Ráðgert er að gervigreindarreglugerðin verði að lögum á næstu vikum í Evrópusambandinu og ætla má að í kjölfarið verði hún tekin upp í EES-samninginn.

Lögfræði

Lára Herborg Ólafsdóttir

Lögmaður og eigandi á LEX lögmannsstofu

Hinn 8. desember sl. náðist sögulegt samkomulag milli Evrópuþingsins og Evrópska ráðsins um endanlega útfærslu regluverks um gervigreind í Evrópusambandinu. EFTA/EES-ríkin, sem Ísland tilheyrir, hafa lýst yfir stuðningi við reglusetningu á sviði gervigreindar og má vænta þess að reglugerðin verði hluti af íslenskri löggjöf á næstu misserum.

Reglugerðin mælir fyrir um kvaðir, ekki eingöngu á framleiðendur gervigreindarkerfa, heldur jafnframt innflytjendur, dreifingaraðila og í einhverjum mæli notendur slíkra kerfa. Í reglugerðinni er gerður greinarmunur á gervigreindarkerfum eftir áhættu sem í þeim felst. Fyrsti flokkur varðar kerfi sem eru óforsvaranlega áhættusöm og því bönnuð, þó með undantekningum fyrir löggæslustofnanir. Upphaflega var ráðgert að bannið yrði algjört en aðildarríki kröfðust þess að löggæsluyfirvöld gætu nýtt tækni af þessum toga, s.s. andlitsgreiningartækni, í undantekningartilvikum. Um er að ræða kerfi sem geta greint líffræðileg auðkenni manna, þá eru jafnframt bönnuð kerfi sem spá fyrir um afbrotahegðun og greina andlegt ástand manna.

Annar flokkur varðar notkun gervigreindar sem felur í sér mikla áhættu og telst til svokallaðra hááhættukerfa. Hér undir falla margvísleg kerfi sem notast t.d. við gervigreind við framkvæmd öryggiseiginleika tiltekinna vara, t.d. í farsímum, leikföngum og lækningatækjum, sem þegar gilda sérstakar reglur um innan EES. Einnig falla hér undir svokölluð hááhættukerfi með tiltekna notkunareiginleika. Þar er til dæmis átt við kerfi sem greina lífkenni og flokka einstaklinga eða kerfi sem notuð eru til að tryggja öryggi og framkvæmd nauðsynlegra innviða (s.s. vega eða hita-, vatns- og rafmagnsveitna). Þá falla hér undir kerfi sem nota á við ákvörðun um aðgang að menntastofnunum, við ráðningarferli í fyrirtækjum og mat á starfsframgangi. Önnur hááhættukerfi samkvæmt framansögðu eru svo dæmi séu tekin kerfi sem meta lánstraust eða áreiðanleika einstaklinga og hvort þeir séu eftir atvikum hæfir til að njóta opinberrar aðstoðar; kerfi sem vinna og greina beiðnir um atvinnuleyfi eða hæli eða kerfi sem aðstoða dómara og stjórnvöld við að komast að niðurstöðu í málum. Ríkar kröfur eru gerðar til vottunar framangreindra hááhættukerfa, þ. á m. um að tryggt sé að gögnin sem notuð eru séu ekki hlutdræg. Þá er gerð krafa um gagnsæi, upplýsingagjöf til notenda og örugga gagnastjórnun auk þess sem skylt er að eiga þess kost að yfirfara öll söguleg frálagsgögn kerfisins. Þá er nauðsynlegt að útlista tæknileg skilyrði áður en hugbúnaður fer á markað til að tryggja að hann uppfylli raunverulega kröfur reglnanna.

Þá er að endingu fjallað um þau kerfi sem styðjast við gervigreind og hafa minni háttar áhættu í för með sér fyrir einstaklinga, en hér undir falla flest þau kerfi sem notast er við í daglegu lífi, s.s. tölvuleikir, rusl-síur o.fl. Reglugerðardrögin mæla ekki fyrir um miklar breytingar hvað þessi kerfi varðar, en þeir sem selja og markaðssetja slík kerfi eru hvattir til að setja sér valkvæðar hátternisreglur.

Í fyrstu drögum gervigreindarreglugerðarinnar var ekki gert ráð fyrir að grunn- og spunalíkön, m.a. forrit á borð við Chat GPT, féllu undir gildissvið hennar. Hins vegar hefur gildissviðið verið rýmkað og slík líkön falla undir reglugerðina með hliðsjón af áhættu sem í þeim felst. Þannig þurfa öll slík líkön að uppfylla gagnsæiskröfur auk þess sem sum þeirra kunna að teljast til hááhættukerfa. Svonefndar djúpfalsanir verða bannaðar nema skýrlega komi fram að myndefni sé tilkomið fyrir tilstilli gervigreindar.

Grunnrökin að baki regluvæðingu gervigreindar eru að tryggja lýðræði, mannréttindi og jafnrétti einstaklinga. Við hönnun gervigreindar ber framleiðendum að gæta að þessum grunngildum óháð virkni og eiginleikum gervigreindarkerfisins. Sé brotið gegn ákvæðum reglugerðarinnar varðar það sektum allt að 7% af veltu fyrirtækis á heimsvísu á ársgrundvelli.

Ráðgert er að gervigreindarreglugerðin verði að lögum á næstu vikum í Evrópusambandinu og ætla má að í kjölfarið verði hún tekin upp í EES-samninginn. Þótt ekki sé fyrirhugað að reglugerðin komi til framkvæmda fyrr en eftir tvö ár má telja æskilegt fyrir alla þá sem nýta gervigreind í sínum störfum að miða og hanna notkun og tækni með hliðsjón af þeim kvöðum sem þar er mælt fyrir um.