Navigere i landskapet av AI-lovgivning

Kunstig intelligens (AI) er i ferd med å endre bransjer og samfunn i et rasende tempo, noe som fører med seg fremskritt og utfordringer uten sidestykke. Etter hvert som AI-systemer blir stadig mer integrert i hvordan vi driver forretninger og lever dagliglivet, har behovet for robust lovgivning for å regulere utviklingen og bruken av AI blitt stadig viktigere.

De fleste lovverk tar sikte på å balansere behovet for innovasjon med beskyttelsen av grunnleggende rettigheter og offentlig sikkerhet. Denne artikkelen tar for seg dagens lovgivning om kunstig intelligens, dens konsekvenser og veien videre.

Fremveksten av AI-lovgivning

Den europeiske union (EU) har nylig innført EUs AI Act. Dette omfattende rammeverket har som mål å sikre at AI-systemer er trygge, transparente og respekterer grunnleggende rettigheter. Land som USA og Kina, som er langt fremme når det gjelder AI-teknologi, har for eksempel vært tidligere ute med lovverk for å håndtere de unike utfordringene som AI medfører. Uansett hastighet er det behov for å regulere AI-teknologilandskapet for både å fremme innovasjon og bygge tillit.

En pålitelig vei fremover

Implementering av AI-lovgivning byr på flere utfordringer. Den raske utviklingen av kunstig intelligens kan være raskere enn regelverket klarer å holde tritt med. I tillegg må man være nøye med å balansere innovasjon og regulering for å unngå å kvele den teknologiske utviklingen. Lovgivning om kunstig intelligens byr imidlertid også på betydelige muligheter. Ved å fastsette klare retningslinjer og standarder kan lovgivningen fremme innovasjon, øke tilliten i befolkningen og sikre at AI-systemer utvikles og brukes på en ansvarlig måte. Ved å prioritere sikkerhet, åpenhet og etiske hensyn kan vi dessuten utnytte det fulle potensialet i KI, samtidig som vi ivaretar enkeltpersoners og samfunnets interesser.

Komplementert av internasjonale standarder

Lovgivningsarbeidet suppleres av internasjonale standarder som ISO/IEC 42001. Denne sertifiserbare standarden stiller krav til implementering av et ledelsessystem for kunstig intelligens, og den overskrider geografiske grenser. Selv om ISO/IEC 42001 ikke er en lov i seg selv, forventes den å spille en viktig rolle i arbeidet med å fremme pålitelig AI ved å etablere beste praksis for styring av AI. Den er utformet for å sikre trygg, pålitelig og etisk utvikling, implementering og bruk av kunstig intelligens, og er nevnt i lovgivningen som et verdifullt virkemiddel for å sikre at riktige styringsprosesser kommer på plass.

De viktigste komponentene i AI-lovgivningen

Lovgivning om kunstig intelligens omfatter vanligvis flere nøkkelkomponenter:

  1. Sikkerhet og pålitelighet: Det er avgjørende å sørge for at AI-systemer fungerer trygt og pålitelig. Lovgivningen omfatter ofte krav til risikostyring, testing og validering for å forhindre skade på enkeltpersoner og samfunnet.
  2. Åpenhet og ansvarlighet: Åpenhet i beslutningsprosessene for kunstig intelligens er avgjørende for å bygge tillit. Lovgivningen pålegger AI-utviklere å gi tydelige forklaringer på hvordan systemene deres fungerer, og å etablere mekanismer for ansvarliggjøring.
  3. Etiske overveielser: Etiske prinsipper som rettferdighet, ikke-diskriminering og respekt for personvernet er en integrert del av AI-lovgivningen. Disse prinsippene styrer utviklingen og bruken av KI-systemer for å sikre at de er i tråd med samfunnets verdier.
  4. Etterlevelse og håndheving: Effektive håndhevingsmekanismer er avgjørende for å sikre at AI-lovgivningen overholdes. Tilsynsorganer har i oppgave å overvåke AI-systemer, gjennomføre revisjoner og ilegge bøter for manglende overholdelse.

