Europeiska kommissionens förslag till förordning om harmoniserade regler för artificiell intelligens

Generella synpunkter

Digg konstaterar att förslaget är omfattande och komplext på det viset att den föreslagna regleringen spänner horisontellt över flera olika områden inom EU-rätten, bl.a. konsumentskydd och dataskydd. Mot bakgrund av den förhållandevis korta svarstiden för remissen har endast en initial, övergripande genomgång varit möjlig och de synpunkter som lyfts fram här är inte uttömmande utan kan komma att kompletteras när en mer djupgående analys av förslaget och dess konsekvenser gjorts. Digg lämnar följande medskick som är av mer övergripande karaktär.

Digg är på ett övergripande plan positiv till att en harmoniserad reglering av AI införs inom EU, mot följande bakgrund. En reglering av en viss teknik är inte alltid att föredra ur ett rättsligt perspektiv eftersom en sådan reglering kan komma i konflikt med andra etablerade rättsområden. Det förslag till förordning om harmoniserade regler för artificiell intelligens som kommissionen lägger fram ligger dock enligt vår uppfattning rätt i tiden och det är till stora delar både motiverat och proaktivt med en reglering av ett område som är såpass centralt för den fortsatta digitaliseringen. Digg är även positiv till att regleringen sker i form av en förordning, eftersom det bidrar till en enhetlighet i tillämpningen av regelverket vilket är lämpligt i frågor rörande digitalisering och datahantering eftersom dessa inte sällan är av unionsövergripande karaktär.

Digg vill dock särskilt framhålla att för att inte hämma den fortsatta digitaliseringen är det viktigt att säkerställa att regler inte dupliceras och att inte otydligheter skapas för dem som ska tillämpa reglerna. En ny förordning bör därför begränsas till att reglera aspekter av utveckling och användning av AI som inte redan regleras genom andra lagstiftningsinitiativ från EU. Det finns många delar, flera skikt och komponenter i det regelsystem och det system för administration, kontroll och tillsyn som föreslås. Digg anser att konsekvenserna av förslaget redan nu bör börja analyseras på nationell nivå för att lämpliga insatser att möta en reglering av detta slag på ett tidigt stadium ska kunna identifieras.

Digg konstaterar att administration av registerkatalog över AI-system, kontroll, tillsyn, CE-märkning och tydlighet för när AI-system utvecklas och används i tjänster kan utgöra förtroendemekanismer för att möta säkerhetskrav och osäkerhet avseende digital framkantsteknik, vilket är bra. Det innebär också kostnader i effektivitet och medel samt nya funktioner och administrativ omfattning. Detta kan verka negativt ifråga om både effektivitet, utveckling och innovation på området.

Digg konstaterar att den definition av AI som finns i förslaget till förordning framstår som vid och att den troligtvis såsom den är utformad kommer att omfatta mängder av befintliga och kommande system som inte nödvändigtvis idag betraktas som AI-system eller utgör sådana system som ska risk klassificeras i enlighet med detta förslag. Det kan inte heller uteslutas att ett stort antal system som idag används inom offentlig förvaltning kommer att bedömas som system med högsta risk enligt förslaget och därmed kommer att omfattas av regleringens kontroll- och tillsynsramverk. Digg anser att det inför det fortsatta förhandlingsarbetet är viktigt att analysera förslagets konsekvenser för svenska myndigheters digitala utveckling.

Digg ställer sig överlag positiv till att förslaget i viss utsträckning bygger på frivillig efterlevnad av kraven i förslaget till förordning genom bl.a. uppförandekoder. Digg anser att det dock bör finnas en tydligare koppling till krav på exempelvis miljöhållbarhet, tillgänglighet för personer med funktionsnedsättning, berörda parters deltagande i utformningen och utvecklingen av AI-system samt mångfald i utvecklingsteamen.

Synpunkter i detalj

Risk för regelduplicering och otydlighet

Förslaget är omfattande och komplext på det viset att den föreslagna regleringen spänner horisontellt över flera olika områden inom EU-rätten, bl.a. konsumentskydd och dataskydd. Förslaget till förordning innebär i viss utsträckning en dubbelreglering i förhållande till andra, redan existerande regelverk. Samtidigt framstår det inte som helt tydligt hur de olika regelverken med delvis överlappande bestämmelser är tänkta att tillämpas i förhållande till varandra. Detta riskerar att skapa otydlighet för myndigheter och andra aktörer som ska tillämpa den föreslagna förordningen, och på så vis hämma digitaliseringen. Ett exempel på detta är skyldigheten i den föreslagna förordningens artikel 9 som gäller riskhanteringssystem. Det behöver tydliggöras hur denna skyldighet förhåller sig till skyldigheten att genomföra en konsekvensbedömning avseende dataskydd i artikel 35 i dataskyddsförordningen (EU) 2016/679. Även när det gäller skyldigheten att informera den som interagerar med ett AI-system enligt artikel 52 i den föreslagna förordningen finns ett behov att förtydliga hur denna skyldighet förhåller sig till skyldigheten att lämna information enligt artiklarna 12 och 13 i dataskyddsförordningen.

