Sådan kommer EU's AI-forordning til at påvirke kommunikatører

EU’s prestige-lovgivning, AI-forordningen, nærmer sig sin endelige vedtagelse. Lovgivningen skal sætte rammer for udviklingen og brugen af kunstig intelligens i Europa og kan potentielt komme til at danne skole for, hvordan kunstig intelligens reguleres i resten af verden. Men hvad rummer lovgivningen, og hvad betyder det for os som kommunikatører? Vi giver et overblik.

”Hurtigt” er nok ikke det tillægsord, de fleste af os ville bruge om EU-maskineriet. Ny lovgivning kan tage år at få på plads i et ofte forvirrende tovtrækkeri mellem Rådet, Europa-Parlamentet og Kommissionen. Men lige præcis når det handler om kunstig intelligens, har EU for en gangs skyld gjort kritikerne til skamme.

Kun godt et år efter OpenAI lancerede ChatGPT og med et trylleslag forandrede vores syn på mulighederne ved kunstig intelligens, har EU fået den såkaldte AI forordning (AI Act) på plads. Målet er med EU’s egne ord at sikre AI-løsninger, der er ”trustworthy” og ”safe”. 

Men hvad betyder det for dig som kommunikatør (hvad enten du kun er casual user af ChatGPT eller bruger store sprogmodeller i alt dit arbejde)? Vi har forsøgt at give svar på nogle af de typiske spørgsmål om den nye AI-lovgivning – det vigtigste først👇:

(Først en disclaimer: Selvom der er landet en politisk aftale på godt 200 sider, så er detaljerne om, hvordan de enkelte dele skal efterleves af virksomhederne endnu ikke på plads. Der vil være en to-årig indfasningsperiode, før der kan straffes med bøde. Med andre ord: Nedenstående er med forbehold for, hvad vi ved primo 2024). 

Betyder det, at jeg ikke må bruge ChatGPT længere?

Bare rolig, du kan fortsætte med at bruge løs af ChatGPT, Googles Gemini eller Bing Chat som altid… I hvert fald indtil videre. 

Hov, du sagde lige "indtil videre"! Hvad mente du med det?

Med AI-forordningen sigter EU mod at få bedre snor i de såkaldte General Purpose AI (eller foundation models) – det vil sige kunstig intelligens, der kan bruges i flere forskellige arenaer (i modsætning til AI, der er lavet til et meget specifikt scenarie). Og ja, OpenAI’s GPT-4 model falder ind under den type kunstig intelligens, der skal vænne sig til strammere tøjler. 

Konkret betyder det, at den nye AI-forordning introducerer en risikobaseret tilgang til regulering af AI-løsninger og redskaber. De fire risikoniveauer er:

1. Uacceptabel Risiko: For at havne i denne kategori skal et AI-system udgøre en trussel mod os mennesker. Det gælder eksempelvis brug af AI til manipulation af folks adfærd, social scoring og visse anvendelser af biometriske systemer. 
   
   
2. Høj Risiko: Her finder vi AI-systemer, der påvirker menneskers sikkerhed og vores grundlæggende rettigheder. Det kan eksempelvis være AI-systemer til kreditvurdering og automatiserede forsikringskrav. OpenAI’s avancerede GPT-4-model kan også havne i denne kategori, men det handler i høj grad om, hvordan modellen bliver brugt. 
   
   I listen her kan du se en række af de scenarier, hvor AI brugen kan betragtes som ”højrisiko” – eksempelvis hvis modeller bruges i ansættelsesprocesser, til at optage studerende, til at afgøre ret til offentlige ydelser eller i ordenshåndhævelse. Hvis brugen af AI falder ind under ”Højrisiko” skal løsningerne leve op til såkaldte ”conformity assessments”, før de kan lanceres på markedet. Systemerne vil også blive løbende overvåget gennem deres livscyklus. Virksomheder skal også registrere produktet i en EU-database. 
   
   
3. Begrænset Risiko: AI-værktøjer som chatbots betragtes som "begrænset risiko". Virksomheder, der leverer sådanne tjenester, skal sikre, at de er gennemsigtige over for deres kunder omkring, hvad deres AI-modeller bruges til, og hvilken type data der er involveret.
   
