med konkreta textförslag om de nämnda frågorna.

Om AI-reglering i relaterad lagstiftning

AI-regleringslagen är kopplad till flera lagar som har fastställts utifrån olika perspektiv. Dessa tre lagar har antagits av Europeiska unionen (EU) för att säkerställa skyddet av personuppgifter i den digitala sfären och för att garantera rättvis konkurrens.

DSA (Digital Services Act)

EU:s “Digital Services Act” (DSA), som trädde i kraft den 16 november 2022 (med fullständig tillämpning planerad till den 17 februari 2024), är en omfattande lagstiftning som rör e-handel inom EU.

I EU antogs ett direktiv om e-handel år 2000, men det har blivit allt svårare att tillämpa det på den digitala miljön, inklusive internet och onlineplattformar, på grund av dess utveckling. Därför har DSA, en EU-gemensam regel, införts för att revidera det befintliga direktivet.

DSA syftar till att skydda användarnas grundläggande rättigheter och upprätthålla en säkrare digital miljö genom att säkerställa att tjänster som agerar som mellanhänder på den inre marknaden fungerar korrekt. De företag som regleras av DSA inkluderar online mellanhändartjänster, värdtjänster och onlineplattformar (inklusive VLOP och VLOSE).

Det är en lag som omfattande reglerar både BtoB och BtoC i fråga om ansvar för olagligt innehåll som publiceras och hantering av tvister som uppstår.

Specifikt innebär det att det finns en skyldighet att vidta åtgärder för att eliminera olagligt innehåll, produkter och tjänster, stärka skyddet av användarnas grundläggande rättigheter, samt kräva transparens och ansvarsskyldighet.

Dessutom finns det strängare regler för VLOP (Very Large Online Platform) – “mycket stora onlineplattformar” och VLOSE (Very Large Online Search Engine) – “mycket stora online sökmotorer”, som har en genomsnittlig månatlig användarbas på över 45 miljoner personer inom EU.

Utsedda VLOP och VLOSE måste inom fyra månader efter beslutet anpassa sina system, resurser och processer till DSA, införa lindrande åtgärder och etablera ett oberoende system för att följa lagstiftningen. Därefter måste de genomföra revisioner och den första årliga riskbedömningen och rapportera till Europeiska kommissionen.

DSA förväntas träda i full kraft den 17 februari 2024, och efterlevnaden av DSA för företag som inte är VLOP eller VLOSE kommer att övervakas av Europeiska kommissionen och medlemsstaternas myndigheter.

Medlemsstaterna ska inrätta en “Digital Services Coordinator” med oberoende myndighet för att övervaka efterlevnaden av DSA senast den 17 februari 2024, och har tilldelats befogenheter att verkställa sanktioner, inklusive böter, för de som inte följer reglerna.

Å andra sidan kommer Europeiska kommissionen att direkt övervaka VLOP och VLOSE och har befogenhet att verkställa straff.

Böterna för att bryta mot lagen kan uppgå till 6 % av företagets globala årsomsättning från föregående år.

Denna lagstiftning är en del av EU:s digitala strategi, känd som “A Europe fit for the Digital Age”, och syftar till att ta itu med nya utmaningar och risker i den digitala eran.

DMA (Digital Markets Act)

EU:s “Digital Markets Act” (DMA), som börjar tillämpas i stor utsträckning från och med den 2 maj 2023, syftar till att skapa en rättvis och konkurrenskraftig digital marknad och förhindra att vissa digitala plattformar dominerar marknaden.

Regleringen riktar sig mot utvalda gatekeepers, vilka har definierade skyldigheter. Om dessa skyldigheter överträds kan sanktioner i form av böter upp till 10 % av den globala omsättningen utfärdas.

En “gatekeeper” är en av de största digitala plattformarna som opererar inom Europeiska unionen och som har en varaktig position på marknaden inom vissa digitala sektorer. De kallas så på grund av att de uppfyller vissa kriterier relaterade till antalet användare, omsättning och kapital.

Europeiska kommissionen ska senast den 6 september 2023 utse de senaste gatekeepers, och dessa företag kommer att få en anpassningsperiod på upp till sex månader (fram till mars 2024) för att följa de nya skyldigheterna enligt Digital Markets Act. De företag som utsetts till gatekeepers är Alphabet, Amazon, Apple, ByteDance, Meta och Microsoft, och totalt 22 av deras huvudsakliga plattformar och tjänster har blivit föremål för lagen.

Denna lagstiftning syftar till att förhindra att stora digitala plattformar missbrukar sin marknadsmakt och att göra det enklare för nya aktörer att komma in på marknaden.

GDPR (General Data Protection Regulation)

GDPR (General Data Protection Regulation) är en ny “dataskyddslag” som trädde i kraft den 25 maj 2018 inom EU.

Det är ett rättsligt ramverk som ställer upp riktlinjer för insamling och behandling av personuppgifter från individer både inom och utanför EU. Denna förordning ålägger organisationer som antingen riktar sig till EU eller samlar in data relaterad till personer inom EU.

Relaterad artikel: Förklaring av nyckelpunkterna för att skapa en GDPR-anpassad integritetspolicy[ja]

Förväntade trender inom AI-reglering framöver

I det följande kommer vi att förklara de AI-system som företag bör hålla ett extra öga på, utifrån den tidigare nämnda riskklassificeringstabellen för AI.

