Bruk av kunstig intelligens i virksomheter

AI-Forordningen

Hva er AI-forordningen

EUs kommende «Artificial Intelligence Act», også kalt «AI Act» (heretter «AI-forordningen») er EUs forsøk på et spesifikt rettslig rammeverk for å regulere visse aspekter av AI.

Forordningen tar sikte på å regulere bruk av AI-systemer på en sektoruavhengig og mest mulig teknologinøytral måte. Målet er å sikre at utviklingen og bruken av AI-systemer er ansvarlig og i tråd med grunnleggende rettigheter, samt å sikre fri flyt av AI-baserte varer og tjenester innen EU. Men den er først og fremst en offentligrettslig regulering, og regulerer i liten grad mer privatrettslige forhold knyttet til AI.

Foreløpig eksisterer kun forskjellige utkast til tekst, men EU har en ambisjon om at forordningen skal vedtas innen utgangen av 2023. Den vil tre i kraft i EU to år vedtakelsen, og Norge vil formodentlig ha som ambisjon å gjennomføre forordningen etter samme tidslinje som EU.

Definisjon av AI

Det finnes ingen generelt akseptert definisjon av AI, men Europaparlamentets seneste forslag definerer et AI-system som:

et maskinbasert system som er designet for å fungere med varierende nivåer av autonomi og som, for eksplisitte eller implisitte formål, kan frembringe utdata slik som prediksjoner, anbefalinger eller beslutninger som påvirker fysiske eller virtuelle miljøer.

Definisjonen er ment å omfatte en rekke ulike typer AI-systemer og teknologier, både nå og i fremtiden, og er også forutsatt harmonisert med internasjonalt anerkjente definisjoner av AI.

Risikobasert tilnærming

AI-forordningen legger opp til en risikobasert tilnærming til regulering av AI, der man opererer med ulike risikokategorier for AI, og hvor høyere risikokategori betyr strengere regulering. AI-systemer som strider med grunnleggende verdier anses å innebære uakseptabel risiko, og vil generelt bli forbudt. Systemer med høy risiko vil blant annet underlegges krav om samsvarsvurdering og registrering.

De fleste AI-systemer for bruk i ordinære virksomheter antas å ville klassifiseres med lav risiko etter AI-forordningen, og vil dermed medføre begrensede plikter etter forordningen. Men det er verdt å merke seg at AI-forordningen først og fremst måler risiko opp mot grunnleggende rettigheter (menneskerettigheter), og ikke kommersiell, teknisk eller juridisk risiko.

Hvem påvirkes av AI-forordningen?

AI-forordningen medfører først og fremst plikter for tilbydere av AI-systemer, og den har størst fokus på AI-systemer som innebærer høy risiko for grunnleggende rettigheter. Tilbydere av slike AI-systemer vil blant annet bli pålagt plikt til samsvarsvurdering og registrering. Det stilles dessuten særskilte krav til grunnmodeller og generelle AI-systemer, inkludert generativ AI.

Virksomheter som bare benytter et AI-systemer i egen virksomhet, uten selv å være tilbydere, pålegges kun begrensede direkte plikter under AI-forordningen, og da også begrenset til AI-systemer med høy risiko. Bruk av høyrisiko AI vil blant annet stille krav til risikovurderinger og menneskelig tilsyn, og dette vil kreve tilstrekkelige ressurser og kompetanse.

Betydning

AI-forordningens fokus på tilbydere og høyrisikosystemer gjør at den antakeligvis vil ha mindre direkte betydning for vanlige virksomheter enn eksempelvis innføringen av GDPR hadde.

Man må imidlertid være klar over hvilken risikoklassifisering de AI-systemer man tilbyr eller benytter har eller vil få etter forordningen. Virksomheter innen kritiske samfunnsområder, slik som transport, helse, energi, finans, telekommunikasjon mv, må også være oppmerksom på at bruk av AI innen deres områder ofte vil klassifiseres med høy risiko.

Det legges opp til et styringsregime med tilsynsmyndigheter og markedsovervåkning både på europeisk og nasjonalt nivå, samt sertifiseringsmekanismer mv. Overtredelser av AI-forordningen kan straffes med bøter inntil 7% av årlig omsetning på verdensbasis, eller EUR 40 millioner dersom dette er høyere. Erfaringene med GDPR tyder også på at sanksjonsregimet vil benyttes til det fulle overfor virksomheter som ikke følger reglene.

Annet regelverk

Generelt

AI-forordningen begrenser ikke plikter som følger av annet regelverk, og regulerer eksempelvis ikke privatrettslige forhold eller forhold som er underlagt annen særlovgivning. Samtidig vil nok etterlevelse av AI-forordningen etter omstendighetene også kunne få indirekte betydning for vurderinger etter annet regelverk der dette er relevant.

Det er også verdt å merke seg at risikoklassifiseringen som AI-forordningen bygger på ikke har noen nødvendig sammenheng med hvilken kommersiell og juridisk risiko bruk av AI kan innebære for en virksomhet etter annet regelverk. Et AI-system med lav risikoklassifikasjon etter AI-forordningen kan likevel innebære høy risiko eller stille store krav etter andre rettsregler.

