|
11.3.2022 |
DA |
Den Europæiske Unions Tidende |
C 115/5 |
DEN EUROPÆISKE CENTRALBANKS UDTALELSE
af 29. december 2021
om et forslag til en forordning om harmoniserede regler for kunstig intelligens
(CON/2021/40)
(2022/C 115/05)
Indledning og retsgrundlag
Den Europæiske Centralbank (ECB) modtog den 3. november 2021 en anmodning fra Rådet for Den Europæiske Union om en udtalelse om et forslag (1) til Europa-Parlamentets og Rådets forordning om harmoniserede regler for kunstig intelligens (retsakten om kunstig intelligens) og om ændring af visse af Unionens lovgivningsmæssige retsakter (herefter »forordningsforslaget«).
ECB’s kompetence til at afgive udtalelse fremgår af artikel 127, stk. 4, og artikel 282, stk. 5, i traktaten om Den Europæiske Unions funktionsmåde, da forordningsforslaget indeholder bestemmelser, der falder inden for ECB’s kompetenceområde, navnlig i forbindelse med ECB’s opgaver vedrørende tilsynet med kreditinstitutter i henhold til traktatens artikel 127, stk. 6. I overensstemmelse med artikel 17.5, første punktum, i forretningsordenen for Den Europæiske Centralbank er denne udtalelse vedtaget af ECB’s Styrelsesråd.
1. Generelle bemærkninger
|
1.1. |
ECB glæder sig over formålet med forordningsforslaget om at forbedre det indre markeds funktion ved at fastlægge ensartede retlige rammer for udvikling, markedsføring og anvendelse af pålidelig kunstig intelligens i overensstemmelse med Unionens værdier. ECB anerkender betydningen af at fastsætte harmoniserede krav, der er specifikke for AI-systemer, for at sikre et konsekvent og højt beskyttelsesniveau for tvingende almene hensyn såsom sundhed, sikkerhed og grundlæggende rettigheder. |
|
1.2. |
ECB anerkender endvidere den stigende betydning af AI-baseret innovation i banksektoren. I lyset af bankaktiviteternes grænseoverskridende karakter og mulighederne for at anvende AI-baseret innovation støtter ECB, som tilsynsmyndigheden på EU-plan, kraftigt behovet for at sikre kreditinstitutternes harmoniserede gennemførelse af forordningsforslaget, for så vidt angår tilsynsmæssige risici og krav. Af samme hensyn og som følge af AI’s stigende betydning opfordres EU-lovgiver til at overveje, om det i fremtiden vil være muligt at oprette en uafhængig myndighed for kunstig intelligens på EU-plan, der er ansvarlig for den harmoniserede anvendelse af forordningsforslaget i hele det indre marked i relation til spørgsmål, der specifikt vedrører sundhed, sikkerhed og grundlæggende rettigheder. |
|
1.3. |
For så vidt angår højrisiko-AI-systemer, der leveres eller anvendes af kreditinstitutter, forstår ECB, at forordningsforslaget integrerer visse forpligtelser i de procedurer, der er fastsat i Europa-Parlamentets og Rådets direktiv 2013/36/EU (2) (herefter »kapitalkravsdirektivet«). Forordningsforslaget har navnlig til formål at øge overensstemmelsen med kapitalkravsdirektivet ved at integrere nogle af udbydernes og brugernes risikostyrings- og ledelsesforpligtelser i kreditinstitutternes interne ledelsessystem (3). Da AI er nyt og komplekst, og forordningsforslaget indeholder standarder på højt niveau, er det nødvendigt med yderligere vejledning for at præcisere de tilsynsmæssige forventninger med hensyn til forpligtelserne i forhold til interne forvaltningssystemer. |
|
1.4. |
ECB glæder sig over, at forordningsforslaget har til hensigt at undgå overlapninger med de eksisterende lovgivningsmæssige rammer ved at integrere nogle af dens bestemmelser i de relevante bestemmelser i kapitalkravsdirektivet (4). I den forbindelse glæder ECB sig over, at forpligtelsen for kreditinstitutudbydere af højrisiko-AI-systemer til at indføre et kvalitetsstyringssystem og forpligtelsen for kreditinstitutbrugere af højrisiko-AI-systemer til at overvåge systemets drift anses for at være opfyldt ved overholdelse af reglerne om ordninger, procedurer og mekanismer for intern ledelse, som er fastsat i de relevante bestemmelser i kapitalkravsdirektivet (5). |
