En introduksjon til EUs AI-lov

Oppdatering fra 11. juli 2025: Etter publiseringen av den endelige teksten til Atferdskodeks for generell AI, deler vi en oversikt over hvordan vi forbereder oss på ikrafttredelsen av bestemmelser som gjelder for modeller av generell AI 2. august 2025. 

I fjor publiserte vi denne innføringen om EUs AI-lov for å gi en foreløpig innsikt i hvordan vi forberedte oss på implementeringen av disse nye juridiske kravene. 

Siden da har vi vært aktivt involvert i gjennomføringen av teksten ved å delta i utformingen av Atferdskodeks for generell AI, et rammeverk for AI-leverandører for å overholde EUs AI-lov. Etter måneder med kollektive anstrengelser sammen med eksperter, sivilsamfunn og industri, har en endelig kodeks blitt publisert. I dag kunngjør vi vår beslutning om å underskrive Atferdskodeksen og bruke dem til å demonstrere overholdelse av våre relevante forpliktelser under EUs AI-lov. 

Ved å signere kodeksen tar vi et konkret skritt i vår bredere etterlevelsesplan med EUs AI-lov. Det gjenspeiler vårt engasjement for å sikre kontinuitet, pålitelighet og tillit etter hvert som regelverket trer i kraft, samtidig som vi fortsetter å samarbeide med europeiske bedrifter og borgere, og bringer dem stadig mer kompetente, sikre og trygge AI-modeller for å høste fordelene av AI-revolusjonen.

Signeringen av kodeksen styrker mange av de bransjeledende sikkerhets- og åpenhetsmålene vi har vært pionerer for i løpet av de siste årene. Vi var et av de første selskapene som publiserte en omfattende sikkerhetsprotokoll, Beredskapsrammeverk (2023), som beskriver tilnærmingen vår til sikker implementering av banebrytende AI-modeller.

I samsvar med vårt engasjement for kontinuerlig å gjennomgå og forbedre interne ansvarlighets- og styringsrammer, publiserte⁠ vi et oppdatert beredskapsrammeverk i april 2025.

Etter hvert som vi fortsetter å utvikle og implementere stadig mer kapabel teknologi, overvåker vi aktivt og utbedrer et bredt spekter av nye risikoer og reelle sikkerhetsbekymringer for å holde modellene våre pålitelige og sikre. Og vi finjusterer og forbedrer disse prosessene hele tiden.

• Vi har lenge publisert detaljerte systemkort og teknisk dokumentasjon sammen med de store utgivelsene våre, som beskriver hva modellene våre kan og ikke kan gjøre, hvilke risikoer vi har testet for, og hvor vi fortsatt lærer.
• Sikkerhetshubben gir offentlig tilgang til sikkerhetsevalueringsresultater for modellene våre.
• Red-team-nettverket vårt henter inn eksterne eksperter for å stressteste modellene våre.
• Modellspesifikasjoner gir et innblikk i hvordan vi former modellatferd for å gjenspeile menneskelige verdier og demokratiske normer.

Sammen har dette arbeidet vært essensielt for å sette sikkerhetsstandarder i bransjen og informere utviklingen av en fungerende Atferdskodeks basert på bransjens beste praksis. Byggingen av trygg og ansvarlig AI blir aldri fullført. Vi vil fortsette å forbedre tilnærmingen vår til sikkerhet iterativt for å sikre at teknologien vår brukes ansvarlig til fordel for alle, uansett hvor de er i verden.

Vi vil samarbeide tett med EUs AI-kontor, relevante myndigheter og våre kunder når AI-loven implementeres i de kommende månedene og årene, slik at vi sammen kan sikre fordelene med AI for Europas samfunn og økonomi.

Oppdatering: 25. september 2024 signerte vi de tre kjerneforpliktelsene i EUs AI-pakt.

1. Adopter en AI-styringsstrategi for å fremme bruken av AI i organisasjonen og arbeide mot fremtidig overholdelse av AI-loven;
2. gjennomføre i den grad det er mulig en kartlegging av AI-systemer som leveres eller tas i bruk på områder som vil bli ansett som høy-risiko under AI-loven;
3. fremme bevissthet og AI-kompetanse blant sine ansatte og andre personer som håndterer AI-systemer på deres vegne, med hensyn til deres tekniske kunnskap, erfaring, utdanning og opplæring, samt konteksten AI-systemene skal brukes i, og ta hensyn til de personer eller grupper av personer som påvirkes av bruken av AI-systemene.