Det kan även konstateras att förslaget till förordning innehåller en informationsskyldighet i artikel 22 som tillkommer och delvis kan överlappa redan existerande rapporteringsskyldigheter enligt NIS-direktivet (genomfört i nationell rätt genom lagen [2018:1174] om informationssäkerhet för samhällsviktiga och digitala tjänster och förordningen [2018:1175] om informationssäkerhet för samhällsviktiga och digitala tjänster) samt artikel 33 i dataskyddsförordningen.

Det behöver utredas ytterligare hur dessa skyldigheter förhåller sig till varandra samt vilka incidenter som ska rapporteras när och till vilken instans.

Administration, tillsyn och kontroll

Den föreslagna regleringen avseende behöriga myndigheter, tillsynsmyndigheter och den europeiska nämnden för AI medför att myndigheter och andra aktörer får ytterligare instanser utöver de befintliga att förhålla sig till inom områden som berörs av den föreslagna regleringen, där det redan finns utpekade tillsynsmyndigheter. Detta riskerar att skapa otydlighet och bli onödigt betungande för tillhandahållare och användare av AI-system som berörs av den föreslagna förordningen. Det behöver förtydligas vilken roll och vilket mandat behöriga nationella myndigheter, nationella tillsynsmyndigheter och den europeiska nämnden för AI har i förhållande till befintliga nationella tillsynsmyndigheter och organ på EU-nivå, inte minst inom dataskyddsområdet.

Digg anser att konsekvenserna av förslaget behöver analyseras på nationell nivå och lämpliga insatser för att möta en reglering av detta slag behöver identifieras.

Administration med registerkatalog över AI-system, kontroll, tillsyn, CE-märkning och tydlighet för när AI-system används i tjänster utgör förtroendemekanismer för att möta säkerhetskrav och osäkerhet på AI-området. Det är bra och mycket av detta stämmer överens med Diggs uppfattning på området. Detta innebär också ökade kostnader samt risk att det påverkar effektivitet och sätter begränsningar ifråga om utveckling och innovation, vilket innebär negativa effekter.

Ifråga om förtroendemekanismer har Digg och Lantmäteriet föreslagit en förtroendemodell för automatiserade beslut i offentlig förvaltning utifrån ett AI-perspektiv. Regeringen har aktualiserat denna modell i regeringsuppdrag (I2021/01825) att främja offentlig förvaltnings förmåga att använda artificiell intelligens. Digg anser att denna utveckling möter förslaget i flera delar.

Underlätta för innovation genom regulatoriska sandlådor

Förslaget avser att underlätta för innovation på området genom regulatoriska sandlådor. Digg konstaterar att detta stämmer väl med behov som identifierats i Sverige avseende att snabba upp författningsarbete och policyutvecklingen utifrån digitaliseringens behov. Förordningen ska också skapa tydliga förutsättningar som i sin tur ska öka förmåga till innovation, vilket Digg ser som positivt.

Det går naturligtvis att se en omfattande reglering som en begränsande faktor när det gäller innovation och den riskbaserade bedömningen som ligger till grund för hårdare reglering kan ge negativa effekter som kan göra regulatoriska sandlådor mindre värda utifrån innovationsperspektivet. Det kan också poängteras att även tillsynsmyndigheter bör vara en del i prov- och försöksverksamheter för regelutveckling men att det kan vara svårt att skapa det utrymmet inom givna uppdrag.

Digg konstaterar att det är viktigt att skapa rätt förutsättningar för regulatoriska sandlådor. Berörda myndigheters roller och uppdrag kan därför behöva ses över och förtydligas för att möjliggöra de effekter som de regulatoriska sandlådorna är avsedda att ge. Digg stödjer förslaget om regulatoriska sandlådor som ger utrymme för nödvändig innovation, test och möjligheter att pröva lösningar.

Definition av AI och klassificering av AI-system utifrån risk

AI-system föreslås delas in i olika typer utifrån risker med systemen. Med nuvarande definition kan mängder av befintliga och kommande system som utvecklas inom offentlig förvaltning komma att bli högrisksystem som omfattas av de tyngre och mer omfattande tillsyns- och kontrollmekanismerna i förslaget. Det kan komma att bli långt fler system än vad vi idag ser som önskvärt och kräva en stor administration och kostnad för efterlevnad. Digg anser att definitionen inte bör göras så vid så att enklare typer av system som kanske inte idag ses som AI-system, eller stödsystem som är långt ifrån automatiskt eller autonomt beslutsfattande blir att betrakta som högrisk-AI-system, eftersom detta riskerar att hämma digitaliseringen av den offentliga förvaltningen på ett obefogat vis.

Detta yttrande har beslutats av generaldirektören Anna Eriksson. I den slutliga handläggningen har också jurist Eva Maria Broberg Lennartsson, senior rådgivare Patrick Eckemo och chefsjuristen Linn Kempe deltagit. Föredragande har varit leveransområdeschef Mats Snäll.