|
1.5. |
ECB understreger, at forordningsforslaget ikke bør berøre kreditinstitutternes mere specifikke eller strenge tilsynsmæssige forpligtelser, der er fastsat i den sektorspecifikke lovgivning og suppleres af tilsynsvejledning. Eksempelvis udstrækker forpligtelserne, som påhviler kreditinstitutbrugere af AI-systemer i henhold til kapitalkravsdirektivet (6), sig til effektiv kontrol med outsourcingordninger, herunder identifikation, vurdering og afbødning af alle dermed forbundne risici, som yderligere forklaret i EBA’s retningslinjer for outsourcingordninger (7). I henhold til forordningsforslaget har udbydere og brugere af højrisiko-AI-systemer ganske vist forskellige forpligtelser, men EBA’s retningslinjer sondrer ikke mellem tredjepartsudbydere af teknologiske løsninger og kreditinstitutter i forbindelse med outsourcing. I denne henseende mindsker outsourcing ikke kreditinstitutternes forpligtelse til at overholde de lovgivningsmæssige krav, og den tilsynsførende har fortsat kompetence til at føre tilsyn med de tilsynsmæssige risici, der er forbundet med outsourcede funktioner. På den baggrund ser ECB gerne yderligere præciseringer af, hvilke krav der gælder, og hvilke myndigheder der har kompetence i forbindelse med kreditinstitutbrugeres outsourcing af højrisiko-AI-systemer. |
|
1.6. |
ECB’s rolle i henhold til forordningsforslaget bør præciseres, navnlig med hensyn til: 1) ECB’s tilsynsmæssige beføjelser generelt og i forbindelse med markedsovervågning og overensstemmelsesvurdering, og 2) forordningsforslagets anvendelse på ECB’s opgaver i henhold til traktaten. |
|
1.7. |
ECB er fortsat forpligtet til en teknologineutral tilgang i tilsynet med kreditinstitutter. ECB’s rolle er at sikre kreditinstitutters sikkerhed og soliditet ved at opretholde en høj standard for tilsyn, uanset hvilken teknologisk løsning der anvendes. ECB tilstræber at opretholde lige vilkår for tilsyn med kreditinstitutter efter det vejledende princip om »samme aktivitet, samme risici, samme tilsyn« (8). |
2. ECB’s rolle i henhold til forordningsforslaget
2.1. Præcisering af ECB’s tilsynsbeføjelser i forbindelse med markedsovervågning
|
2.1.1. |
I henhold til forordningsforslaget finder Europa-Parlamentets og Rådets forordning (EU) 2019/1020 (9) anvendelse på AI-systemer, der er omfattet af forordningsforslaget (10), og enhver henvisning til et produkt i henhold til forordning (EU) 2019/1020 skal forstås således, at den omfatter alle AI-systemer, der henhører under forordningsforslagets anvendelsesområde (11). I den forbindelse bemærker ECB, at formålet med forordning (EU) 2019/2020 er at forbedre det indre markeds funktion ved at styrke markedsovervågningen af produkter, der er omfattet af EU-harmoniseringslovgivningen, for at sikre, at kun produkter, der opfylder kravene og sikrer et højt niveau af beskyttelse af samfundsinteresser, såsom sundhed og sikkerhed generelt, sundhed og sikkerhed på arbejdspladsen, forbrugerbeskyttelse, miljøbeskyttelse og offentlig sikkerhed samt andre samfundsinteresser, der er beskyttet af EU-harmoniseringslovgivningen, bringes i omsætning på EU-markedet (12). |
|
2.1.2. |
I forordningsforslaget defineres »markedsovervågningsmyndighed« som den nationale myndighed, der udfører aktiviteter og træffer foranstaltninger i henhold til forordning (EU) 2019/1020 (13). Forordning (EU) 2019/1020 definerer markedsovervågningsmyndigheden som en myndighed, der i henhold til forordning (EU) 2019/1020 er udpeget af en medlemsstat som ansvarlig for at udføre markedsovervågning i den pågældende medlemsstat (14). Desuden præciseres det i niende betragtning til forordning (EU) 2019/1020, at ansvaret for at håndhæve EU-harmoniseringslovgivningen bør ligge hos medlemsstaterne, og at deres markedsovervågningsmyndigheder bør pålægges at sikre, at lovgivningen overholdes fuldt ud (15). På det grundlag forstår ECB, at ECB i henhold til forordningsforslaget på ingen måde er en markedsovervågningsmyndighed. |