Förbud mot användning av sociala kreditsystem

En av de AI-system som omfattas av “förbjudna risker” enligt EU:s regleringslagstiftning är sociala kreditsystem (social credit score). Enligt ändringsförslaget kommer detta att förbjudas helt, inte bara för offentliga myndigheter.

Med “social credit score” avses ett system som poängsätter enskilda medborgares sociala status och beteende.

I Kina fungerar det som ett verktyg för övervakningssamhället och som en del av nationell politik har man byggt upp ett socialt kreditsystem inom fyra områden: offentlig service, handel, samhälle och rättsväsende.

Specifika restriktioner inkluderar förbud mot att använda flygplan och höghastighetståg, uteslutning från privatskolor, förbud mot att etablera organisationer som icke-statliga organisationer (NPO), uteslutning från prestigefyllda jobb, uteslutning från hotell, sänkt internethastighet, offentliggörande av personlig information på webbplatser och i media. Å andra sidan, om poängen är hög, kan olika “förmåner” erhållas.

Men ett sådant system väcker oro för individens privatliv och frihet, och dess användning är föremål för pågående debatt.

Förbudet mot användning av sociala kreditsystem inom EU syftar till att säkerställa att användningen av AI-teknik är rättvis och transparent.

Förstärkta begränsningar för generativ AI

En av de AI-system som faller under kategorin “begränsad risk” enligt EU:s regleringslagar är generativ AI.

Generativ AI (Generative AI) är en typ av AI som skapar nytt innehåll eller lösningar baserat på träningsdata och har fått mycket uppmärksamhet på senare år, exempelvis Chat GPT. Det finns dock en rad utmaningar med generativ AI, vilket gör att regleringar anses nödvändiga.

I lagstiftningen kring AI-regleringar har man, med anledning av den snabba utvecklingen och spridningen av generativ AI, lagt till nya synsätt och krav som rör generativ AI.

Specifikt innebär detta att leverantörer av generativ AI, inklusive företag som OpenAI, blir skyldiga att avslöja upphovsrättsdata som använts för att träna deras LLM (Large Language Models – storskaliga språkmodeller).

Syftet med detta är att stärka regleringen för att säkerställa transparens och riskhantering i användningen av generativ AI.

I EU:s lagstiftning har principen om “transparens” traditionellt sett varit av stor vikt, vilket inkluderar GDPR (General Data Protection Regulation – Allmänna dataskyddsförordningen). Skyddsåtgärder och skyldigheten att i förväg informera berörda parter om AI:s användningsområden och syften har blivit en internationell “guldstandard”.

Användningsbegränsningar för känsligenkännande AI

AI-system som kan känna igen känslor och som faller under kategorin “begränsad risk” enligt EU:s regelverk, omfattas också av transparenskrav. Dessa system är föremål för begränsade skyldigheter, såsom skyldigheten att i förväg informera om användningen av AI.

Känsligenkännande AI avser artificiell intelligens som kan tolka förändringar i mänskliga känslor.

Det finns specifikt fyra typer av sådan AI, som genom mikrofoner, kameror och sensorer analyserar känslor som glädje, ilska, sorg och intressenivåer:

• Textbaserad känsligenkännande AI: Analyserar känslor baserat på text som människor har skrivit eller tal som har omvandlats till text.
• Ljudbaserad känsligenkännande AI: Analyserar känslor från den mänskliga rösten.
• Ansiktsbaserad känsligenkännande AI: Läser av känslor från ansiktsuttryck genom kameror.
• Biometrisk känsligenkännande AI: Känner igen känslor baserat på biometriska data såsom hjärnvågor och puls.

Dessa tekniker används i olika sammanhang som inom serviceyrken, callcenter och försäljning. Med ytterligare teknisk utveckling förväntas även användningen inom medicinska områden öka.

Det är dock nödvändigt att skydda privatlivet i samband med biometrisk information och insamlade personuppgifter, samt att utveckla lagstiftning som hanterar detta.

Sammanfattning: Nuvarande status och framtidsutsikter för AI-regleringslagen

Vi har nu gått igenom den nuvarande statusen och framtidsutsikterna för EU:s “AI-regleringslag”, samt dess påverkan på japanska företag. Det är troligt att EU:s världsledande “AI-regleringslag” kommer att bli en internationell “guldstandard”.

För japanska företag som planerar att etablera sig på EU-marknaden blir det allt viktigare att noggrant följa utvecklingen av denna AI-regleringslag. Vi rekommenderar att ni konsulterar en advokat som är kunnig inom internationell juridik och AI-teknologi för att navigera i EU:s AI-regleringar.

Information om åtgärder från vår byrå

Monoliths juristbyrå har omfattande erfarenhet inom IT, särskilt internet och juridik. AI-verksamhet medför många juridiska risker och det är avgörande att ha stöd från advokater som är experter på juridiska frågor relaterade till AI. Vår byrå erbjuder avancerat juridiskt stöd för AI-verksamheter, inklusive ChatGPT, genom ett team av AI-kunniga advokater och ingenjörer. Vi tillhandahåller tjänster som utformning av avtal, granskning av affärsmodellers laglighet, skydd av immateriella rättigheter och hantering av integritetsfrågor. Mer information finns i artikeln nedan.

Monoliths juristbyrås expertisområden: AI-juridik (inklusive ChatGPT och liknande)[ja]