Att navigera i landskapet av AI-lagstiftning

Artificiell intelligens (AI) håller i snabbt på att förändra branscher och samhällen, vilket leder till oförväntade framsteg och utmaningar. I takt med att AI-system blir allt mer integrerade i våra affärsprocesser samt hur lever våra dagliga liv, har behovet av stark lagstiftning för att styra utvecklingen och användningen blivit allt viktigare.

De flesta regelverk syftar till att balansera behovet av innovation med skyddet av grundläggande rättigheter och allmän säkerhet. I den här artikeln undersöks det aktuella läget för AI-lagstiftningen, dess konsekvenser, och vägen framåt.

Framväxten av AI-lagstiftning

Europeiska unionen (EU) har nyligen infört EU:s AI-akt. Detta omfattande ramverk syftar till att säkerställa att AI-system är säkra, transparenta och respekterar grundläggande rättigheter. Länder som USA och Kina, som ligger i framkant när det gäller AI-teknik, har tidigare infört regelverk för att hantera de unika utmaningar som AI bär med sig. Oavsett hastighet finns det ett behov av att reglera AI-tekniklandskapet för att både främja innovation och bygga förtroende.

En pålitlig väg framåt

Att implementera AI-lagstiftning innebär flera utmaningar. Den snabba utvecklingen av AI kan vara snabbare än vad regelverken klarar av att hålla med. Dessutom kräver balansen mellan innovation och reglering noggranna överväganden för att undvika att den tekniska utvecklingen hämmas. Men AI-lagstiftning erbjuder också betydande möjligheter. Genom att fastställa tydliga riktlinjer och standarder kan lagstiftningen främja innovation, öka allmänhetens förtroende, samt säkerställa att AI-system utvecklas och används på ett ansvarsfullt sätt. Genom att prioritera säkerhet, transparens och etiska överväganden kan vi dessutom utnyttja AI:s fulla potential och samtidigt värna om individens och samhällets intressen.

Kompletteras av internationella standarder

Lagstiftningsarbetet kompletteras av internationella standarder som ISO/IEC 42001. Denna certifierbara standard innehåller krav för att implementera ett ledningssystem för AI och överskrider geografiska gränser. Även om ISO/IEC 42001 inte är en lagstiftning i sig, förväntas den spela en viktig roll för att främja tillförlitlig AI genom att fastställa bästa praxis för AI-styrning. Den är utformad för att säkerställa säker, tillförlitlig och etisk utveckling, implementering och användning av AI och nämns i lagstiftningen som ett värdefullt sätt att säkerställa att lämpliga styrningsprocesser införs.

Nyckelkomponenter i AI-lagstiftningen

AI-lagstiftning omfattar vanligtvis flera viktiga komponenter:

  1. Säkerhet och tillförlitlighet: Att säkerställa att AI-system fungerar på ett säkert och tillförlitligt sätt är av yttersta vikt. Lagstiftningen innehåller ofta krav på riskhantering, testning och validering för att förhindra skador på individer och samhälle.
  2. Öppenhet och ansvarsskyldighet: Öppenhet i AI-beslutsprocesser är avgörande för att bygga förtroende. Lagstiftningen föreskriver att AI-utvecklare ska ge tydliga förklaringar av hur deras system fungerar och inrätta mekanismer för ansvarsutkrävande.
  3. Etiska överväganden: Etiska principer, såsom rättvisa, icke-diskriminering och respekt för privatlivet, är en integrerad del av AI-lagstiftningen. Dessa principer vägleder utvecklingen och användningen av AI-system för att säkerställa att de överensstämmer med samhällets värderingar.
  4. Efterlevnad och verkställighet: Effektiva verkställighetsmekanismer är avgörande för att säkerställa efterlevnad av AI-lagstiftningen. Reglerade certifieringsorgan har till uppgift att övervaka AI-system, genomföra revisioner och utdöma påföljder för oenighet.

Europa: EU:s AI-lag

Europeiska unionen (EU) har tagit ett viktigt steg i regleringen av artificiell intelligens (AI). EU:s AI-akt syftar till att säkerställa att systemen är trygga, transparenta och respekterar grundläggande rättigheter, samtidigt som den främjar innovation. Lagen offentliggjordes den 12 juli 2024 och trädde i kraft den 1 augusti 2024. Dess bestämmelser kommer att genomföras gradvis, med skyldigheter om förbjudna metoder från och med den 2 februari 2025 och krav på högrisk-AI-system från och med den 2 augusti 2026.

EU:s AI Act kategoriserar AI-system baserat på deras risknivåer:

  • Oacceptabel, t.ex. social scoring, är förbjudet.
  • Högriskprodukter, t.ex. rekrytering eller medicintekniska produkter, tillåts med förbehåll för krav och bedömningar av överensstämmelse.
  • "Transparens"-risk, t.ex. chatbots eller "deep fakes", är tillåtna med förbehåll för informations-/transparensskyldigheter.
  • Minimal eller ingen risk tillåts utan begränsningar.

AI-system med oacceptabel risk, t.ex. sådana som manipulerar mänskligt beteende eller utnyttjar sårbarheter, är förbjudna. AI-system med hög risk, som omfattar tillämpningar inom kritisk infrastruktur, utbildning och sysselsättning, måste genomgå rigorösa bedömningar av överensstämmelse innan de tas i bruk.

I EU:s AI-akt fastställs också krav på öppenhet och ansvarsskyldighet. AI-utvecklare måste tillhandahålla tydlig information om hur deras system fungerar och se till att de kan granskas. Detta inkluderar att upprätthålla detaljerad dokumentation och loggar för att underlätta tillsyn och efterlevnad. Det gäller också företag som driver eller säljer AI-produkter i EU. Exporterande företag måste se till att deras AI-system uppfyller de angivna standarderna och genomgår nödvändiga utvärderingar.