|
2.1.3. |
Det fremgår imidlertid også af forordningsforslaget, at for så vidt angår AI-systemer, der bringes i omsætning, tages i brug eller anvendes af finansielle institutioner, der er omfattet af EU-lovgivningen om finansielle tjenesteydelser, er markedsovervågningsmyndigheden med henblik på denne forordning den relevante myndighed, der i henhold til den lovgivning er ansvarlig for det finansielle tilsyn med disse institutioner (16). Endvidere præciseres det i betragtning 80 til forordningsforslaget, at EU-lovgivningen om finansielle tjenesteydelser omfatter regler og krav vedrørende intern forvaltning og risikostyring, som finder anvendelse på regulerede finansielle institutioner i forbindelse med leveringen af sådanne tjenester, herunder når de gør brug af AI-systemer. Endelig præciseres det, at for at sikre en sammenhængende anvendelse og håndhævelse af forpligtelserne i henhold til forordningsforslaget og de relevante regler og krav i EU-lovgivningen om finansielle tjenesteydelser bør de myndigheder, der er ansvarlige for tilsyn med og håndhævelse af lovgivningen om finansielle tjenesteydelser, herunder ECB i det omfang, det er relevant, udpeges som kompetente myndigheder med henblik på at føre tilsyn med gennemførelsen af forordningsforslaget, herunder også markedsovervågningsaktiviteter, for så vidt angår AI-systemer, der leveres eller anvendes af finansielle institutioner, som er regulerede, og som der føres tilsyn med. I den forbindelse henvises der også til behovet for yderligere at styrke sammenhængen mellem forordningsforslaget og de regler, der gælder for kreditinstitutter, der reguleres i henhold til kapitalkravsdirektivet. |
|
2.1.4. |
I henhold til traktatens artikel 127, stk. 6, kan Rådet med enstemmighed overdrage specifikke opgaver til ECB vedrørende politikker med hensyn til tilsyn med kreditinstitutter og andre finansielle institutioner bortset fra forsikringsselskaber. På det grundlag overdrager Rådets forordning (EU) nr. 1024/2013 (17) (herefter »SSM-forordningen«) særlige opgaver til ECB i forbindelse med politikker vedrørende tilsyn med kreditinstitutter med henblik på at bidrage til kreditinstitutternes sikkerhed og soliditet og det finansielle systems stabilitet inden for Unionen og de enkelte medlemsstater, idet der fuldt ud og under stor omhu tages hensyn til det indre markeds enhed og integritet baseret på ligebehandling af kreditinstitutterne med henblik på at undgå regelarbitrage (18). I den forbindelse har ECB i tilsynsøjemed enekompetence til at sikre overholdelse af alle relevante EU-retsakter, som pålægger kreditinstitutter krav om bl.a. at indføre solide risikostyringsprocedurer og interne kontrolmekanismer (19). ECB’s tilsynsrolle er i denne forbindelse begrænset til at sikre, at kreditinstitutter gennemfører politikker og procedurer til at evaluere og styre deres eksponering for tilsynsrisici, herunder risici i forbindelse med forskellige aspekter af bankernes forretningsmodeller, ledelse og operationelle risici, og risici, som opstår som følge af anvendelsen af teknologiske løsninger for at sikre kreditinstitutternes sikkerhed og soliditet og det finansielle systems stabilitet (20). |
|
2.1.5. |
Markedsovervågning har ikke til formål at sikre kreditinstitutters sikkerhed og soliditet, men fokuserer i stedet på at beskytte enkeltpersoners interesser, der potentielt kan blive berørt af misbrug af AI-systemer, ved at sikre, at sådanne systemer opfylder de krav, der er nødvendige for at sikre et højt niveau af beskyttelse af samfundsinteresser såsom menneskers sundhed og sikkerhed. ECB forstår derfor, at EU-lovgiver i henhold til forordningsforslaget ikke har til hensigt, at ECB skal fungere som markedsovervågningsmyndighed i forhold til kreditinstitutter under dens tilsyn. Denne konklusion er i overensstemmelse med betragtningerne til SSM-forordningen, som præciserer, at de nationale myndigheder har kompetence til at sikre en høj grad af forbrugerbeskyttelse (21). |
