The European Rights-Driven Regulatory Approach in the Technology Sector and its Extraterritorial Impact A Comparative Case Study of the GDPR and the AI Act

Abstract

Den europeiske union (EU) har en unik tilnærming til regulering av den digitale økonomien, der målet er å beskytte europeiske borgeres grunnleggende rettigheter. Denne oppgaven spør hvordan tilnærmingen eksemplifiseres i to av EUs reguleringer innenfor teknologisektoren, personvernforordningen og KI-forordningen. For å finne svar på dette tar oppgaven utgangspunkt i det konseptuelle rammeverket for EUs rettighetsdrevne, regulatoriske tilnærming. Oppgaven undersøker også omfanget av personvernforordningens ekstraterritorielle virkning, og om den kommende KI-forordningen vil ha et lignende omfang. Den anvender det konseptuelle rammeverket for Brusseleffekten for å undersøke regelverkets ekstraterritorielle effekter. Metoden som brukes er en kvalitativ komparativ casestudieanalyse. Den sammenligner de to casestudiene, personvernforordningen og KI-forordningen, og undersøker hvordan de eksemplifiserer EUs rettighetsdrevne tilnærming og deres (mulige) ekstraterritorielle effekter. Denne oppgaven bidrar til å gi et detaljert innblikk i EUs unike regulatoriske tilnærming i teknologisektoren, og hvordan EUs regelverk opplever ekstraterritorielle effekter til tross for at de skiller seg fra andre digitale markeders regulatoriske tilnærminger. Oppgaven gir en grundig undersøkelse av hva som kan forventes av KI-forordningens ekstraterritorielle effekt ved å sammenligne den med personvernforordningens betydelige effekt. Den finner at de to forordningene er like i hvordan de eksemplifiserer EUs rettighetsdrevne reguleringstilnærming. Videre finner oppgaven at personvernforordningen har en betydelig ekstraterritoriell virkning, og forventer at KI-forordningen vil ha en lignende effekt, men på grunn av sitt bredere virkeområde er det mindre sannsynlig at den vil nå samme omfang som personvernforordningen. Ved å kombinere disse funnene kan det argumenteres at EU, gjennom sine regelverk, eksporterer europeiske verdier.

The European Union (EU) has a unique approach to regulating the digital economy by aiming to protect European citizens’ fundamental rights. The thesis asks how this approach is exemplified in two of the EU’s regulations within the technology sector, the General Data Protection Regulation (GDPR) and the Artificial Intelligence Act (AIA). To answer this, the thesis draws upon the conceptual framework of the EU’s rights-driven regulatory approach. The thesis also investigates the scope of the GDPR’s extraterritorial impact and whether the upcoming AI Act will have a similar reach. It applies the conceptual framework of the Brussels Effect to investigate the regulations’ extraterritorial impacts. The method applied is a qualitative comparative case study analysis. It compares the two case studies, the GDPR and the AIA, and investigates how they exemplify the EU’s rights-driven approach and their (possible) extraterritorial impact. This thesis contributes to a detailed insight into the EU’s unique regulatory approach for the technology sector and how, despite having a different approach from other digital markets, its regulations experience extraterritorial effects. It provides a thorough investigation of what can be expected of the AIA’s extraterritorial impact by comparing it to the impact of the GDPR. The thesis finds that the two regulations are similar exemplifications of the EU’s rights-driven regulatory approach. Further, it finds that the GDPR has a significant extraterritorial impact, and it expects the AIA’s impact to be similar. However, due to its broader scope, it is less likely it will reach the same extent as the GDPR. By combining these findings it can be argued that the EU, through its regulations, is exporting European values.