Vi mener at AI-paktens kjernefokus på AI-kompetanse, adopsjon og styring retter seg mot de riktige prioriteringene for å sikre at fordelene med AI blir bredt fordelt. Videre er de i tråd med vårt oppdrag om å tilby sikre, banebrytende teknologier som gagner alle.

EUs AI-lov⁠(åpnes i et nytt vindu) er et betydelig reguleringsrammeverk utformet for å håndtere utviklingen, implementeringen og bruken av AI i hele Europa. Det har et betydelig fokus på sikkerhet for å fremme pålitelig AI-adopsjon i Europa samtidig som helse, sikkerhet og grunnleggende rettigheter beskyttes. Det introduserer nye krav basert på risikoene knyttet til AI-systemer, med særlig fokus på områder med høy risiko og uakseptabel bruk, samt spesielle forpliktelser for modeller og systemer for generell AI (GPAI). 

Selv om den lovgivende prosessen er fullført og loven vil tre i kraft i august 2024, vil det være nødvendig med ytterligere veiledning og gjennomføringslovgivning for å definere omfanget av loven, spesielt når det gjelder GPAI-modeller som OpenAIs. 

Hos OpenAI forplikter vi oss til å overholde loven, ikke bare fordi dette er en juridisk forpliktelse, men også fordi lovens mål er i tråd med vår misjon om å utvikle og distribuere trygg AI til nytte for hele menneskeheten. Vi er stolte over å lansere modeller som er bransjeledende både når det gjelder kapasitet og sikkerhet. Vi tror på en balansert, vitenskapelig tilnærming der sikkerhetstiltak⁠ er integrert i utviklingsprosessen fra starten av. Våre team dekker et bredt spekter av tekniske tiltak som tar for seg utfordringer innen AI-sikkerhet, inkludert evalueringer av modeller under vårt Beredskapsrammeverk⁠ før de blir tatt i bruk, interne og eksterne red-team-øvelser⁠, overvåking⁠ etter utrulling for misbruk, Bug Bounty-⁠ og Cybersikkerhetsstipend-⁠programmer, og bidrag til autentisitetsstandarder⁠, blant annet. 

Vi vil arbeide tett med EUs AI-kontor og andre relevante myndigheter når den nye loven implementeres i de kommende månedene, og vi håper at ekspertisen vi har bygget opp vil bidra til å fremme målene i loven når det gjelder å utvikle sikker og nyttig AI.  

I dette innlegget gir vi en oversikt over noen sentrale temaer i AI-loven, med spesiell fokus på forbudte og høyrisikable bruksområder.

AI-loven trer i kraft 1. august 2024, 20 dager etter publisering i EUs offisielle tidsskrift. Selv om de fleste av bestemmelsene i loven ikke vil tre i kraft før 24 måneder etter ikrafttredelse, er det flere viktige frister å huske på: 

• Forbud mot forbudt praksis trer i kraft 6 måneder etter ikrafttredelse (februar 2025) 
• Atferdskodeksene, som vil dekke mange av implementeringsdetaljene som trengs for å overholde loven, må ferdigstilles innen 9 måneder etter ikrafttredelse (mai 2025). 
• De fleste generelle AI-forpliktelser vil tre i kraft 12 måneder etter ikrafttredelse (august 2025). 
• Forpliktelser for de fleste høyrisikable AI-systemer gjelder 24 måneder etter ikrafttredelse (august 2026). 

Eksisterende GPAI-systemer som ikke har vært gjenstand for betydelige modifikasjoner, og visse AI-systemer som er komponenter i storskalerte IT-systemer identifisert i vedlegg X til AI-loven, vil ha en lengre implementeringsfrist på 36 måneder (august 2027).

