Viestintätoimisto Kaiku haastatteli toimitusjohtajaamme Anttia tekoälyn käyttöön liittyvistä juridisista haasteista.
Tekoälyn käyttö läpi toimialojen yleistyy kiihtyvällä tahdilla. Tekoälyn turvallinen käyttö edellyttää, että tekoälyyn liittyvät juridiset riskit tunnistetaan. Antti muistuttaa, että tekoälyn käytön yhteydessä on syytä kiinnittää huomiota muun muassa tekijänoikeuksiin ja liikesalaisuuksien suojaan.
Lue Antin vinkit tekoälyn käyttämiseen Viestintätoimisto Kauin sivuilta ladattavasta kehotemuotoiluoppaasta. Antin haastattelu on luettavista sivulla 32 alkaen.
Päivitetty: 25. lokak.
EU:ssa on parhaillaan käsittelyssä yksi unionin merkittävimmistä digisäädöshankkeista: tekoälysäädös (AI Act). Tässä artikkelissa käymme läpi tekoälysäädöksen pääpiirteitä sekä huomionarvoisia seikkoja tekoälyjärjestelmien käyttöönottoa suunniteltaessa.
Riskiperusteinen lähestymistapa
EU on ottanut riskiperusteisen lähestymistavan tekoälyn sääntelyyn. Säädöksessä asetetaan velvoitteita sekä tekoälyjärjestelmiä tarjoaville tahoille että järjestelmien käyttäjille. Olennaista soveltamisalaan kuulumisessa on, käytetäänkö järjestelmää EU-alueella. Sen vaikutukset voivat siis ulottua myös unionin ulkopuolella sijaitsevaan yhtiöön. Velvoitteet puolestaan riippuvat siitä, kuinka suuren riskin luonnollisten henkilöiden terveydelle, turvallisuudelle ja perusoikeuksille järjestelmä aiheuttaa kulloinkin kyseessä olevalla käyttötavalla käytettynä.
RISKITASO | VAATIMUKSET | ESIMERKKEJÄ |
Kielletty | Riskejä ei voida hyväksyä, kehitys ja käyttö kielletty |
|
Korkea riski | Tiukennetut vaatimukset |
|
Matala riski | Läpinäkyvyysvaatimukset |
|
Minimaalinen tai ei riskiä | Vapaaehtoiset eettiset periaatteet |
|
Kielletyn riskin tekoälyjärjestelmät sijoittuvat riskitasoryhmittelyn ylimmälle tasolle. Tälle tasolle sijoittuvat järjestelmät loukkaavat ihmisarvoa esimerkiksi pisteyttämällä ihmisiä sosiaalisesti eri ominaisuuksien perusteella tai hyväksikäyttämällä tiettyjen henkilöryhmien haavoittuvuuksia. Tällaisia järjestelmiä ei saa kehittää, saattaa markkinoille tai käyttää EU:ssa.
Korkean riskin tekoälyjärjestelmät aiheuttavat merkittävän riskin terveydelle, turvallisuudelle tai perusoikeuksille esimerkiksi avustamalla lain tulkinnassa ja soveltamisessa tai osallistumalla kriittisen infrastruktuurin kehittämiseen ja ylläpitoon. Tällaisiin järjestelmiin kohdistetaan muun muassa läpinäkyvyyttä, inhimillistä valvontaa, kestävyyttä ja turvallisuutta koskevia tiukennettuja vaatimuksia. Lisäksi ne tulee arvioida ennen markkinoille pääsyä sekä säännöllisesti koko elinkaaren ajan.
Matalan riskin tekoälyjärjestelmät voivat aiheuttaa sekaannuksia, joissa tekoälyjärjestelmien tuotoksien tulkitaan virheellisesti perustuvan inhimilliseen alkuperään. Tämä riski on olemassa esimerkiksi chatbottien kanssa keskustellessa sekä erittäin aidoilta vaikuttavien syväväärennysten osalta. Tähän kategoriaan kuuluvien järjestelmien tulee muun muassa noudattaa läpinäkyvyysvelvoitteita eli käyttäjälle tulee kertoa, kun tämä on tekemisissä tekoälysovelluksen kanssa.
Minimaalisen riskin tekoälyjärjestelmät eivät lähtökohtaisesti aiheuta riskejä tai riskit ovat erittäin vähäisiä. Esimerkiksi sähköpostin spämmifiltterit tai tekoälyn avulla toimivat videopelit kuuluvat tähän kategoriaan. Näiden järjestelmien sääntelyn ehdotetaan jatkossakin perustuvan vapaaehtoisiin Code of Conduct -tyyppisiin eettisiin periaatteisiin.
Kritiikki asetusta kohtaan
Tekoälyasetuksen oli alun perin tarkoitus soveltua vain korkean riskin käyttötarkoituksiin, mutta EU-parlamentti laajensi soveltamisalaa niin kutsuttuihin yleiskäyttöisiin tekoälyjärjestelmiin, kuten ChatGPT:hen. Tämä tarkoittaa OpenAI:lle uusia velvoitteita ja vastuuta sovelluksen käyttötavoista. Asetelma on ongelmallinen, sillä järjestelmää voi käyttää vapaasti ja hyvin monenlaisiin tarkoituksiin, joita OpenAI ei pysty kontrolloimaan. Yhtiö onkin uhannut vetää ChatGPT:n pois Euroopasta, jos tuleva lainsäädäntö hankaloittaa sen toimintaa liiaksi.
