Svenska English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_sv/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > EU:s AI-regleringslag och nödvändiga åtgärder för japanska företag

EU:s AI-regleringslag och nödvändiga åtgärder för japanska företag

IT

EU:s AI-regleringslag och nödvändiga åtgärder för japanska företag

Den 12 juli 2024 (Reiwa 6) offentliggjordes “AI-regleringslagen (EU AI Act)” i EU, och lagen trädde i kraft den 1 augusti samma år.
Denna lag reglerar användningen och tillhandahållandet av AI-system inom EU och kommer från och med 2025 att kräva vissa åtgärder även från japanska företag.

Specifikt kan japanska företag, likt driftsättare av e-handelswebbplatser i Japan som måste följa EU:s “Allmänna dataskyddsförordning (GDPR)”, behöva underkasta sig EU AI-regleringslagens tillämpning när de tillhandahåller AI-relaterade produkter eller tjänster till kunder inom EU.

Här förklarar vi hur berörda företag bör hantera de krav som ställs på AI-systemens riskklassificering och konformitetsbedömning, i enlighet med införandet av denna lag.

Förutsättning: Skillnaden mellan “Förordningar” och “Direktiv” i EU

Innan vi går in på detaljerna i AI-regleringslagen är det nödvändigt att förstå skillnaden mellan “förordningar” och “direktiv” inom EU-rätten som en förutsättning.

Först och främst är “förordningar” lagstiftning som tillämpas direkt på medlemsstater, företag och andra inom EU. Detta innebär att de har företräde framför nationell lagstiftning i medlemsländerna och att enhetliga regler tillämpas över hela EU. Således, när en förordning träder i kraft, kommer samma regleringsinnehåll att tillämpas i alla EU-medlemsstater.

Å andra sidan är “direktiv” lagstiftning som syftar till att harmonisera och koordinera regleringsinnehållet mellan EU-medlemsstaterna. Direktiv tillämpas dock inte direkt på medlemsstaterna, utan varje land måste omvandla innehållet i direktivet till nationell lagstiftning. Vanligtvis måste detta ske inom tre år efter att direktivet har publicerats i EU:s officiella tidning.

En särskild egenskap hos “direktiv” är att medlemsstaterna har en viss grad av skönsmässighet när de omvandlar direktivet till nationell lag, vilket kan leda till skillnader i lagstiftningen mellan länderna. Med andra ord måste man vara medveten om att lagstiftning baserad på “direktiv” inte är helt enhetlig inom EU, och det kan finnas vissa skillnader mellan länderna.

Med denna distinktion i åtanke har AI-regleringslagen antagits som en “förordning”. Det innebär att AI-regleringslagen tillämpas direkt på företag som är belägna inom EU.

Relaterad artikel: Ett måste för företag som expanderar till Europa: En översikt över EU:s lagar och rättssystem[ja]

AI-reglering och extraterritoriell tillämpning under japansk lag

Vad innebär extraterritoriell tillämpning?

“Extraterritoriell tillämpning” avser när en lag som stiftats i ett land även tillämpas på handlingar som utförs utanför det landets suveräna territorium. Bakgrunden till att extraterritoriell tillämpning erkänns är globaliseringen av ekonomin och internationaliseringen av företagsaktiviteter, med syftet att säkerställa att världens ekonomiska aktiviteter genomförs på ett rättvist och korrekt sätt.

GDPR (EU:s allmänna dataskyddsförordning) är ett exempel som har gjort konceptet allmänt erkänt. Enligt GDPR kan även företag som inte har någon bas inom EU bli föremål för dess tillämpning (extraterritoriell tillämpning) om de uppfyller följande krav:

  • De erbjuder tjänster eller varor till personer inom EU.
  • De behandlar personuppgifter i syfte att övervaka beteenden hos personer inom EU.

Till exempel, i riktlinjerna från 2020 klargjordes det att företag utanför EU som skickar anställda på tjänsteresa till EU och behandlar personuppgifter relaterade till denna period är undantagna från tillämpningen, men detta var initialt ett fall där extraterritoriell tillämpning diskuterades.