AI-loven gjelder hovedsakelig for “AI-systemer”, som loven definerer som “et maskinbasert system designet for å operere med varierende grader av autonomi, som kan vise tilpasningsevne etter implementering og som, for eksplisitte eller implisitte mål, utleder, fra den informasjonen det mottar, hvordan det skal generere utdata som forutsigelser, innhold, anbefalinger eller avgjørelser som kan påvirke fysiske eller virtuelle miljøer”.  Denne definisjonen er stort sett i samsvar med OECDs definisjon av "AI-systemer" utgitt i 2023 og definisjonen som brukes i Biden-administrasjonens Executive Order 14110 om sikker, trygg og pålitelig utvikling og bruk av kunstig intelligens.  

Viktig er det at AI-loven skiller mellom leverandører og distributører av AI-systemer. Leverandører er enheter, som OpenAI, som utvikler et AI-system eller en generell AI-modell. Det inkluderer også enheter som har et AI-system eller en generell AI-modell utviklet og setter det på markedet, eller som setter AI-systemet i drift under eget navn eller varemerke, enten mot betaling eller kostnadsfritt. 

Distributører er kunder eller partnere som bruker disse systemene eller modellene i sine egne applikasjoner, for eksempel ved å integrere GPT‑4o på et spesifikt bruksområde. Selv om flertallet av forpliktelsene under AI-loven faller på leverandører snarere enn distributører, er det viktig å merke seg at en distributør som integrerer en AI-modell i sitt eget AI-system kan bli en leverandør under loven, for eksempel ved å bruke sitt eget varemerke på et AI-system eller ved å modifisere AI-systemet på måter som ikke var ment av leverandøren.

Organisasjoner utenfor EU må fortsatt overholde AI-loven under en rekke betingelser som kan være ganske omfattende.  For eksempel gjelder loven hvis: 

• En leverandør plasserer et AI-system eller GPAI-modell på EU-markedet, uavhengig av om selskapet er etablert i EU eller et annet land; 
• Distributører av et AI-system har sitt etableringssted i eller er lokalisert innenfor EU; 
• Leverandører og distributører av AI-systemer er etablert eller lokalisert i et tredjeland, men utdata produsert av AI-systemet brukes innen EU.

Den brede ekstraterritoriale rekkevidden av AI-loven betyr at ikke-europeiske selskaper må overholde loven for å betjene EU-kunder, uavhengig av om de er basert innenfor EU.

AI-loven er bygget på et risikobasert rammeverk, med spesifikke krav til AI-systemer med høy risiko og uakseptabel risiko. Loven krever at selskaper klassifiserer risikonivået til AI-systemene for å bestemme de tilsvarende regulatoriske forpliktelsene, og definerer ulike kategorier eller nivåer av AI-systemer som hver medfører forskjellige forpliktelser.

Visse AI-praksiser som anses å utgjøre en uakseptabel risiko for individers rettigheter er helt forbudt. Disse praksisene inkluderer:   

• Utrulling av skjulte, manipulerende eller villedende teknikker for å forvrenge atferd og svekke informerte beslutninger, noe som forårsaker betydelig skade. 
• Utnyttelse av sårbarheter knyttet til alder, funksjonshemming eller sosioøkonomiske forhold for å forvrenge atferd, noe som forårsaker betydelig skade. 
• Biometriske kategoriseringssystemer som antyder sensitive attributter som rase, politiske meninger, fagforeningsmedlemskap, religiøse eller filosofiske overbevisninger, seksualliv eller seksuell orientering (med begrensede unntak for merking eller filtrering av lovlig anskaffede datasett og for bruk innen rettshåndhevelse). 
• Sosiale poengsystemer, som systemer som evaluerer eller klassifiserer individer eller grupper basert på sosial atferd eller personlige egenskaper, som forvolder dem skade. 
• Vurdering av risikoen for at en enkeltperson begår kriminelle handlinger basert utelukkende på profilering eller personlighetstrekk (med begrensede unntak). 
• Kompilering av ansiktsgjenkjenningsdatabaser gjennom uspesifisert skraping av ansiktsbilder fra internett eller CCTV-opptak.
• Utlede følelser på arbeidsplasser eller utdanningsinstitusjoner. 
• Biometrisk fjernidentifikasjon i sanntid på offentlige steder for rettshåndhevelse (med visse unntak).

