Hva står i EUs nye KI-lov om praksiskodeks for åpenhet om KI-generert innhold?

Mange av de endelige bestemmelsene i EUs KI-lov skal etter planen tre i kraft i 2026. 2. august vil mesteparten av EUs KI-lov gjelde for operatører av KI-systemer på alle nivåer, med unntak av artikkel 6(1) og systemer nevnt i artikkel 111(1). Fra nå av vil loven gjelde for operatører av høyrisiko-KI-systemer som er brakt i omsetning eller tatt i bruk før denne datoen.

For å støtte bedrifter i å tilpasse seg kravene til åpenhet i artikkel 50, har EU-kommisjonen gitt ut det andre utkastet til retningslinjer for åpenhet om AI-generert innhold. Retningslinjene er et frivillig verktøy utarbeidet av uavhengige eksperter, og tar for seg viktige hensyn for leverandører og distributører av AI-systemer som genererer innhold som faller inn under virkeområdet til artikkel 50. De støtter organisasjoner i å demonstrere samsvar med loven.

Koden består av to deler. Del 1 inneholder regler for merking og deteksjon av AI-generert og manipulert innhold, som gjelder for leverandører av AI-systemer. Del 2 inneholder regler for merking av deepfakes og AI-generert og manipulert publisert tekst, som gjelder for distributører av AI-systemer.

Nøkkelbegreper brukt i anbefalingen

opplesning – Innledende tekst i begynnelsen av en paragraf som angir begrunnelsen for de operative bestemmelsene.

Forpliktelser: Forpliktelsene som underskrivere av praksiskodeksen forplikter seg til, f.eks. implementering av visse tiltak for å sikre at resultatene fra deres AI-systemer kan oppdages som AI-generert eller manipulert.

Tiltak og deltiltak: De spesifikke tiltakene som underskriverne må iverksette for å samsvare med forpliktelsene som er skissert i praksiskodeksen.

Del 1: Regler for merking og deteksjon av AI-generert og manipulert innhold

Avsnitt 1 gjelder for leverandører av KI-systemer og er knyttet til artikkel 50(2) og (5) i EUs KI-lov.

De spesifikke målene i paragraf 1 i koden er å tjene som et veiledende dokument for å demonstrere samsvar med forpliktelsene i loven, selv om overholdelse av koden ikke er avgjørende bevis på samsvar med disse forpliktelsene. Denne paragrafen er utformet for å hjelpe leverandører av AI-systemer som genererer syntetisk lyd, bilde, video eller tekst med å oppfylle sine forpliktelser, og for å gjøre det mulig for markedstilsynsmyndighetene å vurdere samsvar.

Forpliktelse 1: Flerlagsmerking av AI-generert innhold

I forpliktelse 1 forplikter underskriverne av kodeksen seg til å merke alt lyd-, bilde-, video- eller tekstinnhold generert eller manipulert av AI-systemer som de markedsfører eller tar i bruk i EU, på en maskinlesbar måte. Dette gjelder resultatene fra generative AI-systemer og inkluderer generelle AI-systemer.

Tiltakene i Forpliktelse 1 inkluderer derfor:

Implementering av en flerlags merkingstilnærming, og sørg for at disse utgangene er merket med minst to lag med maskinlesbar aktiv merking.

Digitalt signerte metadata, umerkelige vannmerkingsteknikker vevd inn i innholdet, og fingeravtrykks- eller loggføringsfasiliteter er alle nødvendige metoder for å merke AI-generert innhold hvis innhold genereres eller eksporteres i et format som støtter disse teknikkene. For eksempel bør underskrivere av kodeksen legge til informasjon om innholdet er AI-generert eller AI-manipulert som en del av metadataene for en lyd-, bilde-, video- eller dokumentfil.

Ikke-fjerning av maskinlesbar merking krever at underskriverne «gjør sitt beste» for å bevare varemerker på innhold generert eller manipulert av deres AI-system ved å avstå fra å endre eller fjerne eksisterende metadata der det er teknisk mulig.

Åpenhet i opprinnelseskjeden er et valgfritt tiltak som oppfordrer underskrivere til å anvende proveniensstandarder som gir ytterligere informasjon om provenienskjeden til AI-generert eller manipulert innhold på tvers av arbeidsflyter der det er teknisk mulig.

Valgfri funksjonalitet for merkbare markeringer (for deepfakes og AI-generert og manipulert publisert tekst) oppfordrer leverandører av generative AI-systemer som er i stand til å generere deepfakes og AI-generert og manipulert publisert tekst til å tilby en valgfri funksjonalitet i systemets grensesnitt og implementere et integrert alternativ som lar distributører og andre brukere direkte bruke et merkbart maskinlesbart merke eller en etikett på en generert utdata etter eget skjønn.