|
2.1.6. |
På den baggrund og for at være i overensstemmelse med ECB’s tilsynsbeføjelser i henhold til traktatens artikel 127, stk. 6, og SSM-forordningen foreslår ECB, at forordningsforslagets ordlyd utvetydigt bør præcisere, at ECB ikke er udpeget som markedsovervågningsmyndighed eller har fået overdraget nogen markedsovervågningsopgaver. |
|
2.1.7. |
Selv om opgaverne i forbindelse med markedsovervågning ikke er overdraget til ECB, vil visse medlemsstater kunne betragte udpegningen af kompetente nationale myndigheder, der er involveret i tilsynet med kreditinstitutter, som ansvarlige for markedsovervågning inden for rammerne af forordningsforslaget, i det omfang deres mandat tillader det, og i det mindste i det omfang, markedsovervågningsopgaverne finder anvendelse i situationer, hvor et AI-system tages i brug til eget brug. Udpegningen af de nationale kompetente myndigheder, der i øjeblikket er involveret i tilsynet med kreditinstitutter, som ansvarlige for en sådan markedsovervågning, kunne ses som en garant for tilsynsresultaternes sammenhæng og omkostningseffektivitet, idet der drages fordel af den ekspertise, som disse myndigheder trækker på i forbindelse med udøvelsen af deres undersøgelses- og tilsynsbeføjelser over for kreditinstitutter. |
|
2.1.8. |
Endelig bemærker ECB, at bestemmelserne om markedsovervågning i forordningsforslaget ikke i tilstrækkelig grad tager højde for situationer, hvor et AI-system tages i brug til eget brug. F.eks. vil markedsovervågningsmyndighedernes beføjelser i henhold til forordningsforslaget til at tilbagekalde eller tilbagetrække et AI-system ikke nødvendigvis betyde, at systemet ikke længere anvendes i situationer, hvor det anvendes til eget brug (22). EU-lovgiver opfordres derfor til at præcisere, hvilke restriktive foranstaltninger der gælder, og hvilke kompetente myndigheders beføjelser der bør finde anvendelse på situationer, hvor systemet anvendes til eget brug. |
2.2. Præcisering af ECB’s tilsynsbeføjelser i forbindelse med overensstemmelsesvurderinger
|
2.2.1. |
I henhold til forordningsforslaget (23) skal der for højrisiko-AI-systemer, der er beregnet til at foretage kreditvurderinger af fysiske personer eller fastslå deres kreditværdighed (24), og som bringes i omsætning eller tages i brug af udbydere, der er kreditinstitutter, foretages en overensstemmelsesvurdering som led i tilsynskontrol- og vurderingsprocessen (SREP) (25). Forordningsforslaget definerer (26) overensstemmelsesvurderingen som en proces til verificering af, om de obligatoriske krav vedrørende højrisiko-AI-systemer, som er fastsat i forordningsforslaget (27), er opfyldt. |
|
2.2.2. |
Som tidligere nævnt har Rådet i henhold til traktatens artikel 127, stk. 6, overdraget ECB specifikke opgaver i forbindelse med politikker vedrørende tilsyn med kreditinstitutter med henblik på at bidrage bl.a. til kreditinstitutters sikkerhed og soliditet og det finansielle systems stabilitet i Unionen og i de enkelte medlemsstater (28). For at undgå at gå videre end de opgaver, den er pålagt i henhold til traktaten, understreger ECB, at den kan stå i en situation, hvor den skal føre tilsyn med gennemførelsen af de relevante krav inden for rammerne af SREP, samtidig med at den fokuserer på de tilsynsmæssige risici, som kreditinstitutter kan blive eksponeret for. I den forbindelse opfordres EU-lovgiver til at overveje, i hvilket omfang flere elementer i overensstemmelsesvurderingen muligvis ikke er af tilsynsmæssig karakter, for så vidt som de i vid udstrækning vedrører den