Kaotisk retstilstand i Danmark, når AI Act træder i kraft
Den kommende AI Act vil ramme det offentlige og private arbejdsmarked forskelligt, ifølge juraprofessor. Kravene i det offentlige vil samlet set blive slækket, mens det private vil opleve langt højere krav.
- Djævlen ligger i detaljen, så jeg glæder mig til at se den endelig tekst og de helt specifikke formuleringer i den nye forordning, siger professor i offentlig forvaltningsret og digitalisering på Københavns Universitet Hanne Marie Motzfeldt. Hun har nærlæst den foreløbige AI Act, der blev vedtaget af EU parlamentet i december 2023 og træder i kraft i 2025.
Medmindre teksten ændrer sig, vurderer hun, at AI Act på en lang række punkter er en deregulering af de nuværende regler i den offentlige forvaltning.
- Danmark er et af de lande, der er længst fremme med digitalisering af den offentlige sektor og juridisk førende på at udvikle den digitale forvaltningsret. Vi har siden 1990’erne udviklet regler og rammer for digitaliseringen på baggrund af virkeligheden og haft fokus på, at it-systemer skal understøtte god forvaltning, siger Hanne Marie Motzfeldt.
Danske regler er pragmatiske
Hendes eksempler på den løbende udvikling er f.eks. en sag fra 00’erne, hvor ombudsmanden gik ind i sagen om Københavns Kommunes journaliseringssystem for SU-sager. Man kunne kun søge på navn og cpr-nummer, hvilket betød, at man ikke kunne søge på f.eks. barsel eller sygemeldinger og dermed heller ikke kunne se, om sagsbehandlingen i de forskellige sager, stemte overens. Så systemet var ikke designet til at understøtte forvaltningsrettens lighedsgrundsætning om, at identiske sager skal behandles ens. Og senest er ombudsmanden gået ind i sagen om de forkerte ejendomsvurderinger.
- Heller ikke selvom vi indbygger AI til automatisk journalisering i det første system, er de to systemer højrisikosystemer ifølge AI Act, og dermed ikke systemer, der kan stilles særlige krav til, siger Hanne Marie Motzfeldt, der mener, at AI Act kan føre til en “kaotisk retstilstand i Danmark”, fordi usikkerhed om regler typisk betyder, at mange sager skal afgøres ved domstolene, og uklarheden bremser innovation.
- De danske regler er udviklet løbende i relation til virkeligheden, derfor er de pragmatiske, anvendelige og afbalancerede, mens reglerne fra EU i AI Act er udviklet på under 5 år, og i sammenligning med de danske er de formalistiske i krav til proces og dokumentation, siger Hanne Marie Motzfeldt.
Stramning for højrisikosystemer
Et sted hvor reglerne dog bliver væsentligt strammet i AI Act i forhold til dansk lovgivning er ved højrisikosystemer, der kan påvirke grundlæggende rettigheder, fx hvis AI anvendes til afgørelse af lovovertrædelser eller til at udpege bestemte individer til rekruttering.
Ved højrisikosystemer skal man, ifølge AI Act, groft sagt dokumentere udviklingen af systemet, og hvordan systemet fungerer. Man skal tidligt i udviklingen lave konsekvensanalyser og kortlægge de retskrav, der er, og designe systemet, så det overholder kravene.
Men det betyder ifølge Hanne Marie Motzfeldt igen en deregulering af kravene til alle andre systemer, fordi der i AI Act ikke stilles krav til de systemer, der ikke falder under kategorien “højrisiko”.
- I dansk ret er der krav om konsekvensanalyse ved udvikling af alle nye systemer til den offentlige forvaltning, til gengæld er kravene til dokumentation af processerne lavere, siger Hanne Marie Motzfeldt, der dog påpeger en løsning, som politikerne kan vælge at bruge til lav risikosystemer.
- Man kan lave et såkaldt adfærdskodeks for den offentlige forvaltning, som til forveksling ligner det, vi kalder god forvaltningsskik. Politisk kunne man formulere et “nationalt adfærdskodeks” for alle andre systemer end højrisiko-systemerne, siger hun.
For eftersom formålet med forordningen er ens regler i hele EU, så der er fuld forudsigelighed og gennemsigtighed omkring reglerne for AI, så må EU landene ikke lave yderligere nationale lovkrav, men et adfærdskodeks kunne ifølge professoren være en ”kattelem” til at bevare en vis harmoni i retssystemet.
Ifølge Hanne Marie Motzfeldt kan AI Act ikke i omfang sammenlignes med GDPR-forordningen fra 2018, der har et langt bredere anvendelsesområde. Men hvis vi ikke tager AI Act seriøst og efterlever kravene, så forudser hun, at der vil komme flere regler og sanktioner for AI. Så professorens anbefaling til alle, der arbejder med at udvikle eller anvende digitale systemer, er at sætte sig grundigt ind i AI Act.
Usikkerhed om regler betyder typisk, at mange sager skal afgøres ved domstoleneJuraprofessor Hanne Marie Motzfeldt
Det private får flere regler
For den private sektor har AI Act større indvirkning.