Europa: EUs AI-lov

Den europeiske union (EU) har tatt et viktig skritt i retning av å regulere kunstig intelligens (AI). EUs AI Act har som mål å sikre at systemene er trygge, transparente og respekterer grunnleggende rettigheter, samtidig som de fremmer innovasjon. Den ble publisert 12. juli 2024 og trådte i kraft 1. august 2024. Bestemmelsene vil bli gradvis implementert, med forpliktelser om forbudt praksis fra 2. februar 2025 og krav til høyrisikosystemer for kunstig intelligens fra 2. august 2026.

EUs AI Act kategoriserer AI-systemer basert på risikonivå:

  • Uakseptabel, f.eks. sosial scoring, er forbudt.
  • Høyrisiko, f.eks. rekruttering eller medisinsk utstyr, er tillatt med forbehold om krav og samsvarsvurderinger.
  • "Åpenhetsrisiko", f.eks. chatbots eller "deep fakes", er tillatt med forbehold om informasjons-/transparensforpliktelser.
  • Minimal eller ingen risiko er tillatt uten begrensninger.

AI-systemer med uakseptabel risiko, for eksempel de som manipulerer menneskelig atferd eller utnytter sårbarheter, er forbudt. AI-systemer med høy risiko, som blant annet brukes i kritisk infrastruktur, utdanning og arbeidsliv, må gjennomgå strenge samsvarsvurderinger før de tas i bruk.

EUs AI Act stiller også krav til åpenhet og ansvarlighet. Utviklere av kunstig intelligens må gi tydelig informasjon om hvordan systemene deres fungerer, og sørge for at de kan revideres. Dette innebærer blant annet å føre detaljert dokumentasjon og logger for å lette tilsyn og etterlevelse. Det gjelder også selskaper som driver eller selger AI-produkter i EU. Eksporterende selskaper må sørge for at AI-systemene deres oppfyller de spesifiserte standardene og gjennomgår de nødvendige vurderingene.

AI-lovgivning i USA

Selv om USA har en litt annen tilnærming enn EU, erkjente de tidlig behovet for omfattende lovgivning for å regulere utviklingen og bruken av AI. Dette har resultert i flere lovforslag på føderalt og delstatsnivå, og i 2023 ble det lagt frem over 40 lovforslag på delstatsnivå. Lovgivningslandskapet i USA er ganske komplekst, men gjenspeiler i stor grad det økende behovet for å balansere innovasjon med sikkerhetstiltak for å beskytte enkeltpersoner og samfunnet mot risiko knyttet til KI.

Det finnes noen viktige lover og regulatoriske tiltak som former AI-landskapet i USA. Blueprint for an AI Bill of Rights, som ble lansert i oktober 2022, skisserer prinsipper for å beskytte enkeltpersoner mot de potensielle skadevirkningene av kunstig intelligens. Den fokuserer på rettigheter som personvern, beskyttelse mot algoritmisk diskriminering og sikring av åpenhet. Den omfattende Executive Order on AI, som ble undertegnet av president Joe Biden i 2023, understreket behovet for trygg, sikker og pålitelig AI. Den pålegger også føderale byråer å iverksette tiltak for å sikre at AI-systemer utvikles og brukes på en ansvarlig måte. Det finnes noen få lover som tar sikte på å fremme innovasjon på en trygg, pålitelig, etisk og transparent måte, for eksempel National AI Initiative Act of 2020 og Future of AI Innovation Act. I mai 2024 ble den banebrytende Colorado AI ACT signert, som den første i sitt slag i USA, og den omfatter en tverrsektoriell AI-styringslov som dekker offentlig sektor. Flere lovforslag er under utvikling, som det nylig foreslåtte lovforslaget SB 1047 California AI Safety Bill, som tar sikte på å regulere den kraftigste AI-modellen ytterligere.