tekniske vurdering af AI-systemer for at beskytte menneskers sundhed og sikkerhed og sikre, at de grundlæggende rettigheder respekteres ved at minimere risikoen for fejlagtige eller partiske AI-støttede processer. De pågældende bestemmelser i forordningsforslaget kræver navnlig, at højrisiko-AI-systemer skal være udformet eller udformet og udviklet 1) på grundlag af trænings-, validerings- og prøvningsdatasæt, der opfylder visse kvalitetskriterier, hvis de gør brug af teknikker, som omfatter træning af modeller med data, 2) på en sådan måde, at hændelser (»logfiler«) registreres automatisk, for at sikre en i forhold til AI-systemets tilsigtede formål passende grad af sporbarhed af systemets funktion gennem hele dets livscyklus, 3) på en sådan måde, at fysiske personer kan føre effektivt tilsyn med dem, herunder med passende menneske-maskine-grænsefladeværktøjer, for at forebygge eller minimere de risici for menneskers sundhed, sikkerhed eller grundlæggende rettigheder, der kan opstå, når et højrisiko-AI-system anvendes, og 4) for at opnå et passende niveau af nøjagtighed, robusthed og cybersikkerhed (29). Som det præciseres i betragtningerne til forordningsforslaget, er disse krav med hensyn til kvaliteten af de anvendte datasæt, teknisk dokumentation og registrering, gennemsigtighed og levering af oplysninger til brugerne, menneskeligt tilsyn og robusthed, nøjagtighed og cybersikkerhed nødvendige for effektivt at afbøde risici for sundhed, sikkerhed og grundlæggende rettigheder (30). |
|
2.2.3. |
På den baggrund opfordres EU-lovgiver til yderligere at overveje behovet for at udpege relevante kompetente myndigheder som ansvarlige for tilsynet med den overensstemmelsesvurdering, der foretages af kreditinstitutter, for så vidt angår spørgsmål, der er specifikke for sundhed, sikkerhed og grundlæggende rettigheder, og til at overveje behovet for at sikre en harmoniseret anvendelse af forordningsforslaget i hele det indre marked ved i fremtiden at oprette en myndighed for kunstig intelligens på EU-plan. |
|
2.2.4. |
Endvidere er visse krav til højrisiko-AI-systemer ikke helt klare eller specifikke nok til at give en tilstrækkelig forståelse af de tilsynsmæssige forventninger. Eksempelvis kan det være nødvendigt yderligere at præcisere kravet om, at trænings-, validerings- og prøvningsdatasæt skal være relevante, repræsentative, fri for fejl og fuldstændige (31). I betragtning af rækkevidden af det mandat, der gives til europæiske standardiseringsorganisationer (32) og derfor den potentielle risiko for at svække de normer, der er fastsat i forordningsforslaget, bør kravene vedrørende højrisiko-AI-systemer, der er fastsat i forordningsforslaget, være tilstrækkeligt specifikke. |
|
2.2.5. |
Endelig forstår ECB, at overensstemmelsesvurderingen af AI-systemer, der leveres af kreditinstitutter med henblik på at kreditvurdere fysiske personer eller fastslå deres kreditværdighed, er en del af en forudgående intern kontrol, der udføres af kreditinstituttet (33). I den forbindelse bør forordningsforslaget (34) ændres for at afspejle, at den specifikke vurdering, som den tilsynsførende skal foretage som led i SREP, udføres efterfølgende. |
2.3. Præcisering af ECB’s tilsynsbeføjelser generelt
ECB kan kun betragtes som en kompetent myndighed i det omfang, det er nødvendigt for, at den kan udføre de opgaver, den har fået overdraget i henhold til SSM-forordningen. For at undgå retlig usikkerhed om, hvorvidt forordningsforslaget overdrager nye opgaver til ECB, foreslår ECB, at forordningsforslaget i stedet for at henvise direkte til ECB som en kompetent myndighed henviser til kompetente myndigheder som defineret i de relevante EU-retsakter, såsom kapitalkravsdirektivet. Det følger således af SSM-forordningen, at ECB kun skal betragtes som en kompetent myndighed med henblik på at udføre sine tilsynsopgaver (35).
