Gjennom EU AI Act har EU mål om at kunstig intelligens (KI) skal utvikles og brukes på en måte som beskytter individets og samfunnets interesser. AI Act sikter seg inn på KI-systemer med “høy risiko”. Det gjelder de færreste og sikkert bare de største, kan man lett tenke. Men, det er faktisk ganske enkelt å havne i høyrisiko-gruppen, og det er til og med mulig å snuble inn i det uten at det er med vilje.
Først: AI Act klassifiserer KI-systemer i fire risikokategorier: Uakseptabel risiko, høy risiko, begrenset risiko, og minimal risiko. Med risiko menes sannsynligheten for, og konsekvensene av, at en KI gjør noe som er skadelig for helse, sikkerhet, eller grunnleggende rettigheter som f.eks. personvern eller diskrimineringsvern.
KI-systemer med uakseptabel risiko vil bli forbudt. Her kan man tenke seg systemer som vurderer sannsynligheten for at noen gjør lovbrudd i fremtiden. Dersom det gjøres feil, vil konsekvensene være uoverkommelige for den som blir rammet. På den andre enden av skalaen finner vi at systemer med minimal risiko er unntatt all regulering, som f.eks. KI-motstanderen din i et sjakkspill.
For systemer med begrenset risiko, men hvor KI brukes direkte av et menneske eller produserer “syntetisk innhold” som tekster, bilder, lyd og lignende kreves det åpenhet og merking av innholdet. Brukere skal for eksempel være informert om at de snakker med en maskin i en chat, og bilder skal merkes som KI-genererte. Også tekst skal merkes hvis ikke tekstene er gjennomgått av et menneske og ansvaret for publikasjonen er klart.
Systemer som betraktes som høy risiko vil møte de strengeste kravene. Dette gjelder KI som brukes på biometri (DNA, ansiktsgjenkjenning, fingeravtrykk), der den er del av kritisk infrastruktur, i utdanning og evaluering av studenter, innen rekruttering og evaluering av ansatte, i forvaltningen, ved rettsapparatets møte med borgere, og i produkter hvor produktsikkerhet er kritisk slik som kjøretøy eller KI-assistert kirurgi.
La oss så si at man har undersøkt bruken av KI i egen virksomhet, ser at man ikke bruker KI til annet enn enkle støtteverktøy, og slett ikke en “høyrisiko-KI”. Men hvordan kan man “snuble inn i det” ved et uhell? Svaret er at KI-produktene der ute allerede er relativt enkle, tilgjengelige og nyttige - og de blir både enklere og nyttigere for hver dag.
Da kan vi tenke oss dette: Ove på HR bruker ChatGPT for å strukturere og korrekturlese stillingsannonser, og synes det er nyttig og tidsbesparende. Krav til stillingsannonsen går inn, og forslag til annonsetekst kommer ut. Så kommer det hundrevis av søkere, og det pleier alltid å være en stor del av de som ikke har de kvalifikasjonene som annonsen krever. Men Ove har en ide - kravene ligger allerede i chatroboten, og ved å mate inn listen med søknader så får han raskt en ny liste med kun de kvalifiserte som står igjen. Timer med kjedelig arbeid er løst på minutter.
Den i utgangspunktet gode ideen betyr at virksomheten nå benytter en høyrisiko-KI uten å ha nødvendig dokumentasjon, tiltak og vurderinger på plass. Ved å la roboten forkaste de ukvalifiserte har man gjennomført en automatisert avgjørelse ved bruk av KI i rekrutteringssammenheng - og er med ett i trøbbel med AI Act (og GDPR). Virksomheten kan være uvitende om at det har skjedd, og Ove på HR er i god tro da dette er et arbeidsverktøy han er gitt tilgang til og tenker er greit å bruke til alt som er nyttig.
Strafferammen? Et sted mellom et pålegg om retting og 15 millioner EUR i bot.
Vi går inn i en spennende tid både teknologisk og juridisk som krever mye ny kunnskap. Men ingen fare, vi vil lede deg gjennom det. I neste artikkel om temaet vil Sticos komme med råd og anbefalinger om hvordan man går frem for å lovlig bruke en høyrisiko-KI, eller for å sikre at man ikke bruker det.
Personvern er særlig viktig i KI-sammenheng. Kurset GDPR - innføring i personvern for ansatte er et godt sted å starte.
EU jobber med nye lover for bruk av kunstig intelligens, med fokus på beskyttelse av enkeltpersoners og samfunnets interesser. Lær hvordan selv enkle verktøy kan føre til brudd på disse reglene.
