Vad innebär EU AI Act och varför är den viktig?

En sak som bidrar till folks reflexmässiga klagomål på EU AI Act är hur företag valde att hantera GDPR. Syftet med GDPR var att skydda privatpersoners rätt till att bestämma hur känslig information om dem behandlas. Ingen får samla in eller sälja vidare information av en viss typ utan att först:

1. Tydligt informera om vad man tänker göra
2. Få ett godkännande av den person man vill samla in information om

Förhoppningen var att GDPR skulle få företag att sluta samla in massa onödiga personuppgifter, inte att det skulle uppstå en ny industri som livnärde sig på att skapa cookiebanners.

Cookiebanners är oftast överflödiga, det går att samla in en del relevant data utan att det kräver ett samtycke, så länge man fokuserar på rätt saker. Alla irriterande cookiebanners är helt enkelt marknadens svar på en välmenande lag, och nu är folk oroliga att något liknande kommer att hända med EU AI Act.

Vad är då EU AI Act?

Kortfattat så innehåller den en klassificering av olika typer av tjänster och produkter som kan byggas med hjälp av AI, och vilket ansvar som hamnar på den som erbjuder dessa. Inte nog med det, den definierar faktiskt vad AI är, åtminstone när det används i EU AI Act.

AI-system: ett maskinbaserat system som är utformat för att fungera med varierande grad av autonomi och som kan uppvisa anpassningsförmåga efter införande och som, för uttryckliga eller underförstådda mål, drar slutsatser härledda från den indata det tar emot, om hur utdata såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer ska genereras.

Det är den bästa definitionen av AI som jag har sett. Lägg märke till att den inte nämner vare sig artificiell eller intelligens, eftersom inget av dessa begrepp ingår i det vi slarvigt kallar Artificiell Intelligens.

Vad EU Ai Act sedan gör är att den delar olika tjänster, eller produkter i fyra riskkategorier där leverantören har olika krav på sig beroende på klassificeringen. Kategorierna är:

Oacceptabel risk – system framtagna för att döda eller skada människor

Hög risk – system som kan orsaka skada genom att diskriminera mot människor

Begränsad risk – system som kan vilseleda människor

Minimal eller ingen risk – spamfilter, bottar i tv-spel och så vidare

AI-system som faller i den första kategorin är i stort sett helt förbjudna i EU, jag tror alla kan hålla med om att detta är bra att få på pränt.

Allt annat är tillåtet MEN med krav på transparens, ordning och reda på in-datan, upptagning av fejkade videos, och så vidare. Företagen som lanserar dessa har med andra ord en uppsättning krav på att göra sitt yttersta för att minimera riskerna för människor som berörs av dessa system.

Till exempel är ett AI-drivet system som betygsätter elevuppsatser ett högrisksystem. Människors betyg kan påverka hela deras framtida liv, och är det då genererat utifrån en slarvigt ihopsamlad och upptaggad hög data så är det minsta vi kan begära att de som drabbas kan få veta hur beslutet fattades och på vilka grunder.

Kan inte marknaden sköta det där själv?

Historiskt sett så har det där med självreglering inte fungerat så bra. Tobaksbolagen hemlighöll att de visste om att rökning dödade, bensinbolagen lobbade in i det sista för att få behålla bly i bensin, vi har asbest-skandaler, pfas i dricksvatten, dörrar som ramlar av flygplan i luften, och så vidare in absurdum. Det verkar som att monolitiska vinstdrivande företag är de minst lämpliga att övervaka sig själva.

Det är också viktigt att förstå att EU inte försöker skydda oss mot något som eventuellt kan hända i framtiden. Slarviga algoritmer har under flera år orsakat mänskligt lidande inom välfärden och rättssystemet. Ett vanligt händelseförlopp är att de som försöker avkräva företagen bakom på ansvar får höra att algoritmerna är affärshemligheter som de inte behöver dela med sig av.

Sätt dig in i EU AI Act, med hjälp av AI

På sista tiden har jag märkt att många teknikentusiaster reflexmässigt klagar på EU AI Act utan att ens satt sig in i vad den innebär. Det är både tråkigt och onödigt, för tack vare just AI så har det aldrig varit enklare att skaffa sig en hyfsad förståelse för vad en lång lagtext innebär.

Följ dessa enkla stegen:

1. Gå till lagtexten på EUs webbplats och kopiera länken.
2. Länka den i Googles fantastiskt användbara tjänst NotebookLM
3. Nu kan du prata med en bot som ger dig korrekta sidhänvisningar så att du själv kan läsa vidare. Ställ en fråga som “Vad gäller om jag tillhandahåller en generell AI- modell?" Läs källhänvisningarna, ställ följdfrågor, nörda ner dig.
4. BONUS, länka in andra relevanta texter, eller kanske en kritisk artikel och fråga “Har personen rätt i sin oro? Bemöt de argument som beskrivs.” Eller ta denna bloggposten och be en AI bemöta den.

EU AI Act är helt okej faktiskt

Den som lägger lite tid på att sätt sig in i EU AI Act inser snabbt att den kan sammanfattas så här:

1. Döda inte
2. Diskriminera inte
3. Luras inte
4. Ta ansvar för det du säljer
   

Jag har svårt att tänka mig att någon på allvar har någon invändning mot det. Vad folk är ledsna över är att de inte får tillgång till de senaste leksakerna från Silicon Valley dag ett. Ett ganska lågt pris om det kan hjälpa oss att undvika ännu en freon-i-kylskåps-liknande skandal.

Finns det verkligen inga problem med EU AI Act?

Jo, så klart finns det risker med den. Precis som det var enklare för alla inblandade att hälla bly i bensin så är det enklare för en liten startup att inte behöva oroa sig för vad som kan hända om något går fel tack vare deras algoritm. EU AI Act kommer tveklöst att lägga en större arbetsbörda på företag.

Och precis som med GDPR så finns det en stor risk att detta gynnar de företag som redan är stora, och har en uppsättning advokater som kan se till att allt går rätt till. Som tur är så är inte EUs lagstiftare fullt så korkade som vissa riskkapitalister samt nyttiga idioter på internet tror. De har vidtagit åtgärder för att minimera denna risk, vilket står att läsa i texten som finns tillgänglig på alla de språk som talas inom EU.