Forpliktelse 2 – Oppdagelse av merking av AI-generert innhold

Forpliktelse 2 krever at underskrivere av kodeksen implementerer tiltak som muliggjør deteksjon av lyd-, bilde-, video- eller tekstinnhold (eller en kombinasjon av disse) som genereres eller manipuleres av deres AI-system. De må også sørge for at denne informasjonen gis på en tydelig, lett gjenkjennelig og tilgjengelig måte gjennom verktøy eller API-er.

Tiltakene i Forpliktelse 2 inkluderer:

Deteksjonsmekanismer for aktiv merking gjort tilgjengelig for distributører, sluttbrukere og andre tredjeparter. Dette tiltaket krever at underskriverne sørger for at et grensesnitt gjøres tilgjengelig, kostnadsfritt, slik at distributører, brukere, sluttbrukere og andre legitime parter av AI-systemer kan bekrefte om innhold har blitt generert eller manipulert av deres AI-system.

Rettsmedisinske deteksjonsmekanismer er et valgfritt tiltak som oppmuntrer underskriverne til å støtte utviklingen av rettsmedisinske detektorer som er i stand til å oppdage resultatene fra generative AI-modeller som er tilgjengelige på unionsmarkedet, inkludert når de er integrert i systemer.

Tydelig og tilgjengelig offentliggjøring av verifiserings- og deteksjonsresultater krever at underskriverne sørger for at resultatene av deteksjon og verifisering presenteres tydelig og på en måte som er lett forståelig for personer som ønsker å bekrefte innholdets opprinnelse. Dette inkluderer å sørge for at resultatene gir informasjon basert på et vannmerke, metadata, rettsmedisinsk deteksjon eller andre teknikker.

De bør også sørge for at resultatene av deteksjonsmekanismer og deres brukergrensesnitt, der det er aktuelt, er tilgjengelige for personer med funksjonsnedsettelser.

Støtt kunnskap om AI-merkingsteknologier og verifisering oppfordrer underskriverne til å sørge for at dokumentasjon og annen relevant informasjon (ikke inkludert forretningshemmeligheter) er rettet mot lekfolk, slik at distributører og andre brukere kan ta informerte beslutninger om hvilke merke- og deteksjonsmekanismer de kan bruke. De oppfordres også til å tilby ressurser for sluttbrukerkunnskap om kunstig intelligens etter behov.

Forpliktelse 3 – Tiltak for å oppfylle kravene til merkings- og deteksjonsteknikker

Forpliktelse 3 krever at underskriverne sørger for at de tekniske løsningene som brukes for merking og deteksjon av AI-generert eller manipulert innhold er effektive, interoperable, robuste og pålitelige. De bør strebe etter å oppnå høyest mulig effektivitet, interoperabilitet, robusthet og pålitelighet for merkings- og deteksjonsløsninger, og oppnå dette i den grad det er teknisk mulig.

effektivitet krever at underskriverne implementerer merke- og deteksjonsløsninger som er egnet for formålet og i stand til å effektivt gjøre det mulig for folk å skille mellom AI-generert eller manipulert innhold og menneskeskapt innhold.

Pålitelighet krever at underskrivere av koden implementerer merke- og deteksjonsløsninger som oppnår et høyt nivå av pålitelighet i ulike kontekster og brukstilfeller. Dette inkluderer vurdering av to komponenter: hvor nøyaktig deteksjonen av merkingen er under kontrollerte forhold, og hvordan nøyaktigheten til merke- og deteksjonsløsningene varierer med hensyn til lengden, entropien og semantikken til innholdet.

Robusthet krever at signatarer implementerer merke- og deteksjonsløsninger som oppnår høy robusthet mot vanlige endringer og fiendtlige angrep. Dette inkluderer å sikre at merke- og deteksjonsteknikkene deres er robuste mot typiske behandlingsoperasjoner, inkludert speiling, beskjæring, komprimering, skjermopptak og mer. Signatarer bør også vurdere den fiendtlige robustheten til merke- og deteksjonsløsningene sine og bør oppdatere trusselvurderinger ofte.

Interoperabilitet krever at underskrivere av kodeksen implementerer tekniske løsninger for merking og deteksjon av AI-generert eller manipulert innhold som fungerer på tvers av distribusjonskanaler og teknologiske miljøer. Målet med dette tiltaket er å sikre full interoperabilitet mellom merkings- og deteksjonsløsningene til ulike leverandører av AI-systemer med felles merkings- og deteksjonsstandarder.

Fremme av det nyeste innen merking og deteksjon oppfordrer underskriverne til å investere i vitenskapelig forskning og utvikling for å fremme det nyeste innen merkings- og deteksjonsmekanismer for AI-generert og manipulert innhold. Dette er avhengig av deres kapasitet og ressurser.