Extraterritoriell tillämpning av EU:s AI-reglering

I EU:s AI-reglering erkänns även extraterritoriell tillämpning för företag som är belägna utanför EU. Följande företag och aktiviteter omfattas:

  • Leverantörer (Providers): De som utvecklar AI-system eller GPAI-modeller, de som låter utveckla och introducerar dem på marknaden, eller de som startar drift av AI-system under eget namn eller varumärke.
  • Användare (Users): De som använder AI-system under egen auktoritet (dock undantas personlig och icke-yrkesmässig användning av AI-system).
  • Importörer (Importers): Importörer som är etablerade inom EU och som introducerar AI-system på EU-marknaden, vilka är märkta med namn eller varumärke från en fysisk eller juridisk person etablerad utanför EU.
  • Distributörer (Distributers): Fysiska eller juridiska personer som tillhör leveranskedjan och som tillhandahåller AI-system på EU:s inre marknad, utöver leverantörer och importörer.

Som framgår ovan kan även företag som är belägna utanför EU bli direkt föremål för EU:s AI-reglering om de erbjuder, driver, importerar eller använder AI-system eller GPAI-modeller inom EU.

Kännetecken hos EU:s AI-reglering: En riskbaserad strategi

Kännetecken hos EU:s AI-reglering: En riskbaserad strategi

Vad är en riskbaserad strategi?

En av de mest framträdande egenskaperna hos EU:s AI-reglering är “reglering baserad på riskens natur och omfattning” (en riskbaserad strategi).

En riskbaserad strategi innebär att man justerar regleringens stränghet baserat på riskens innehåll och grad. Med denna strategi bestämmer man strängheten i regleringen för ett AI-system utifrån hur allvarliga risker systemet potentiellt kan orsaka.

Specifikt innebär detta att AI-system med högre risker underkastas strängare regleringar, medan system med lägre risker omfattas av mer flexibla regleringar. Detta tillåter att man undviker överreglering av system med låg risk och samtidigt säkerställer lämplig övervakning och hantering av system med hög risk.

AI-system med oacceptabla risker enligt japansk lag

Först och främst betraktas AI-system som innebär oacceptabla risker som ett hot mot människor och är i princip förbjudna.

Till exempel omfattar detta AI-system som manipulerar kognition eller beteende hos specifika sårbara grupper, såsom röstaktiverade leksaker som uppmuntrar farligt beteende hos barn. Social scoring som kategoriserar människor baserat på deras beteende, socioekonomisk status eller personliga egenskaper är också förbjudet. Dessutom är principiellt förbjudna system som använder ansiktsigenkänningsteknik för att jämföra mänskliga biometriska data med en referensdatabas för att identifiera individer på distans, så kallade “real-tids och fjärrbiometriska autentiseringssystem”.

Det finns dock undantag där användningen av dessa system är tillåten. Specifikt är användningen av real-tids fjärrbiometriska autentiseringssystem tillåten endast i begränsade fall av allvarliga brott. Å andra sidan är efterföljande fjärrbiometriska autentiseringssystem tillåtna för att åtala allvarliga brott, förutsatt att de har godkänts av en domstol.

Ytterligare undantag där användning kan tillåtas inkluderar sökandet efter försvunna barn eller potentiella brottsoffer, att förhindra konkreta och omedelbara hot mot människors liv och säkerhet eller terrorattacker, samt att upptäcka och lokalisera gärningsmän eller misstänkta för allvarliga brott. Dessa undantag är föremål för strikta begränsningar som i princip kräver domstolsförhandsbeslut, vilket kräver försiktig hantering av användningen av AI-system.

Högrisk AI-system under japansk lagstiftning

Nästa kategori av AI-system som klassificeras som högrisk är de som potentiellt kan ha negativa effekter på säkerhet eller grundläggande mänskliga rättigheter. Dessa system är tillåtna för användning förutsatt att de uppfyller vissa krav och skyldigheter (konformitetsbedömning).