AI-lagstiftning i USA

USA har en något annorlunda strategi än EU, men insåg tidigt behovet av en heltäckande lagstiftning för att styra utvecklingen och användningen av AI. Detta har resulterat i flera lagstiftningsakter på federal och delstatlig nivå, och under 2023 lades över 40 delstatliga lagförslag fram. Lagstiftningslandskapet i USA är ganska komplext men återspeglar till stor del det växande behovet av att balansera innovation med skyddsåtgärder för att skydda individer och samhälle från AI-risker.

Det finns några viktiga lagförslag och regleringsåtgärder som formar AI-landskapet i USA. I blåkopian for an AI Bill of Rights, som släpptes i oktober 2022, beskrivs principer för att skydda individer från de potentiella skadorna av AI. Den fokuserar på rättigheter som integritet, skydd mot algoritmisk diskriminering och säkerställande av öppenhet. I den omfattande Executive Order on AI som undertecknades av president Joe Biden 2023 betonas behovet av trygg, säker och pålitlig AI. Den ger också federala myndigheter i uppdrag att vidta åtgärder för att säkerställa att AI-system utvecklas och används på ett ansvarsfullt sätt. Det finns några lagar som syftar till att främja innovation på ett säkert, tillförlitligt, etiskt och transparent sätt, t.ex. National AI Initiative Act från 2020 och Future of AI Innovation Act. I maj 2024 undertecknades den banbrytande Colorado AI ACT, som är den första i sitt slag i USA och omfattar en sektorsövergripande lag om styrning av AI som täcker den offentliga sektorn. Olika kongresslagar är under utveckling, t.ex. den nyligen föreslagna SB 1047 California AI Safety bill, som syftar till att ytterligare reglera den mest kraftfulla AI-modellen.

Kinesisk AI-lagstiftning

Kina har hittills inte utfärdat någon övergripande lag om AI, men har publicerat bestämmelser om AI-applikationer. Till skillnad från EU, där EU:s AI Act fungerar som ett övergripande regelverk för alla AI-system, har Kina dock valt en vertikal strategi för att reglera vissa AI-tjänster.

Med det ambitiösa målet att bli världsledande inom utveckling och tillämpning av AI publicerade regeringen i Peking 2017 "New Generation AI Development Plan", som är den första systematiska och strategiska planen inom AI-området. Den ledde till en explosionsartad ökning av branschaktiviteter och politiskt stöd för AI-utveckling.

Det kinesiska AI-styrningslandskapet består av fem huvudkategorier:

  1. Policyer och strategier för styrning. Peking har publicerat en lista av principer, planer, riktlinjer eller yttranden på nationell nivå om AI-teknik. Dessa ligger som grunden för AI-lagstiftningen. Till exempel publicerade statsrådet "Opinions on strengthening the ethical governance in science and technologies", som uttrycker Pekings tankar om etiska principer för AI-teknik.
  2. Lagar. Vissa av de befintliga lagarna behandlar vissa aspekter av utveckling, tillhandahållande, driftsättning och användning av AI-system, vilket har en betydande inverkan på AI-lagstiftningen. Bland dessa lagar lyfts tre fram, nämligen "Personal Information Protection Law", "Data Security Law" samt "Cybersecurity Law".
  3. Administrativa bestämmelser. Vissa administrativa föreskrifter skapar konkreta krav för AI-algoritmer när de används i informationstjänster på Internet, t.ex. "djupt syntetiskt innehåll", "rekommendationssystem" och "generativt AI-system".
  4. Kommunala föreskrifter. Vissa städer i Kina (Shanghai och Shenzhen) har också utfärdat kommunala föreskrifter om innehållsagnostisk AI, som syftar till att främja utvecklingen av AI-industrin. Båda förordningarna kräver att de risker som AI medför måste kontrolleras på ett effektivt sätt, med mer omfattande granskning av AI-produkter och tjänster med hög risk än av dem som utgör mindre risk.
  5. Nationella standarder. För att stödja regleringen av AI-system leder China Electronics Standardization Institute utvecklingen av en serie rekommenderade standarder som täcker flera aspekter av AI-teknik.

Påverkan på företag

Det globala lagstiftningslandskapet är väldigt omfattande, vilket skapar en viss komplexitet som måste hanteras av företag, oavsett om de är verksamma i ett visst geografiskt område eller internt. Gemensamt för de flesta är att de statliga organen vill ta itu med både de möjligheter och utmaningar som AI-teknik innebär.

I grunden handlar det om att främja innovation och en ansvarsfull utveckling och användning av AI, för att säkerställa att den gynnar samhället samtidigt som man skyddar sig mot potentiella risker. Eftersom AI-tekniken fortsätter att utvecklas i snabb takt kommer tillsynsmyndigheterna att sträva efter att hålla jämna steg med utvecklingen, och det måste även företagen göra.

För att hantera och säkerställa en robust styrning kan företag dra nytta av att implementera ett ledningssystem för artificiell intelligens (AIMS) i enlighet med ISO/IEC 42001 i kombination med ledningssystem som är inriktade på informationssäkerhet (ISO/IEC 27001) eller integritet (ISO/IEC 27701). Det ger ett strukturerat tillvägagångssätt för riskhantering, inklusive efterlevnad av regelverk, och etablerar praxis för ständiga förbättringar. Det möjliggör också certifiering av en oberoende tredje part som DNV, vilket kan bidra till att säkerställa säkra, tillförlitliga och etiska AI-system, stödja regelefterlevnad och överbrygga förtroendeklyftor.

Självutvärdering och ISO/IEC 42001-certifiering