Forpliktelse 4 – Testing, verifisering og samsvar

Forpliktelse 4 krever at underskriverne forplikter seg til å etablere, holde seg oppdatert og implementere test-, verifiserings- og samsvarsprosesser.

Forpliktelsesmålene 4 inkluderer:

Samsvarsrammeverk, som krever at signatarene utarbeider, implementerer og oppdaterer et samsvarsrammeverk som beskriver merkings- og deteksjonsprosessene og tiltakene som signatarene implementerer for å sikre samsvar med artikkel 50(2) og (5) i EUs KI-lov. Dette tiltaket bør implementeres proporsjonalt, med tanke på leverandørens størrelse og ressurser.

Ocuco testing, verifisering og overvåking Tiltaket krever at underskriverne tester merke- og deteksjonsløsningene for å sikre at de overholder kravene og tiltakene som er skissert i del 1 av koden under reelle forhold, og før de bringes på markedet. Leverandører av generative AI-systemer i etterfølgende segmenter kan stole på resultater av testing utført av en oppstrømsmodell eller en tredjepartsleverandør av merke- og deteksjonsteknikker.

Kurs krever at underskriverne gir passende opplæring til personell med roller som er relevante for å sikre samsvar med artikkel 50(2) og (5) i EUs KI-lov, som er involvert i design og utvikling av KI-systemer og -modeller og som er ansvarlige for å sikre at tiltakene spesifisert i paragraf 1 i kodeksen implementeres effektivt.

Samarbeid med markedstilsynsmyndighetene krever at undertegnere av kodeksen samarbeider med kompetente markedstilsynsmyndigheter for å demonstrere samsvar med artikkel 50(2) og (5) i EUs KI-lov og deres forpliktelser i henhold til paragraf 1 i kodeksen.

Del 2: Regler for merking av deepfakes og AI-generert og manipulert publisert tekst

Avsnitt 2 gjelder for distributører av KI-systemer og er knyttet til artikkel 50(4) og (5) i EUs KI-lov.

De spesifikke målene i paragraf 2 i koden er å tjene som et veiledende dokument for å demonstrere samsvar med forpliktelsene til distributører av generative AI-systemer i loven, selv om overholdelse av koden ikke er avgjørende bevis på samsvar med disse forpliktelsene. Denne paragrafen er utformet for å hjelpe distributører av AI-systemer som genererer eller manipulerer bilde-, lyd- eller videoinnhold som utgjør en deepfake eller tekst med å overholde sine forpliktelser, og for å gjøre det mulig for markedstilsynsmyndighetene å vurdere samsvar.

Forpliktelse 1 – Avsløring av AI-genererte og manipulerte deepfakes og publisert tekst

Forpliktelse 1 krever at underskriverne sørger for konsekvent offentliggjøring av den kunstige opprinnelsen til AI-genererte eller manipulerte deepfake-filer eller publisert tekst om saker av offentlig interesse.

Underskrivere kan gjøre dette ved å bruke det ensartede EU-ikonet når dette er tilgjengelig, eller ved å velge et alternativt ikon eller en alternativ merkeløsning som oppfyller kravene spesifisert i følgende tiltak:

Designkrav for ikoner, etiketter eller ansvarsfraskrivelser inneholder en liste over krav til utforming av visuelle ikoner eller etiketter. Dette inkluderer det visuelle hovedelementet i form av en stor «KI», muligens supplert med en kort tekstetikett som beskriver typen involvering av KI, for eksempel «generert med KI». For innhold med kun lyd må underskrivere inkludere en kort hørbar ansvarsfraskrivelse. Mer informasjon om de spesifikke kravene finnes i koden.

Plasseringskrav for ikoner, etiketter eller ansvarsfraskrivelser krever at underskrivere viser ikonet, etiketten eller ansvarsfraskrivelsen på en passende og tydelig plassering som er i samsvar med innholdets format og kontekst. Mer informasjon om de spesifikke kravene finnes i retningslinjene.

Valgfri bruk av et EU-ikon og deltakelse i utviklingen av det er en valgfri forpliktelse som oppfordrer underskriverne til å bruke det EU-dekkende ikonet og støtte utviklingen av en ensartet EU-etikett som er utformet for å gi mer avansert og brukbar informasjon om AI-genererte eller manipulerte innholdselementer.

Forpliktelse 2 – Proporsjonal samsvar, bevissthet og gjennomgang

For å overholde forpliktelse 2 må underskriverne implementere forholdsmessige interne prosesser, bevisstgjøringstiltak og gjennomgangsmekanismer for korrekt implementering av merkingen av deepfakes og tekstpublikasjoner innenfor virkeområdet for artikkel 50(4) i EUs KI-lov.