2.4. Præcisering af ECB’s uafhængighed i forbindelse med udførelsen af sine opgaver i henhold til traktaten
ECB forstår, at den, når den handler som udbyder, der markedsfører eller ibrugtager AI-systemer i Unionen, eller som bruger af AI-systemer, der befinder sig i Unionen, selv kan være omfattet af forordningsforslaget (36). Det samme gælder for de nationale centralbanker. Det fastsættes i forordningsforslaget, at i tilfælde hvor Unionens institutioner er omfattet af forordningen, fungerer Den Europæiske Tilsynsførende for Databeskyttelse som deres markedsovervågningsmyndighed (37). De nationale centralbanker kan være under tilsyn af de nationale kompetente myndigheder (38). I den forbindelse er det vigtigt at understrege, at ECB og de nationale centralbanker uafhængigt bør kunne udføre de opgaver, som de er pålagt i henhold til traktaten (39), f.eks. når de anvender en kunstig intelligens-applikation til at definere og gennemføre pengepolitikken og fremme betalingssystemernes smidige funktion (40). Det skal imidlertid anerkendes, at ESCB’s uafhængighed ved udførelsen af sine opgaver ikke fritager ESCB fra enhver EU-retlig regel (41). ECB forstår, at Den Europæiske Tilsynsførende for Databeskyttelses potentielle tilsyn med ECB og de nationale kompetente myndigheders potentielle tilsyn med de nationale centralbanker vil være begrænset til passende kontrol med og forvaltning af et AI-system og ikke på nogen måde vil have til formål at påvirke ECB’s og de nationale centralbankers muligheder for uafhængigt at udføre de opgaver, som de er pålagt i henhold til traktaten.
3. Klassificering af AI-systemer
|
3.1. |
Forordningsforslaget har til formål at sikre en lovgivningsmæssig ramme, der er forholdsmæssig i forhold til dets mål ved at følge en risikobaseret tilgang og kun pålægge reguleringsmæssige byrder, når et AI-system sandsynligvis vil udgøre en stor risiko for grundlæggende rettigheder og sikkerhed. Ikke desto mindre giver forordningsforslaget, der antager, at AI-teknologien vil blive videreudviklet i fremtiden, en bred definition af software, der er klassificeret som et AI-system. Det følger således, at software, der udvikles til at generere output såsom indhold, forudsigelser, anbefalinger eller beslutninger ved hjælp af statistiske og maskinlæringsmæssige tilgange samt søgnings- og optimeringsmetoder, udgør et AI-system (42). Denne brede definition dækker en bred vifte af aktiviteter, der udføres af kreditinstitutter, navnlig i forbindelse med systemer, der har til formål at fastslå fysiske personers kreditværdighed. |
|
3.2. |
I henhold til forordningsforslaget (43) vil langt de fleste vurderinger af kreditværdighed, der gør brug af AI-systemer, automatisk blive underlagt de horisontale minimumskrav, der pålægges højrisiko-AI-systemer. Derfor vil flere aktiviteter, herunder markedsføring målrettet mod nye kunder, modellering af indsamlede data og standardkreditscoremodeller (f.eks. kreditscorekort baseret på logistisk regression) skulle opfylde de samme krav. For at øge klarheden i de tilsynsmæssige forventninger og i overensstemmelse med ECB’s teknologineutrale tilgang foreslås det, at AI-systemer, der er beregnet til at foretage kreditvurderinger af fysiske personer eller fastslå deres kreditværdighed, og som bygger på selvstændig anvendelse af lineære eller logistiske regressions- eller beslutningstræer under menneskeligt tilsyn, ikke klassificeres som højrisiko-AI-systemer, hvis disse fremgangsmåder har en ubetydelig indvirkning på vurderingen af fysiske personers kreditværdighed eller kreditscore. |