Haastavaa on myös se, että asetuksella luodaan yrityksille useita uusia velvoitteita, mutta ei määritetä täsmällisiä standardeja, jotka järjestelmien tulisi täyttää. Samoin ongelmallisia ovat tekoälyjärjestelmien tuottama disinformaatio ja tekijänoikeusloukkaukset. Lisäksi tekoälyteknologiaa kehitetään edelleen erittäin nopealla tahdilla, mikä luo haasteita ajantasaiseen sääntelyyn.
Vaikutukset yrityksille
Tekoälyjärjestelmien tarjoajille säädetään asetuksessa runsaasti erilaisia velvoitteita, joiden noudattamatta jättämisestä voi seurata erittäin merkittäviä sanktioita. Ne voivat olla suuruudeltaan enimmillään 30 miljoonaa euroa tai 6 % yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta rikkomuksen vakavuudesta riippuen. Käyttäjäyrityksiä eivät koske yhtä laajat velvoitteet. Keskeisimmät käyttäjiä koskevat velvoitteet liittyvät korkean riskin järjestelmien käyttämiseen sekä syväväärennösten tuottamiseen. Säädöksen soveltamisalan ulkopuolelle jää järjestelmien käyttäminen henkilökohtaisessa muussa kuin ammattitoiminnassa.
Huomaa nämä, kun suunnittelet tekoälyjärjestelmän hyödyntämistä yrityksesi toiminnassa:
Selvitä yrityksenne tarpeisiin soveltuvat tekoälyjärjestelmät ja kartoita niiden riskitaso.
Varaudu noudattamaan riskitason mukaisia vaatimuksia.
Varmista, että yrityksen käytännöt ja ohjeistukset tietosuojan ja tietoturvan osalta ovat ajan tasalla.
Kouluta henkilöstöä tekoälyasetuksen edellyttämistä toimenpiteistä.
Hankkeen eteneminen
EU-tasolla neuvosto on vahvistanut kantansa asetusehdotukseen joulukuussa 2022 ja parlamentti kesäkuussa 2023. Parlamentti on ollut kannassaan tiukempi ja ehdottanut muun muassa laajennuksia sekä kiellettyjen että korkean riskin tekoälyjärjestelmien soveltamisaloihin. Suomi on linjannut yhtyvänsä pitkälti neuvoston näkemykseen. Painoarvoa on annettu muun muassa riskien arvioimiselle käyttötarkoituksen mukaan sekä kohtuuttoman raskaiden velvoitteiden välttämiselle.
Asetusta koskevat neuvottelut jatkuvat edelleen EU-tasolla. Tavoitteena on saavuttaa yhteisymmärrys loppuvuodesta 2023. Seuraamme hankkeen etenemistä.
Lisätietoja aiheesta antaa:
Susanna Kesseli
Junior Counsel
+358 40 071 7794
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 22. syysk.
Tässä artikkelissa tarkastelemme EU:n kyberturvallisuussääntelyä, erityisesti kyberturvallisuusdirektiiviä eli niin kutsuttua NIS 2 -direktiiviä (NIS 2 Directive) sekä kyberturvallisuusasetusta (Cybersecurity Act, CSA).
EU:n kyberturvallisuussääntely
Kyberturvallisuus on noussut EU:ssa viime vuosina keskeiseksi puheenaiheeksi, kun teknologian nopea kehitys on tuonut mukanaan uusia haasteita. Kasvaneiden kyberturvallisuusuhkien vuoksi EU:ssa on katsottu tarpeelliseksi luoda unionin yhteinen kyberturvallisuuden sääntelykehys, jolla vahvistetaan tiettyjen toimialojen toimijoiden tietoverkkojen ja -järjestelmien turvallisuusvalmiuksia sekä luodaan toimijoille raportointivelvollisuus.
Kyberturvallisuusasetus (CSA)
Voimaantulo ja soveltaminen | 27.06.2019 |
Kyberturvallisuusasetuksella luotiin Eurooppalainen kyberturvallisuuden sertifiointikehys (The European Cybersecurity Certification Framework), joka koskee ICT-tuotteita, palveluja ja prosesseja. Kyseessä on EU:n laajuinen yhtenäinen sertifiointijärjestelmä, joka koostuu teknisistä vaatimuksista, standardeista ja menettelyistä. Yhtenäisen järjestelmän avulla yritykset voivat osoittaa, että niiden tuotteet, palvelut ja prosessit täyttävät tietyt kyberturvallisuusvaatimukset. Sertifiointi on vapaaehtoista.