Spesiallovgivning

Spesiallovgivningen inneholder flere regler som kan ha betydning for bruk av AI. Foruten det sektorspesifikke regelverk som kan gjelder for enkelte typer virksomheter, typisk innenfor samfunnsviktige sektorer, må sektoruavhengig regelverk knyttet til blant annet personvern og digital sikkerhet antas særlig aktuelt ved bruk av AI-systemer. Eksempelvis vil bruk av -systemer til behandling av personopplysninger i mange tilfeller medføre krav om personvernkonsekvensanalyse (såkalt DPIA), og bruk av AI-systemer vil ha flere grensesnitt mot digital sikkerhet både med tanke på angrepsflater og forsvar.

Erstatningsansvar

Bruk av AI kan også medføre ansvar etter alminnelige erstatningsrettslige prinsipper. Noen må kunne holdes ansvarlig for skade forårsaket av AI, men hvordan risikoer og ansvar i denne sammenheng skal plasseres er ikke klart.

I tilfeller der det eksisterer en kontraktrelasjon mellom den potensielle skadevolder og den potensielle skadelidte vil erstatningsansvaret ofte være regulert i kontrakten.

Utenfor kontrakt kan det for det første tenkes en form for produktansvar for den som tilvirkere eller tilbyr et AI-system. EU har blant annet foreslått å utvide produktansvarsreglene slik at de vil omfatte AI-systemer. Men det kan også tenkes at en virksomhet som benytter AI vil kunne holdes erstatningsrettslig ansvarlig etter alminnelige erstatningsrettslige prinsipper, basert på skyldansvar eller ulovfestet objektivt ansvar.

EU har også foreslått et AI-ansvarsdirektiv som vil gjøre det enklere for skadelidte å fremme erstatningskrav for skade relatert til bruk av AI-systemer.

Immaterialrettslige utfordringer

Bruk av AI reiser flere immaterialrettslige utfordringer, både med tanke på bruk av treningsdata til maskinlæringsformål, informasjonssikkerhet, og beskyttelse av systemets utdata. Eksempelvis kan bruk av data for maskinlæringsformål potensielt innebære brudd på immaterielle rettigheter, personvern eller informasjonssikkerhet overfor tredjepart. Pr i dag er nok også det immaterialrettslige utgangspunktet at det som skapes av et AI-system har begrenset (om noen) beskyttelse, selv om tilsvarende resultat skapt av mennesker vært beskyttet.

Virksomheter som benytter data til maskinlæringsformål, eller som benytter AI i produksjon av tekst, bilder, video, musikk eller tjenester, bør være oppmerksom på dette og søke å regulere risiko knyttet til dette gjennom kontraktbestemmelser og andre tiltak.

Anbefalinger ved bruk av AI

Det er generelt sett mange muligheter, og få absolutte rettslige begrensninger, ved bruk av AI i ordinære virksomheter. Samtidig er det fra et virksomhetsstyringsperspektiv viktig å være oppmerksom på de risikoer som AI kan innebære, å ikke ta uønsket eller uinformert risiko knyttet til AI, samt å gjøre tiltak der dette er påkrevet eller hensiktsmessig. Rettslige handlingsrom og risiko vil også kunne ha direkte sammenheng med hvilke vurderinger man gjør og hvilke løsninger man velger.

Virksomheter bør kartlegge egen bruk av AI, både nå og i henhold til fremtidige planer, samt utarbeide en strategi og retningslinjer for bruk av AI.

Det er selvsagt ikke noe mål i seg selv å begrense bruk av AI i denne sammenheng, eller å lage unødig omfattende styrings- og ledelsessystemer for bruk av AI. Men man bør foreta en risikoanalyse av hvilke plikter, risikoer og andre konsekvenser bruken av AI medfører for virksomheten, både regulatorisk og kommersielt.

Man bør videre se på hvilke tekniske, organisatoriske og kontraktsrettslige tiltak som virksomheten kan og bør gjøre for å håndtere risiko forbundet med bruk av AI. Her kan det nok også være synergier i å samordne tilnærmingen til AI med virksomhetens tiltak knyttet til personvern og informasjonssikkerhet. Retningslinjene kan gjerne også omfatte ansattes bruk av fritt tilgjengelige AI-tjenester slik som ChatGTP.

Risikoene og særegenskapene ved AI-systemer må også hensyntas både i virksomhetens strategier for bruk av AI, og i de kontrakter som virksomheten inngår. Tradisjonelle kontraktsformater og -mekanismer vil ikke nødvendigvis være egnet for å regulere AI-systemer, og som kunde bør man blant annet vurdere å stille krav til leverandøren som gjør at man kan oppfylle de krav man selv pålegges ved bruk av AI.

Bruk av Ai kan også reise etiske problemstillinger, og AI-forordningen anbefaler at også AI-systemer med minimal risiko er underlagt etiske retningslinjer.

Den daglige forvaltningen av AI bør normalt ikke ligge til virksomhetens styre, men styrer i selskaper der bruk av AI er aktuelt bør ha dette på sin dagsorden både med hensyn til strategi, konkurransekraft og risikohåndtering.