|
3.3. |
Da kreditinstitutter regelmæssigt foretager vurderinger af kreditværdighed i deres daglig praksis, foreslår ECB, at ikrafttrædelsen af krav vedrørende kvalificeringen af AI-systemer, der er beregnet til at foretage kreditvurderinger af fysiske personer eller fastslå deres kreditværdighed som »højrisiko-AI-systemer«, bør udskydes, indtil Kommissionen har vedtaget fælles specifikationer (44) på området. Disse fælles specifikationer bør navnlig både fastsætte betingelserne, hvorunder højrisiko-AI-systemer på dette område antages at være i overensstemmelse med de gældende krav, og definere, hvornår AI-systemer skal betragtes som værende »taget i brug af mindre udbydere til eget brug« og derfor er omfattet af undtagelsen fra klassifikationen som et højrisiko-AI-system (45). På den baggrund bør ECB optages på listen over organer, der skal høres, før sådanne fælles specifikationer vedtages, hvis de vedrører AI-systemer, der er beregnet til at foretage kreditvurderinger af fysiske personer eller fastslå deres kreditværdighed (46). |
|
3.4. |
Endelig glæder ECB sig over muligheden for at ajourføre listen over højrisiko-AI-systemer i bilag III til forordningsforslaget (47) og er rede til at samarbejde med, og blive hørt af, Kommissionen, såfremt der identificeres yderligere potentielle risici ved AI-systemer, der kan udgøre en risiko for skade på menneskers sundhed og sikkerhed eller en risiko for negativ indvirkning på grundlæggende rettigheder. Bortset fra AI-systemer, der anvendes til at evaluere kreditvurderinger eller kreditværdigheden af fysiske personer, udpeger forordningsforslaget ikke andre systemer, som specifikt kreditinstitutter kan tage i brug, som højrisikosystemer. Ikke desto mindre er kreditinstitutter i gang med at udvikle eller overvejer de at udvikle og anvende AI-datamodellering, der knytter salg, transaktioner og resultatdata sammen for at sikre et klart overblik over adfærdsrisiko på bestemte områder. På samme måde kan AI-systemer anvendes i forbindelse med realtidsovervågning af betalinger eller til at profilere kunder eller transaktioner med henblik på bekæmpelse af hvidvask af penge og finansiering af terrorisme.
Hvor ECB foreslår ændringer af forordningsforslaget, vedlægges som bilag et ændringsforslag med en begrundelse herfor i et separat teknisk arbejdsdokument. Det tekniske arbejdsdokument er tilgængeligt på engelsk på EUR-Lex. |
Udfærdiget i Frankfurt am Main, den 29. december 2021.
Christine LAGARDE
Formand for ECB
(1) COM(2021) 206 final.
(2) Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).
(3) Jf. artikel 9, stk. 9, artikel 18, stk. 2, artikel 20, stk. 2, og artikel 29, stk. 5, i forordningsforslaget og artikel 74 i kapitalkravsdirektivet.
(4) Jf. artikel 74 i kapitalkravsdirektivet.
(5) Jf. artikel 17, stk. 3, og artikel 29, stk. 4, i forordningsforslaget.
(6) Jf. artikel 74 i kapitalkravsdirektivet.
(7) Jf. EBA Guidelines on Outsourcing Arrangements (https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-outsourcing-arrangements).
(8) Se Andrea Enria, formand for ECB’s tilsynsråd, »A binary future? How Digitalisation may change banking«, De Nederlandsche Bank, Amsterdam, 11. marts 2019, som findes på ECB Banktilsyns websted på www.bankingsupervision.europa.eu.
