Þann 13. mars 2024 samþykkti Evrópuþingið reglugerð (Regulation (EU) 2024/168) um samræmdar reglur á sviði gervigreindar sem ráð Evrópusambandsins (e. the Council) samþykkti svo þann 21. maí 2024. Fyrirséð er að reglugerðin komi til með að hafa áhrif á þróun og notkun gervigreindarlausna innan Evrópu. Því er vert að skoða til hvers reglugerðin tekur, hvenær áhrif hennar koma til og skoða helstu gagnrýni á hana.

Þann 13. mars 2024 samþykkti Evrópuþingið reglugerð (Regulation (EU) 2024/168) um samræmdar reglur á sviði gervigreindar sem ráð Evrópusambandsins (e. the Council) samþykkti svo þann 21. maí 2024. Fyrirséð er að reglugerðin komi til með að hafa áhrif á þróun og notkun gervigreindarlausna innan Evrópu. Því er vert að skoða til hvers reglugerðin tekur, hvenær áhrif hennar koma til og skoða helstu gagnrýni á hana.

Til hvers tekur reglugerðin?

Reglugerðin hefur víðtæk áhrif en almennt má segja að hún taki til þeirra sem þróa og/eða selja/markaðssetja gervigreindarkerfi eða nýta sér slík kerfi við það að veita þjónustu innan Evrópusambandsins. Slíkt felur m.a. í sér að fyrirtæki utan Evrópusambandsins sem nýta sér gervigreindarkerfi til þess að þjónusta viðskiptavini sína sem eru innan þess þurfa að vera meðvituð um kröfur regluverksins.

Skilgreining reglugerðarinnar á hugtakinu gervigreindarkerfi er víðtæk og er gervigreindarkerfunum skipt í flokka eftir áhættumati en ákvæði reglugerðarinnar taka mið af þeirri flokkun.

Undir fyrsta flokk reglugerðarinnar falla gervigreindarkerfi sem eru bönnuð. Í þann flokk falla m.a. kerfi sem nýta sér tækni sem erfitt er að vera meðvitaður um (e. subliminal) til að raska hegðun fólks og draga úr getu þeirra til að taka upplýstar ákvarðanir.

Í öðrum flokki eru hááhættukerfi en þar undir falla m.a. gervigreindarkerfi sem nýta persónuleg gögn einstaklinga við vinnslu til þess að leggja mat á tiltekna þætti þeirra, t.d. vinnuframlag, efnahagsaðstöðu, heilsu, áhugamál, hegðun og staðsetningu. Hér undir kunna gervigreindarkerfi sem ætluð eru til almennra nota (e. general purpose AI) að falla undir ef þau eru nýtt í fyrrgreindum tilgangi eða samtvinnuð fyrrgreindum kerfum.

Í þriðja flokki eru kerfi með takmarkaða hættu en það eru þau kerfi sem ekki falla undir fyrstu tvo flokkana en eru þó þeim eiginleikum gædd að gerð er krafa um ákveðna gagnsæisskyldu. Hér undir geta t.a.m. fallið spjallmenni og kerfi sem geta framkallað myndir, hljóð eða myndbönd sem líkist persónu, hlutum eða stöðum með fölskum hætti án þess þó að vinna með gögn sem flokkast til hááhættugagna.

Að lokum má nefna að ekki öll gervigreindarkerfi falla undir gildissvið reglugerðarinnar, en má þar sem dæmi nefna tiltekna tölvuleiki eða tölvupósts síur (e. spam filters).

Hvenær koma áhrif reglugerðarinnar til?

Þann 12. júlí 2024 var reglugerðin birt í stjórnartíðindum Evrópusambandsins og tók hún því gildi 1. ágúst 2024 sl. en þrátt fyrir gildistökuna koma ákvæði reglugerðarinnar ekki til framkvæmda strax, heldur verða ákvæðin alla jafna virk þegar 24 mánuðir eru liðnir frá gildistökunni en sum ákvæði verða virk ýmist 6, 9, 12 eða 36 mánuðum eftir gildistökuna.

Hvað Ísland varðar liggur ekki fyrir hvenær reglugerðin verður tekin upp í EES-samninginn og hvað þá leidd í landsrétt. Því þurfa íslensk fyrirtæki að svo stöddu fyrst og fremst að vera meðvituð um ákvæði reglugerðarinnar ef afurð fyrirtækisins, hvort sem það er vara eða þjónusta sem fengin er með gervigreind er markaðssett eða nýtt af aðilum innan Evrópusambandsins. Fyrirtæki í þeirri stöðu þurfa m.a. að huga að því að skrá notkun sína á gervigreindarkerfum og flokka kerfin eftir áhættu, greina hvort notkun fyrirtækisins sé að öllu leyti samrýmanleg og skoða gæði þeirra gagna sem eru notuð af gervigreindinni m.a. með hliðsjón af persónuvernd.

Hvar liggur jafnvægið?

Gervigreindarkerfi eru ekki ný af nálinni en ör þróun þeirra hefur ýmist vakið áhyggjur og/eða tilhlökkun. Reglugerðinni er ætlað að svara hinni hröðu þróun gervigreindarkerfa með mannleg gildi að leiðarljósi og hefur hún þar af leiðandi t.a.m. lagt bann gegn ákveðnum tegundum kerfa sem þykja óhugnanleg. Má þar til dæmis nefna félagsleg stigakerfi (e. social scoring system) sem nýta sér andlitsgreiningu á almannafæri líkt.

Á sama tíma er reglugerðinni ætlað að styðja við frekari þróun tækninnar og þá m.a. með því að skylda aðildarríki Evrópusambandsins til þess að bjóða upp á öruggt sandkassa umhverfi (e. sandbox) þar sem rekstraraðilar geta prufað eiginleika sinna kerfa áður en þau eru sett á markað.

Þrátt fyrir góðan ásetning heyrast áhyggjuraddir um að reglugerðin geri meiri skaða en gagn. Má um þetta nefna nokkur atriði, svo sem:

a) Reglugerðin raski samkeppnishæfni evrópskra fyrirtækja. Áhyggjur þessar eru svo sem ekki nýjar af nálinni innan Evrópu en hafa orðið enn háværari í ljósi þeirrar miklu umfjöllunar sem gervigreindin er að fá þessi misserin.

b) Þá hefur aftur heyrst gagnrýni á það hvernig þjóðir innan Evrópu ætla að framfylgja kröfum reglugerðarinnar gagnvart aðilum sem standa utan Evrópu en veita aðgang að kerfi sínu til einstaklinga sem eru staddir í Evrópu.

c) Þróun gervigreindar sé svo hröð að ákvæði reglugerðarinnar séu strax orðin úrelt.

Erfitt er að segja til um það hvort reglugerðin komi jafnvægi á hugsanleg neikvæð áhrif gervigreindar og möguleika til frekari tækniþróunar. Kannski er hægt að spyrja gervigreindina að því?

Svar Chat-GPT 40

„The EU AI Act aims to balance AI risks and innovation through a risk-based approach, promoting transparency, and supporting SMEs. It seeks to create a safe and dynamic AI ecosystem, but careful implementation and continuous adaptation are essential to prevent excessive compliance costs and maintain global competitiveness.“

Höfundar eru lögfræðingar hjá KPMG Law.