Högrisk AI-system delas in i två huvudkategorier. För det första, AI-system som används i produkter som omfattas av EU:s produktsäkerhetslagstiftning, inklusive exempelvis leksaker, flyg, bilar, medicinsk utrustning och hissar. För det andra, AI-system som klassificeras inom specifika områden där registrering i EU:s databaser är obligatorisk. Dessa områden inkluderar hantering och drift av kritisk infrastruktur, utbildning och yrkesutbildning, anställning och arbetskraftshantering, tillgång till väsentliga offentliga tjänster och förmåner, brottsbekämpning, invandring och asyl, gränskontroll samt stöd för tolkning och tillämpning av lagar.

Högrisk AI-system kräver utvärdering före introduktion på marknaden och genom hela livscykeln. Dessutom erkänns rätten att framföra klagomål om AI-system till de utpekade nationella myndigheterna.

Generellt kan man säga att maskiner och fordon som har människors liv och fysiska säkerhet som förutsättning är mål för högrisk AI. Till exempel kan AI för självkörande fordon vara relevant här, så när japanska företag utvecklar AI för självkörande fordon för internationell expansion måste de noggrant överväga om de uppfyller kraven för högrisk AI och agera därefter.

AI-system med begränsad risk

AI-system med begränsad risk innebär potentiella risker såsom transparensrisker och risker för identitetskapning, manipulation och bedrägeri. Specifikt inkluderar detta chatbotar, deepfakes och generativa AI-system, vilka enligt Europaparlamentets synpunkt utgör majoriteten av de AI-system som används idag. Exempel på detta är automatiska översättningssystem, spelkonsoler, robotar som utför repetitiva tillverkningsprocesser och även AI-system som “Eureka-maskinen”.

När det gäller generativ AI klassificeras de inte som högrisk, men krav på transparens och överensstämmelse med EU:s upphovsrättslagstiftning är nödvändiga. Specifika åtgärder som krävs inkluderar:

  • Tydligt avslöja att innehållet har genererats av AI
  • Designa modeller för att undvika att skapa olagligt innehåll
  • Offentliggöra en översikt av upphovsrättsskyddad data som använts för att träna AI:n

Dessutom måste avancerade och inflytelserika generella AI-modeller, som “GPT-4”, genomgå noggranna utvärderingar på grund av deras potential att medföra systemiska risker. Vid allvarliga incidenter krävs det även att rapportering sker till Europeiska kommissionen. Vidare måste innehåll som genererats eller modifierats av AI (bilder, ljudfiler, videofiler, deepfakes etc.) tydligt märkas som skapat av AI, så att användare kan identifiera sådant innehåll.

AI-system med minimal risk under japansk lagstiftning

Slutligen, när det gäller AI-system med minimal risk, finns det inga särskilda regleringar i Japan. Exempel på sådana system inkluderar spamfilter och rekommendationssystem. Inom denna kategori uppmuntras utvecklingen och efterlevnaden av beteendekoder snarare än reglering.

Krav och skyldigheter för högrisk AI-system under japansk lag

Krav och skyldigheter för högrisk AI-system under japansk lag

Skyldigheter för leverantörer, användare, importörer och återförsäljare

Med utgångspunkt i ovanstående distinktioner är särskilt högrisk AI-system föremål för strikt reglering på grund av riskens allvar. Leverantörer och användare har specifika skyldigheter som krävs av dem.

Först och främst krävs det att leverantörer, användare, importörer och återförsäljare upprättar ett riskhanteringssystem (artikel 9). Detta innebär att man måste identifiera de risker som är inneboende i högrisk AI-system, skapa och implementera ett system för att hantera dessa på ett lämpligt sätt och dessutom dokumentera och upprätthålla detta system. När det gäller datastyrning (artikel 10) krävs användning av datamängder för träning, validering och testning som uppfyller kvalitetsstandarder. Detta är nödvändigt eftersom kvaliteten och tillförlitligheten hos data måste hanteras strikt även under utvecklingsfasen av AI-systemet.