Kinesisk lovgivning om kunstig intelligens

Kina har så langt ikke utgitt en omfattende lov om AI, men har publisert forskrifter om AI-applikasjoner. Men i motsetning til EU, der EUs AI-lov fungerer som et overordnet regelverk for alle AI-systemer, har Kina valgt en vertikal tilnærming for å regulere visse AI-tjenester.

Med et ambisiøst mål om å bli verdensledende innen utvikling og bruk av kunstig intelligens publiserte myndighetene i Beijing i 2017 "New Generation AI Development Plan", som er den første systemiske og strategiske planen på AI-området. Planen førte til en eksplosjon i industriaktivitet og politisk støtte til AI-utvikling.

Det kinesiske AI-styringslandskapet består av fem hovedkategorier:

  1. Politikk og strategier for styring Beijing har utgitt en rekke nasjonale styringsprinsipper, planer, retningslinjer eller uttalelser om AI-teknologi. Disse danner grunnlaget for lovgivningen om kunstig intelligens. For eksempel har statsrådet publisert "Opinions on strengthening the ethical governance in science and technologies", som uttrykker Beijings tanker om etiske prinsipper for AI-teknologi.
  2. Lovgivning Noen av de eksisterende lovene tar for seg visse aspekter ved utvikling, levering, distribusjon og bruk av AI-systemer, noe som har en betydelig innvirkning på AI-lovgivningen. Blant disse lovene er det tre som fremheves, nemlig "Personal Information Protection Law", "Data Security Law" og "Cybersecurity Law".
  3. Administrative forskrifter. Noen administrative forskrifter stiller konkrete krav til AI-algoritmer når de brukes i informasjonstjenester på Internett, for eksempel "dyp syntese av innhold", "anbefalingssystem" og "generativt AI-system".
  4. Kommunale forskrifter. Noen byer i Kina (Shanghai og Shenzhen) har også utgitt kommunale forskrifter om innholdsagnostisk AI, som har som mål å fremme utviklingen av AI-industrien. Begge forskriftene krever at risikoer som introduseres av kunstig intelligens, må kontrolleres effektivt, med mer omfattende granskning av høyrisikoprodukter og -tjenester enn av produkter og tjenester med mindre risiko.
  5. Nasjonale standarder. For å støtte reguleringen av AI-systemet leder China Electronics Standardization Institute utviklingen av en rekke anbefalte standarder som dekker flere aspekter ved AI-teknologi.

Innvirkning på virksomheter

Det globale lovgivningslandskapet er ganske omfattende, noe som bidrar til en viss grad av kompleksitet som må håndteres av bedrifter, enten de opererer i et bestemt geografisk område eller internt. Felles for de fleste er at myndighetene ønsker å ta tak i både mulighetene og utfordringene som AI-teknologiene byr på.

Kjernen i dette er intensjonen om å fremme innovasjon og ansvarlig utvikling og bruk av kunstig intelligens, slik at den kommer samfunnet til gode samtidig som man sikrer seg mot potensielle risikoer. Etter hvert som AI-teknologien fortsetter å utvikle seg i høyt tempo, må myndighetene holde tritt med utviklingen, og det samme må virksomhetene for å overholde kravene.

For å styre og sikre robust styring kan bedrifter med fordel implementere et styringssystem for kunstig intelligens (AIMS) i samsvar med ISO/IEC 42001 sammen med styringssystemer rettet mot informasjonssikkerhet (ISO/IEC 27001) eller personvern (ISO/IEC 27701). Det gir en strukturert tilnærming til risikostyring, inkludert overholdelse av regelverk, og etablerer praksis for kontinuerlig forbedring. Det muliggjør også sertifisering av en uavhengig tredjepart som DNV, noe som kan bidra til å sikre trygge, pålitelige og etiske AI-systemer, støtte overholdelse av regelverk og bygge bro over tillitskløfter.

Egenvurdering og ISO/IEC 42001-sertifisering