AI Act – rätt sätt att reglera AI?

Artificiell intelligens (AI) spås förändra många delar av samhället i grunden. Redan idag används AI för att ställa medicinska diagnoser, minska energianvändningen, ta fram nya produkter och tjänster, effektivisera industriell produktion och förbättra kundservicen.

AI kan också användas till att förbättra produkters säkerhet och till att säkerställa skyddet för grundläggande rättigheter. Det kan handla om att förhindra olyckor i trafiken eller om att upptäcka och motverka cyberangrepp. Rätt utformade och använda AI-lösningar kan främja en demokratisk utveckling och t.ex. förhindra kränkningar av privatlivet som sker på sociala medier.

Samtidigt är AI-tekniken i sig förenad med risker. Om AI-system som används i självkörande fordon eller sjukvården fallerar kan det leda till sak- eller personskador. Om beslut fattas av bristfälliga AI-system kan individer utsättas för diskriminering eller felaktig hantering av personuppgifter.

I april 2021 presenterade Europeiska kommissionen ett förslag till en ny förordning om artificiell intelligens (ofta omtalad som ”AI Act”), som syftar till att skapa ett enhetligt europeiskt regelverk för att motverka denna typ av risker. Förslaget är mycket omfattande, men i korthet innebär det att ett antal uppräknade AI-tillämpningar, t.ex. vissa former av realtidövervakning med hjälp av ansiktsigenkänning, förbjuds helt. Andra tillämpningar, t.ex. AI-system för rekrytering eller bedömning av studenter, klassificeras som ”högrisk-AI” och blir föremål för en omfattande och krävande reglering av ett slag som känns igen från dagens produktsäkerhetsreglering. Exempelvis ställs krav på ett riskhanteringssystem för AI-systemets hela livscykel och på hur data som används för maskininlärning väljs ut och hanteras. För vissa AI-användningar införs ett krav på transparens. Det gäller bl.a. system för känsloigenkänning och användningen av s.k. deep fakes. Förslaget innehåller därutöver bestämmelser om kraftfulla sanktioner och en särskild tillsynsordning.

Förslaget genomgår nu en analys och bearbetning i EU:s lagstiftningsmaskineri. Jag ska här nöja mig med några kommentarer som rör den övergripande regleringsansatsen.

AI är idag inte oreglerat. Produkter som innehåller AI-teknik omfattas av generella och sektorsspecifika produktsäkerhetsregler, allmänna skadeståndsregler på nationell nivå och produktansvarsregler inom EU-rätten. Det finns därutöver regler som syftar till att skydda grundläggande rättigheter, t.ex. EU-regler om diskriminering och behandling av personuppgifter, som är relevanta vid utveckling och användning av AI. Det råder ingen tvekan om att dessa regler kan behöva uppdateras och kompletteras mot bakgrund av AI:s särskilda egenskaper, t.ex. systemens öppna och självlärande funktion och deras ”black-box”-karaktär.

Men frågan är om det är lämplig med en generellt tillämplig reglering för en så bred företeelser som AI. Hur hade det gått om vi på 1960-talet skapat en samlad reglering för att hantera alla typer av risker förknippade med datorprogram eller om vi på 1990-talet tagit fram en samlad reglering för att motverka riskerna med internet?

Till saken hör att AI Act inte skulle ersätta befintliga regleringar utan lägga sig som ett extra lager ovanpå dessa. På EU-nivå pågår för närvarande en översyn av bl.a. produktsäkerhetsregler och produktansvarsregler i ljuset av AI-utvecklingen. När det gäller skyddet för grundläggande rättigheter tycks dataskyddsreglerna och diskrimineringsreglerna kunna hantera många av riskerna, även om det kan krävas tydligare vägledning från tillsynsmyndigheterna och i vissa fall mindre ändringar i lagstiftningen. Enligt min mening är det lämpligare att först och främst genomföra denna översyn av det befintliga regelverket och bl.a. satsa på en modernisering av den sektorspecifika produktsäkerhetsregleringen. Först om detta anses otillräckligt finns de anledning att införa en generell reglering av AI-risker av alla olika slag.

När det gäller de rena förbuden mot vissa AI-system (t.ex. system för manipulation och massövervakning) och när det gäller de transparenskrav som föreslås menar jag vidare att kopplingen till AI i praktiken är svag. Det som föreslås regleras är snarare vissa beteende som inte anses önskvärda i samhället, alldeles oavsett om de möjliggörs med AI-system eller på annat sätt. I vissa fall är dessa beteenden redan i praktiken förbjudna, t.ex. för att den aktuella personuppgiftsbehandlingen strider mot dataskyddslagstiftning, men under alla förhållande kan en eventuell ny reglering ske på ett annat sätt än genom en samlad reglering som tar sikte på AI-system.

Den mycket vida definitionen av AI-system som tillämpas i förslaget gör att de flesta typer av moderna datorprogram kommer att omfattas av förordningen. De negativa konsekvenserna av den breda träffbilden hanteras i viss mån genom att den mest krävande materiella reglering begränsas till vissa uppräknade former av högrisk-AI. Men att på detta sätt svepa in en mängd företeelser och sedan materiellt reglera bara vissa är problematiskt. Dels ges EU-kommissionen, som enligt förslaget får rätt att ändra listan över högrisk-AI, stor makt över AI-utvecklingen, dels kan det uppstå en EU-rättslig spärreffekt mot ny nationell reglering som omfattas av förordningens grundläggande tillämpningsområde, men inte dess huvudsakliga materiella reglering. Den föreslagna regleringsansatsen kan därmed leda till såväl över- som underreglering av AI-system.

En annan potentiell svaghet i förslaget är dessa starka inriktning på tillhandahållare av AI-system samtidigt som den materiella regleringen starkt knyter an till ett AI-systems användning för vissa ändamål. Detta kommer att innebära en utmaning i förhållande till standardsystem för t.ex. maskininlärning som tas i bruk av en användare för ett visst ändamål. Förslaget innehåller visserligen även krav på användare av AI-system, men regleringens syfte kan knappast uppnås om regleringen av tillhandahållare i praktiken inte kan tillämpas. Samtidigt är det många gånger orimligt att se tillhandahållare av standardsystem som tillhandahållare av högrisk-AI-system trots att dessa saknar närmare kännedom om den tilltänkta användningen. 

Avslutningsvis finns det anledning att påminna om vad som sagts i inledning: AI har också stor potential att motverka risker. Ett alltför ensidigt fokus på de risker som AI-system onekligen kan föra med sig kan mot denna bakgrund vara kontraproduktivt. Framtida regleringar som syftar till att motverka risker kan också innehålla krav på att välfungerande AI-lösningar faktiskt används.

(Publicerad i Lov&Data nr. 147, September 2021, s. 2-3)