Loven pålegger strenge forpliktelser på systemer som det har fastslått utgjør en substansiell trussel mot helse, sikkerhet eller individers grunnleggende rettigheter, som kategoriseres som høyrisiko AI (HRAI). Disse inkluderer: a) systemer som er sikkerhetskomponenter i et produkt underlagt andre EU-lover, og b) spesifikke bruksområder, som for systemer som er ment å bestemme tilgang eller opptak til utdanningsinstitusjoner, for å rekruttere eller velge arbeidere eller overvåke arbeidernes ytelse, for å fastslå berettigelse til offentlig hjelp, kredittverdighet, vurdere berettigelse og prising for helseforsikring, blant annet.  

HRAI-systemer må overholde strenge regulatoriske forpliktelser, som å etablere et risikostyringssystem for kontinuerlig evaluering av risikoer og tiltaksstrategier gjennom hele livssyklusen til et HRAI-system, omfattende datastyringstiltak for å teste og evaluere risikoen for partiskhet, forberede detaljert teknisk dokumentasjon før systemet settes på markedet, og pågående overvåkingsforpliktelser. 

Andre AI-systemer som ikke utgjør uakseptabel eller høy risiko, står bare overfor begrensede krav, som for eksempel krav om åpenhet. For eksempel spesifiserer loven at individer skal informeres når de interagerer med et AI-system som en chatbot, og at kunstig manipulerte bilder, lyd- eller videoinnhold må være tydelig merket. De fleste AI-systemer på markedet vil sannsynligvis falle inn under denne kategorien.

Spesielle krav gjelder for leverandører av generelle AI-modeller og systemer, som OpenAI, som vil bli pålagt å: 

• utvikle detaljert teknisk dokumentasjon av modellen og gi den til AI-kontoret på forespørsel
• lage dokumentasjon for distributører som bruker GPAI-modellen til å utvikle sine egne AI-systemer
• implementere retningslinjer som har til hensikt å respektere EUs opphavsrettslovgivning
• gi et sammendrag av innholdet som ble brukt til å lære opp GPAI-modellen 

I tillegg vil leverandører av GPAI-modeller med høy påvirkning som anses å utgjøre "systemiske risikoer" (for eksempel modeller lært opp på en stor mengde beregninger, teknisk definert som 10^25 FLOPs), bli pålagt å: 

• utføre modellvurderinger for å identifisere og redusere systemiske risikoer, og evaluere og redusere kontinuerlig risikoene som fremkommer
• informere EU-kommisjonen om modeller som oppfyller kriteriene for denne kategorien
• overvåke og rapporter alvorlige hendelser 
• implementere passende cybersikkerhetstiltak for modellen og dens fysiske infrastruktur

GPAI-modellleverandører vil kunne stole på en atferdskodeks for å vise overholdelse av kravene i AI-loven. Disse atferdskodeksene vil sannsynligvis legge grunnlaget for spesifikke detaljer for å gjennomføre disse forpliktelsene, og vi ser frem til å samarbeide med EUs AI-kontor mens de utvikles i løpet av de neste 9 månedene. 

OpenAI er forpliktet til å overholde EUs AI-lov, og vi vil jobbe tett med EUs nye AI-kontor når loven iverksettes. I de kommende månedene vil vi fortsette å utarbeide teknisk dokumentasjon og annen veiledning for nedstrømsleverandører og distributører av våre GPAI-modeller, samtidig som vi fremmer sikkerheten og tryggheten til modellene vi tilbyr i det europeiske markedet og utover.   

Hvis organisasjonen din prøver å finne ut hvordan dere skal overholde AI-loven, bør dere først prøve å klassifisere eventuelle AI-systemer som omfattes. Identifiser hvilke GPAI-systemer og andre AI-systemer dere bruker, avgjør hvordan de klassifiseres, og vurder hvilke forpliktelser som følger av deres bruksområder. Du bør også avgjøre om du er en leverandør eller en distributør med hensyn til eventuelle AI-systemer som omfattes. Disse problemene kan være komplekse, så du bør konsultere en juridisk rådgiver hvis du har spørsmål.