Sertifiointikehyksen ohella asetuksella vahvistettiin vuonna 2004 perustetun EU:n kyberturvallisuusviraston (The EU Agency for Cybersecurity, ENISA) asemaa. ENISA toimii NIS 2 -direktiivillä perustettavan Euroopan kyberkriisien yhteysorganisaatioiden verkoston (The European Cyber Crises Liaison Organisation Network, EU-CyCLONe) kattoelimenä. Verkostossa Suomea edustaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.
Kyberturvallisuusdirektiivi eli NIS 2 -direktiivi
Voimaantulo | 16.01.2023 |
Kansallinen sääntely | 17.10.2024 |
Soveltaminen | 18.10.2024 |
NIS 2 -direktiivi on EU:n tietoverkkojen ja -palveluiden kyberturvallisuudesta annettu direktiivi. Sitä edelsi samaa aihepiiriä koskenut NIS -direktiivi vuodelta 2016. NIS 2 -direktiivillä sääntelyä uudistettiin muun muassa laajentamalla sen soveltamisalaa ja sillä asetettavia velvoitteita. NIS 2 -direktiivin tavoitteena on varmistaa, että tietyt yhteiskunnan toiminnan kannalta kriittiset toimialat ovat riittävän suojattuja kyberuhkilta.
Direktiivin soveltamisalaan kuuluvat toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin niiden koon sekä niiden edustaman toimialan perusteella. Yleisluontoisesti voidaan todeta direktiiviä sovellettavan suuriin ja keskisuuriin yrityksiin, jotka toimivat kriittisen infrastruktuurin aloilla tai eräillä muilla, digitaalisia järjestelmiä hyödyntävillä toimialoilla.
Direktiivi asettaa soveltamisalaan kuuluville yrityksille runsaasti kyberuhkien tunnistamiseen ja niiden torjumiseen liittyviä velvoitteita. Vaadittuihin riskienhallintatoimenpiteisiin lukeutuvat muun muassa:
Riskinhallinta- ja kyberturvallisuuspolitiikkojen laatiminen
Prosessien laatiminen poikkeamien käsittelemiseksi
Toiminnan jatkuvuuden sekä toimitusketjujen turvallisuuden hallinta
Henkilöstön kouluttaminen
Lisäksi yritysten tulee ilmoittaa merkittävistä tietoturvapoikkeamista kansalliselle NIS-viranomaiselle sekä tietyissä tilanteissa palvelujensa vastaanottajille. Viranomaiselle ilmoittaminen tapahtuu todennäköisesti Kyberturvallisuuskeskuksen sivuston kautta. Perusmuotoinen ilmoitusmenettely on kolmivaiheinen:
1. | Ennakkovaroitus | 24h poikkeamasta |
2. | Poikkeamailmoitus | 72h poikkeamasta |
3. | Lopullinen raportti | 1kk poikkeamailmoituksesta |
Ilmoitusvelvollisen yrityksen tulee raportoida merkittävästä tietoturvapoikkeamasta 24h poikkeaman havaitsemisesta ja tehdä varsinainen poikkeamailmoitus 72h poikkeaman havaitsemisesta. Ennen lopullista raporttia viranomainen voi tarvittaessa pyytää yritykseltä väliraportin. Jos puolestaan poikkeamaa edelleen työstetään kuukauden kuluttua, voi yritys antaa lopullisen raportin sijaan edistymisraportin, ja kuukauden kuluessa poikkeaman käsittelyn valmistumisesta lopullisen raportin.
Sääntelyn noudattamisen merkitystä korostavat suhteellisen suuret sanktiot, joita yritykselle voidaan määrätä mikäli velvoitteita ei noudateta. Sanktioiden suuruuteen vaikuttaa se, luokitellaanko yritys keskeiseksi vai tärkeäksi toimijaksi. Kansallisessa lainsäädännössä keskeisten toimijoiden hallinnollisten sakkojen enimmäismäärän on oltava vähintään 10 milj. euroa tai 2 % yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeäksi toimijaksi luokiteltavien toimijoiden osalta vastaavat lukemat ovat 7 milj. euroa tai 1,4 % kokonaisliikevaihdosta. Jäsenvaltiot voivat myös halutessaan säätää valtuudesta määrätä uhkasakkoja.
Sääntelyn seuraavat askeleet
NIS 2 -direktiiviin perustuva kansallinen lainsäädäntöhanke on parhaillaan vireillä. Kansallisen sääntelyn sisältö täsmentyy, kun hallituksen esitys annetaan arviolta vuoden 2024 alussa. Toistaiseksi tiedossa ovat ainoastaan direktiivin asettamat vähimmäisvelvoitteet. Esimerkiksi sanktioiden suuruus ja mahdollisten uhkasakkojen säätäminen täsmentyvät myöhemmin. Seuraamme säädöshankkeen etenemistä.
EU:n kyberturvallisuuden sääntelykehykseen kuuluvat myös kyberkestävyysasetus (Cyber Resilience Act) sekä komission keväällä julkaisema ehdotus kybersolidaarisuusasetukseksi (Cyber Solidarity Act). Palaamme näihin tulevissa postauksissamme.
Lisätietoja aiheesta antaa:
Susanna Kesseli
Junior Counsel
+358 40 071 7794
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.