   
4. Minimal Risiko: For værktøjer og processer, der falder under "minimal risiko", opfordrer AI-forordningen virksomheder til at have et adfærdskodeks, der sikrer, at AI anvendes etisk.

Ok, så hvad har det med mit ChatGPT-abonnement at gøre?

Som nævnt i disclaimeren mangler AI-forordningen stadigvæk at blive oversat til de tekniske retningslinjer for, hvordan virksomhederne skal leve op til reglerne. Men for OpenAI’s GPT-4-model ligger det fast, at de som såkaldt General Purpose AI (GPAI) skal vænne sig til noget strammere kontrol. 

Eksempelvis skal alle, der sender AI-løsninger på gaden til at referere til EU’s nye AI-kontor (som EU i al hast er ved at få stablet på benene). For virksomheder som OpenAI bliver en del af de nye opgaver under AI-forordningen at holde teknisk dokumentation opdateret og tilgængelig, når AI-kontoret og de nationale kompetente myndigheder beder om det. 

De skal også levere bestemt information og dokumentation til downstream-leverandører (dem, der bygger løsninger på GPT-4-modellen) for at overholde AI-lovgivningen. 

Og så vil der være yderligere krav til modeller med systemiske risici, som indebærer at udføre modelvurdering, lave risikovurderinger og træffe risikobegrænsende foranstaltninger, sikre et tilstrækkeligt niveau af cybersikkerhed, og rapportere alvorlige hændelser til AI-kontoret og de nationale kompetente myndigheder.

Med andre ord: OpenAI bliver med AI-forordningen pålagt en tung rapporterings- og dokumentationsforpligtelse. Samtidig vil det også betyde, at OpenAI fremover skal vænne sig til at ”spørge AI-kontoret om lov”, før de sender nye store sprogmodeller på gaden (denne orienteringsforpligtelse har USA i øvrigt også indført). 

Så... Hvad betyder det alt sammen for os kommunikatører igen?

Vi ved endnu ikke, hvordan OpenAI og andre AI-virksomheder stiller sig overfor de nye regler, men man kan frygte, at de nye forpligtelser fører til service-forringelser for brugerne (bare tænk på cookie-lovgivningen og GDPR 😱). Så galt behøver det dog ikke at gå, og ikke mindst Frankrig, der har deres egen sprogmodeller at passe på i Mistral, har kæmpet for, at den nye AI-lovgivning ikke skal være en stopklods for AI-udviklingen. 

For chatbots som Gemini og ChatGPT gælder, at de regnes som AI-systemer med begrænset risiko. Det vil sige, at de skal opfylde krav til gennemsigtighed, som gør det muligt for brugerne at træffe et oplyst valg. Det betyder, at brugerne skal være klar over, når de interagerer med AI. Dette gælder i princippet alle generative AI-systemer, der genererer og manipulerer indhold såsom billeder, lyd eller video (såsom deepfakes). 

Hvornår gælder AI-forordningen fra?

I modsætning til direktiver skal forordninger ikke først implementeres i EU-landenes nationale lovgivning. De træder i princippet i kraft på tværs af EU med det samme, når de er vedtaget. 

Virksomheder skal dog først efterleve reglerne efter et stykke tid:

• Primo 2024: AI-forordningen forventes at træde i kraft. Dette er begyndelsen på en kritisk periode for organisationer til at starte justeringen af deres AI-systemer med de nye regler.
  
  
• 6 måneder efter ikrafttræden: Forbud mod AI-systemer, der udgør uacceptabel risiko (se ovenfor). Dette inkluderer f.eks. realtidsscoring af social kreditværdighed og ansigtsgenkendelsesteknologi til masseovervågning. 
  
  
• 12 måneder efter ikrafttræden: Højrisiko AI-systemer og GPAI’er skal opfylde de nye regulatoriske krav. 
  
  
• 24 måneder efter ikrafttræden: Alle andre bestemmelser i AI-forordningen vil blive håndhævet. Dette giver altså organisationer et to-årigt vindue til at overholde lovgivningen, herunder justeringer til lavere-risiko AI-applikationer.