Intern samsvar krever at underskriverne etablerer, tilpasser eller vedlikeholder forholdsmessig intern dokumentasjon for å spesifisere hvordan de implementerer opplysningsplikten i henhold til de nevnte paragrafene i EUs KI-lov.

Bevisstgjøring og trening krever at underskriverne gjør en rimelig og forholdsmessig innsats for å sikre kjennskap til opplysningspliktene i henhold til artikkel 50(4) og (5) i EUs KI-lovgivning blant personell som er direkte involvert i gjennomføringen av merkingstiltak eller fører tilsyn med overholdelsen av tiltakene i avsnitt 2 i kodeksen.

Gjennomgang, tilbakemeldinger og samarbeid med myndigheter krever at underskriverne støtter effektiv implementering av offentliggjøringsforpliktelser gjennom gjennomgangs- og tilbakemeldingsmekanismer, for eksempel å tilby kanaler som lar enkeltpersoner eller betrodde tredjeparter, som uavhengige faktasjekkere, flagge uriktige eller manglende opplysninger.

Forpliktelse 3 – Passende opplysninger om kunstneriske, kreative og lignende verk

Forpliktelse 3 krever at underskriverne implementerer tiltak for å offentliggjøre deepfake-innhold som er en del av kunstneriske, kreative, satiriske, fiktive eller analoge verk eller programmer. Offentliggjøring bør gjøres på en passende måte som ikke hindrer visning eller nytelse av verket. Spesifikke plasseringsforslag finnes i retningslinjene.

Forpliktelse 4 – Menneskelig gjennomgang, redaksjonell kontroll og ansvar i forbindelse med AI-genererte eller manipulerte tekstpublikasjoner

For å sikre samsvar med forpliktelse 4, bør signatarene etablere, tilpasse eller vedlikeholde minimal dokumentasjon som viser at den AI-genererte eller manipulerte teksten som er publisert med det formål å informere offentligheten om saker av offentlig interesse, har gjennomgått menneskelig gjennomgang eller redaksjonell kontroll før publisering, og at en fysisk eller juridisk person har redaksjonelt ansvar for publiseringen.

Dokumentasjonen bør inneholde identifikasjon av personen med redaksjonelt ansvar, inkludert navn, rolle og kontaktinformasjon, og en oversikt over tiltakene som er satt av for å sikre at tilstrekkelig menneskelig gjennomgang utføres.

Overholdelse av praksisreglene i ISO 42001

Anbefalingen er frivillig. Den gir imidlertid leverandører og distributører av KI-systemer en måte å demonstrere at de overholder de juridiske forpliktelsene til åpenhet i EUs KI-lov.

Ocuco ISO 42001-standard gir et rammeverk for beste praksis for å bygge, vedlikeholde og kontinuerlig forbedre et AI-styringssystem (AIMS), og kan også støtte bredere samsvar med EUs AI-lov. Standarden er utformet for å sikre at organisasjoner vurderer spesifikke problemstillinger knyttet til AI, inkludert sikkerhet, trygghet, rettferdighet, åpenhet, datakvalitet og kvaliteten på AI-systemer gjennom hele livssyklusen.

ISO 42001 gir organisasjoner et grunnlag for å implementere et etisk og transparent AIMS som dekker AI-modeller, -systemer og -distribusjon. Et robust, ISO 42001-kompatibelt AIMS kan gjøre det mulig for organisasjoner å enkelt vedlikeholde og demonstrere bevis på samsvar med anbefalingen og EUs AI-lov.

Overholdelse av EUs AI-lovgivningskodeks for åpenhet om AI-generert innhold

Det kan være en utfordring å implementere de nødvendige tiltakene for å samsvare med anbefalingen. Som et minimum bør organisasjoner iverksette tiltakene som kreves for transparent merking og deteksjon av kunstig intelligens, gjennomgå dokumentasjon av menneskelig tilsynsprosess og identifisere hull mellom deres nåværende tilnærming til åpenhet og tiltakene som kreves i anbefalingen.

Hvis organisasjonen din vurderer å overholde ISO 42001, ta kontakt for å se hvordan ISMS.online kan hjelpe. Ta det neste steget mot ansvarlig og metodisk AI-håndtering, og sørg for at organisasjonens bruk av AI er i samsvar med de juridiske forpliktelsene i EUs AI-lov.

Utvid din kunnskap

Blogg: En viktig frist for EUs AI-lov nærmer seg: Her er hva bedrifter trenger å vite

Blogg: Kan ISO 42001 bli Storbritannias De Facto AI-regulator?

Webinar: Lærdommer fra en av verdens første ISO 42001-sertifiseringer