Dessutom är det obligatoriskt att skapa teknisk dokumentation (artikel 11). Denna tekniska dokumentation ska innehålla information som är nödvändig för att bevisa att högrisk AI-systemet följer regleringskraven och ska kunna tillhandahållas till behöriga myndigheter i medlemsländerna eller tredjepartscertifieringsorgan. Det är också nödvändigt att designa och utveckla en loggfunktion som automatiskt registrerar händelser medan AI-systemet är i drift (artikel 12). Högrisk AI-system måste dessutom registreras i en databas under EU:s kontroll innan de lanseras på marknaden, och leverantörer har ansvar för att etablera och dokumentera ett kvalitetskontrollsystem och upprätthålla det.

Leverantörens skyldigheter

Leverantören är skyldig att bevara teknisk dokumentation, dokument relaterade till kvalitetskontrollsystemet, godkännanden eller beslut från tredjepartscertifieringsorgan och andra relevanta dokument i 10 år efter att produkten har lanserats på marknaden eller börjat användas. På detta sätt har leverantören ansvar för att upprätthålla kvaliteten och säkerheten hos AI-systemet över tid och för att säkerställa transparens.

Användarens skyldigheter

Å andra sidan finns det specifika skyldigheter för användare som är associerade med användningen av högrisk AI-system. Användaren måste bevara loggar som automatiskt genereras av högrisk AI-systemet under en lämplig period i förhållande till det avsedda syftet med AI-systemet, såvida inte EU-lagstiftningen eller medlemsstaternas lagstiftning föreskriver något annat. Specifikt krävs det att loggarna bevaras i minst sex månader.

Dessutom, när högrisk AI-system tas i bruk eller används på arbetsplatsen, är användaren, som är arbetsgivare, skyldig att i förväg informera arbetstagarrepresentanter och de anställda som påverkas om att systemet kommer att användas. Detta är fastställt ur ett perspektiv av att skydda arbetstagarnas rättigheter och säkerställa transparens.

På detta sätt ställs strikta krav och skyldigheter på både leverantörer och användare av högrisk AI-system. Särskilt när det gäller hantering av avancerad AI-teknik som medicinsk utrustning eller autonoma körsystem, kan det finnas fall där konformitetsbedömningar och granskning av tredjepartscertifieringsorgan krävs, med hänsyn till överensstämmelse med befintliga regelverk, vilket innebär att företag måste agera försiktigt och planera noggrant.

Stegvis införande av Japans AI-regleringslag

Stegvis införande av Japans AI-regleringslag

EU:s AI-regleringslag införs stegvis från offentliggörandet till tillämpningen, vilket kräver att företag förbereder och anpassar sig efter varje steg.

Den 12 juli 2024 (Reiwa 6) offentliggjordes Japans AI-regleringslag i statsbladet, och lagen trädde i kraft den 1 augusti samma år. Vid detta skede krävs det att företag först bekräftar och överväger lagens innehåll.

Den 2 februari 2025 (Reiwa 7) kommer bestämmelserna om “Allmänna principer” och “AI-system med oacceptabla risker” att tillämpas. Om ett företag hanterar AI-system med oacceptabla risker måste de omedelbart upphöra med detta.

Därefter, den 2 maj 2025 (Reiwa 7), publiceras riktlinjer för leverantörer av generella AI-modeller (GPAI). Företag måste agera i enlighet med dessa riktlinjer.

Senare, den 2 augusti 2025 (Reiwa 7), tillämpas bestämmelserna om “GPAI-modeller” och “Sanktioner”, och varje medlemsland kommer att utse en tillsynsmyndighet. Vid detta skede måste leverantörer av GPAI-modeller följa de relevanta reglerna.

Den 2 februari 2026 (Reiwa 8) publiceras riktlinjer för implementering av AI-system enligt AI-regleringslagen. Samtidigt blir eftermarknadsövervakning av högrisk AI-system obligatorisk, och företag måste ha en struktur för att hantera detta.