- De har ikke haft mange regler i forvejen, og nu skal de have blik på menneskerettigheder og værdighed i udviklingen af systemerne. Og der kommer rigtige tunge dokumentationskrav til højrisikosystemer. Så det bliver svært for techgiganterne at komme uden om reglerne, siger Hanne Marie Motzfeldt.
Professor i digitalisering på CBS, Jan Damsgaard, advarer mod for stram AI lovgivning for det private erhvervsliv i Europa, fordi han mener, at konsekvensen bliver, at AI-udviklingen går udenom EU og i stedet sker i lande som USA og Kina.
- Det er kun, hvis vi i Europa er med til at bygge teknologierne, at vi kan indlejre europæiske normer og værdier, siger han. Og det mener han besværliggøres af EU’s AI lovgivning.
- Europa og heriblandt Danmark risikerer at ende som frilandsmuseum med høje etiske standarder, men uden relevans, hvis vi ikke er med til at udvikle og bygge AI. AI er en game changer, og politikerne skal forstå, at hvis vi skal sikre den gode version, så er det på et helt andet strategisk niveau, vi skal være med. Vi må ikke gentage fejlen med internettet, hvor ingen af de store tech-virksomheder er europæiske, men amerikanske. Her har vi gjort os irrelevante, ikke bare i forhold til at få adgang til værdierne, men især muligheden for at påvirke teknologien og udviklingen. For det er kun, hvis man bygger de her teknologier, at man kan være med til at indbygge sine egne normer og værdier, siger Jan Damsgaard.
Europa og heriblandt Danmark risikerer at ende som frilandsmuseum med høje etiske standarder, men uden relevansProfessor i digitalisering Jan Damsgaard
Han så hellere en AI positiv lovgivning, hvor man slækker fremfor at stramme i hvert fald i første omgang.
- Inspireret af filosoffen Søren Kierkegaards udsagn om, at livet skal leves forlæns og forstås baglæns, vil jeg sige, at teknologi skal udvikles forlæns og reguleres baglæns. Man kan ikke regulere på forhånd. Hvis vi stopper op i Europa, så løber resten af verden med det. Af de mest ti værdifulde AI-virksomheder er ni allerede amerikanske og en israelsk.
Jan Damgaards billede på AI lige nu er et klondike, hvor alle vil grave efter AI guld, men graver man i den europæiske del af klondike, skal du lave en varmetabsberegning på dit skur, før du kan grave. Det gider man ikke, så man går over på en anden bakke.
AI kan misbruges, er der ikke en fare ved at lave for lidt regulering?
- Jo, men der er altid en dualitet i teknologi, når vi opfinder flyveren, opfinder vi også flystyrtet, opfinder vi skibet, opfinder vi skibsforliset. Sådan er det, men det må ikke virke paralyserende. Den eneste måde vi kan tage favntag med AI, er ved at lære at bruge det og derefter afbøde de negative konsekvenser. Lige nu kravler vi i EU op på en høj hvid hest og kritiserer de andre, hvor vi snarere burde være med til at bemægtige os teknologien.
AI Act’s forskellige risikoniveauer
1. Uacceptabel risiko: AI-systemer, der ikke er tilladt i Europa, eksempelvis:
- Biometriske kategoriseringssystemer, der anvender følsomme karakteristika.
- Implementering af følelsesgenkendelsessystemer på arbejdspladser og uddannelsesinstitutioner.
- Anvendelse af AI-systemer, der muliggør brugen af 'social scoring’ baseret på social adfærd eller personlige karakteristika.
- Manipulation af menneskelig adfærd af kunstig intelligens for at omgå individuel fri vilje.
2. Høj risiko: AI-systemer, der vedrører kritisk infrastruktur og menneskerettigheder.
Højrisikosystemer vil blive opdelt i to kategorier:
- AI-systemer, der anvendes i produkter, der er omfattet af EU's produktsikkerhedslovgivning. Dette omfatter legetøj, luftfart, biler, medicinsk udstyr og elevatorer.
- AI-systemer, der falder ind under specifikke områder, og som skal registreres i en EU-database, såsom kritisk infrastruktur, forvaltning af migration, asyl og grænsekontrol, bistand til juridisk fortolkning og uddannelse.
3. Lav risiko: AI-systemer, såsom anbefalingssystemer og spamfiltre.
Disse systemer vil ikke blive underlagt regulering, da de kun udgør minimal eller ingen risiko for borgeres rettigheder eller sikkerhed. Virksomheder har imidlertid mulighed for frivilligt at påtage sig yderligere forpligtelser.
4. Specifik transparensrisiko
Brugen af AI-systemer som chatbots skal informere brugerne om, at de interagerer med en maskine. Desuden skal AI-genereret indhold som Deepfakes og lignende, tydeligt angives overfor brugerne.
5. Generelle foundation-modeller:
Foundation-modeller, som er omfattende generative systemer, der kan udføre forskellige opgaver som at skabe video, tekst, billeder, levere sprogmodeller og udføre beregninger, skal opfylde specifikke transparenskrav, før de introduceres på markedet.
Højrisiko foundation-modeller, trænet med store datamængder og med avanceret kompleksitet, kapacitet og ydeevne, er underlagt yderligere restriktiv regulering.
Kilder: eu.com, Dansk Erhverv