(9) Europa-Parlamentets og Rådets forordning (EU) 2019/1020 af 20. juni 2019 om markedsovervågning og produktoverensstemmelse og om ændring af direktiv 2004/42/EF og forordning (EF) nr. 765/2008 og (EU) nr. 305/2011 (EUT L 169 af 25.6.2019, s. 1).
(10) Jf. forordningsforslagets artikel 63, stk. 1.
(11) Jf. forordningsforslagets artikel 63, stk. 1, litra b).
(12) Jf. artikel 1, stk. 1, i forordning (EU) nr. 2019/1020.
(13) Jf. forordningsforslagets artikel 3, stk. 26.
(14) Jf. artikel 3, stk. 4, i forordning (EU) nr. 2019/1020.
(15) Jf. niende betragtning til forordning (EU) nr. 2019/1020.
(16) Jf. forordningsforslagets artikel 63, stk. 4.
(17) Rådets forordning (EU) nr. 1024/2013 af 15. oktober 2013 om overdragelse af specifikke opgaver til Den Europæiske Centralbank i forbindelse med politikker vedrørende tilsyn med kreditinstitutter (EUT L 287 af 29.10.2013, s. 63).
(18) Jf. SSM-forordningens artikel 1, stk. 1.
(19) Jf. SSM-forordningens artikel 4, stk. 1, litra e).
(20) Jf. betragtning 30 til SSM-forordningen samt side 53 og 54 i »ESCB/European banking supervision response to the European Commission’s public consultation on a new digital finance strategy for Europe/FinTech action plan« (august 2020), som findes på ECB Banktilsyns websted.
(21) Jf. SSM-forordningens artikel 28 og 29.
(22) Jf. forordningsforslagets artikel 3, nr. 16) og 17), artikel 65, stk. 2, andet afsnit, og artikel 65, stk. 5, og artikel 67, stk. 1.
(23) Jf. forordningsforslagets artikel 19, stk. 2 og artikel 43, stk. 2.
(24) Jf. forordningsforslagets bilag III, punkt 5, litra b).
(25) Artikel 97-101 i kapitalkravsdirektivet omhandler SREP.
(26) Jf. forordningsforslagets artikel 3, stk. 20.
(27) Jf. forordningsforslagets afsnit III, kapitel 2, artikel 8-15.
(28) Jf. SSM-forordningens artikel 1, stk. 1.
(29) Jf. forordningsforslagets artikel 10, 12, 14 og 15.
(30) Jf. betragtning 43 til forordningsforslaget.
(31) Jf. forordningsforslagets artikel 10, stk. 3.
(32) Jf. forordningsforslagets artikel 40 og betragtning 61.
(33) Jf. forordningsforslagets artikel 43, stk. 2, første punktum, og bilag VI.
(34) Jf. forordningsforslagets artikel 19, stk. 2, og navnlig artikel 43, stk. 2, andet punktum.
(35) Jf. artikel 6 i SSM-forordningen.
(36) Jf. forordningsforslagets artikel 2.
(37) Jf. forordningsforslagets artikel 59, stk. 8 og artikel 63, stk. 6.
(38) Jf. forordningsforslagets artikel 59, stk. 2.
(39) Jf. traktatens artikel 130.
(40) Jf. traktatens artikel 127, stk. 2, første og fjerde led.
(41) Se EU-Domstolens dom af 10. juli 2003, sag C-11/00, Kommissionen mod Den Europæiske Centralbank, ECLI:EU:C:2003:3, præmis 130-135.
(42) Jf. forordningsforslagets artikel 3, stk. 1 og bilag I.
(43) Jf. forordningsforslagets bilag III, punkt 5, litra b).
(44) Jf. forordningsforslagets artikel 41, stk. 1.
(45) I henhold til forordningsforslagets bilag III, punkt 5, litra b.
(46) Jf. forordningsforslagets artikel 41, stk. 2.
(47) Jf. forordningsforslagets artikel 7, stk. 1.