Ytterligare, den 2 augusti 2026 (Reiwa 8), tillämpas bestämmelserna om “Högrisk AI-system” som listas i Bilaga III. Vid denna tidpunkt måste medlemsländerna inrätta en AI-regleringssandbox, och efterlevnad av reglerna för berörda högrisk AI-system blir obligatorisk.

Slutligen, den 2 augusti 2027 (Reiwa 9), tillämpas bestämmelserna om “Högrisk AI-system” som listas i Bilaga I. Detta innebär att AI-system som definieras i Bilaga I också måste följa de fastställda reglerna.

Således införs Japans AI-regleringslag gradvis över flera år, och regleringen som tillämpas stegvis baseras på riskens allvarlighetsgrad. Företag måste noggrant förstå varje tillämpningstidpunkt och vidta lämpliga åtgärder för de AI-system som berörs.

Relaterad artikel: Vad är statusen och utsikterna för EU:s AI-regleringslag? Vi förklarar även effekterna på japanska företag[ja]

Vår byrås åtgärder

Monolith Advokatbyrå är en juridisk firma med omfattande erfarenhet inom IT, särskilt internet och juridik.

AI-verksamhet medför många juridiska risker och det är avgörande att ha stöd från advokater som är experter på juridiska frågor relaterade till AI. Vår byrå erbjuder avancerat juridiskt stöd för AI-verksamheter, inklusive ChatGPT, genom ett team av AI-kunniga advokater och ingenjörer. Vi tillhandahåller tjänster som utformning av kontrakt, granskning av affärsmodellers laglighet, skydd av immateriella rättigheter och hantering av integritetsfrågor. Följande artikel ger mer detaljerad information.

Monolith Advokatbyrås expertisområden: Juridik inom AI (ChatGPT etc.)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

【Snabbrapport】Antalet kända fall av obehörig åtkomst under Reiwa 5 (2023) har tredubblats på ett år

【Snabbrapport】Antalet kända fall av obehörig åtkomst under Reiwa 5 (2023) har tredubblats på ett.

IT

Vad är säkerhetsåtgärder för kryptovalutor (virtuell valuta)? En förklaring tillsammans med tre fall av läckage

Vad är säkerhetsåtgärder för kryptovalutor (virtuell valuta)? En förklaring tillsammans med tre .

IT

Handlingar som förbjuds enligt den japanska lagen mot obehörig åtkomst

Handlingar som förbjuds enligt den japanska lagen mot obehörig åtkomst

IT

Vad är förvaringstjänster? En förklaring av regleringar för kryptovalutaväxlingsföretag

Vad är förvaringstjänster? En förklaring av regleringar för kryptovalutaväxlingsföretag

IT

Drift av nätbutiker och lagar: Japanska 'Specifika elektroniska postlagen' och 'Lagen om skydd av personuppgifter

Drift av nätbutiker och lagar: Japanska 'Specifika elektroniska postlagen' och 'Lagen om skydd a.

IT

I vilken utsträckning är leverantörer ansvariga för leveranser som inkluderar OSS? En förklaring av civilrättsligt ansvar och åtgärder för varje typ av kontrakt.

I vilken utsträckning är leverantörer ansvariga för leveranser som inkluderar OSS? En förklaring.

IT

Vad är ansvaret för icke-överensstämmelse i kontrakt för system- och programvaruutveckling? En förklaring av ändringspunkterna

Vad är ansvaret för icke-överensstämmelse i kontrakt för system- och programvaruutveckling? En f.

IT

Vad är brott mot OSS-licenser? En genomgång av risker och åtgärder som företag bör känna till, baserat på verkliga exempel

Vad är brott mot OSS-licenser? En genomgång av risker och åtgärder som företag bör känna till, b.

IT

Vad är mekanismen för tvistlösning gällande begäran om domänöverföring?

Vad är mekanismen för tvistlösning gällande begäran om domänöverföring?

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Tillbaka till toppen