Etter en intensiv forhandlingsinnspurt forrige uke, ble Rådet, Kommisjonen og Europaparlamentet natt til lørdag enige om en politisk avtale om KI-forordningen.

Forordningen har hatt en kronglete vei gjennom EUs lovgivende organer. Kommisjonens forslag ble opprinnelig lagt frem i april 2021, og er nærmere beskrevet i EU/EØS-nytt 23. april 2021. Forslaget bygger på en klassifisering av risiko ved ulike typer KI-systemer som enten uakseptabel, høy risiko, begrenset risiko eller akseptabel risiko. Basert på denne inndelingen foreslås forbud, bruksbegrensninger, krav til samsvarsvurderinger, transparens- og sikkerhetskrav for ulike typer systemer, samt opprettelse av håndhevingsorganer både i medlemsstatene og på EU-nivå. Kommisjonens forslag inneholdt ingen særlig regulering av generell («sterk») kunstig intelligens-systemer. Til forskjell fra såkalt «smal» KI, er «sterk» KI generelle modeller («foundation models») kjennetegnet ved at de er laget for å utføre et bredt spekter av oppgaver, «tenke» abstrakt og tilpasse seg nye situasjoner.

Rådet vedtok sin posisjon i desember 2021 (se omtale i EU/EØS-nytt her). Rådet foreslår blant annet å snevre inn definisjonen av KI-systemer, for å skille det fra enklere programvare, å utvide forbudet mot sosiale scoringssystemer til også å gjelde private parter, presisering av når unntak fra forbud mot biometrisk fjernidentifisering vil kunne tillates, samt begrensning i forordningens virkeområde på forsvars- og sikkerhetsområdet. Det ble også foreslått nye regler for generelle KI-modeller.  

Europaparlamentet vedtok sin posisjon i juni i år. EU-parlamentet foreslo nye regler for generelle KI-modeller og -systemer, blant annet plikt til å respektere grunnleggende rettigheter, helse, sikkerhet, miljø, demokrati og rettsstat; krav om risikovurdering og -begrensning; samt visse krav til blant annet design og registrering. Parlamentet foreslo også at definisjonen av KI skulle baseres på OECDs definisjon, og forslaget gjorde betydelige endringer i listen over forbudt praksis, blant annet for biometrisk identifikasjon og skraping (forklart av Datatilsynet som «at programvare tråler nettsteder og plattformer for å samle inn store mengder informasjon for mer eller mindre aktverdige formål»)  av biometriske data. Trilogforhandlinger startet i juni og pågikk gjennom sommeren og høsten.

Et omstridt spørsmål gjennom hele lovgivningsprosessen har vært avveiingen mellom grunnleggende rettigheter og utnyttelse av de mulighetene KI gir til å løse utfordringer på ulike samfunnsområder. Dette gjelder særlig listen over «forbudt praksis», som Europaparlamentet utvidet betraktelig sammenliknet med Kommisjonens forslag. Blant annet ønske parlamentet ytterligere begrensninger i adgangen til biometrisk identifikasjon, også når den ikke skjer i sanntid, forbud mot biometrisk kategorisering basert på sensitive kjennetegn som politisk oppfatning og forbud mot bruk av følelsesgjenkjenning på arbeidsplasser, i utdanningssystemet, ved grensekontroll og i politiarbeid. Rådet ønsket unntaksvis adgang til å bruke teknikker som ansiktsgjenkjenning på offentlig sted, og mulighet for profilering basert på sensitive karakteristika der dette har en direkte forbindelse med en spesifikk forbrytelse eller trussel.

Et annet stort spørsmål gjaldt «sterk» eller generell KI. Da Europaparlamentet vedtok sin posisjon i juni, hadde KI-feltet sett en revolusjonerende utvikling siden Kommisjonens forslag ble lagt frem, særlig når det gjelder såkalte large language models (LLM), som ChatGPT. Både Rådet og Europaparlamentet hadde inntatt egne bestemmelser for slike systemer i sine endringsforslag, og endelig tekst måtte landes under trilogforhandlingene. Noe overraskende ble det i november kjent at Frankrike, Italia og Tyskland motsatte seg regulering av generell KI. Bakgrunnen skal være frykt for at utvikling av europeisk KI-industri hemmes. Fra flere hold ble det imidlertid påpekt at en KI-forordning uten særskilt regulering av de mest kraftfulle modellene, men med omfattende regulering av relativt enkle modeller, var en dårlig og lite konsekvent løsning. Det oppstod derfor spekulasjoner om at hele forordningen kunne være i fare. Det spanske formannskapet foreslo imidlertid et kompromiss, og institusjonene lyktes altså i komme til enighet forrige uke.

Selve teksten i avtalen er ikke kjent, men basert på pressemeldinger fra henholdsvis Rådet, Europaparlamentet og Kommisjonen, er partene enige om følgende på de omstridte punktene:

• Definisjonen av KI-systemer baseres på OECD-definisjonen. Det presiseres at forordningen ikke griper inn i medlemsstatenes arbeid med nasjonal sikkerhet, ikke gjelder utenfor områder der EU-retten gjelder, og ikke omfatter teknologi som brukes utelukkende for militære formål. Unntak gjelder også for forskning og innovasjon, og for ikke-profesjonell bruk av KI. Regulatoriske sandkasser skal kunne teste KI under virkelighetsnære forhold.
• Listen over forbudt praksis omfatter biometrisk kategorisering som bruker sensitive kjennetegn (for eksempel politisk oppfatning eller seksuell legning), ikke målrettet skraping av ansiktsbilder fra nettet eller overvåkningskameraer for opprettelse av databaser for biometrisk gjenkjenning, følelsesgjenkjenning på arbeidsplasser og i utdanningssystemet, sosiale scoringssystemer basert på oppførsel eller personlige kjennetegn, manipulering av personers vilje, utnyttelse av personers sårbarhet (for eksempel alder eller funksjonsnedsettelse).
• Unntak for politietterforskning presiseres, blant annet mulighet til å bruke sanntids ansiktsgjenkjenning på offentlig sted, i nærmere spesifiserte tilfeller, blant annet for å identifisere ofre for visse forbrytelser eller for å avverge spesifikke trusler (for eksempel terrorangrep).
• Nye regler om generell KI (foundation models): Gjennomsiktighetskrav, som blant annet omfatter teknisk dokumentasjon, overholdelse av opphavsrettslovgivning og detaljerte oversikter over materiale brukt for opptrening, skal oppfylles før slike systemer plasseres på markedet. Det vil gjelde særlige krav til såkalte «high impact»-modeller, blant annet når det gjelder risikovurderinger, cybersikkerhet og energieffektivitet. Et nytt KI-kontor i Kommisjonen og et vitenskapspanel av uavhengige eksperter skal overvåke utviklingen.
• Støtte til innovasjon og SMBers arbeid med KI.

Det arbeides videre med teknisk gjennomgang av avtalen, og den vil deretter forelegges Rådets underutvalg Coreper. Både Rådet og Europaparlamentet må vedta forordningen formelt før den kan tre i kraft. Forordningen skal som hovedregel anvendes to år etter ikrafttredelse.

For Norges del er det verdt å merke seg at forslaget ikke er merket som EØS-relevant. I EØS-notatet (oppdatert november 2021) uttaler departementet at dette trolig er en uteglemmelse. Departementet legger til grunn at forslaget er EØS-relevant, men at det per november 2021 er for tidlig å ta stilling til om det er akseptabelt.