EU:ssa on parhaillaan käsittelyssä yksi unionin merkittävimmistä digisäädöshankkeista: tekoälysäädös (AI Act). Tässä artikkelissa käymme läpi tekoälysäädöksen pääpiirteitä sekä huomionarvoisia seikkoja tekoälyjärjestelmien käyttöönottoa suunniteltaessa.

Riskiperusteinen lähestymistapa

EU on ottanut riskiperusteisen lähestymistavan tekoälyn sääntelyyn. Säädöksessä asetetaan velvoitteita sekä tekoälyjärjestelmiä tarjoaville tahoille että järjestelmien käyttäjille. Olennaista soveltamisalaan kuulumisessa on, käytetäänkö järjestelmää EU-alueella. Sen vaikutukset voivat siis ulottua myös unionin ulkopuolella sijaitsevaan yhtiöön. Velvoitteet puolestaan riippuvat siitä, kuinka suuren riskin luonnollisten henkilöiden terveydelle, turvallisuudelle ja perusoikeuksille järjestelmä aiheuttaa kulloinkin kyseessä olevalla käyttötavalla käytettynä.

Kielletyn riskin tekoälyjärjestelmät sijoittuvat riskitasoryhmittelyn ylimmälle tasolle. Tälle tasolle sijoittuvat järjestelmät loukkaavat ihmisarvoa esimerkiksi pisteyttämällä ihmisiä sosiaalisesti eri ominaisuuksien perusteella tai hyväksikäyttämällä tiettyjen henkilöryhmien haavoittuvuuksia. Tällaisia järjestelmiä ei saa kehittää, saattaa markkinoille tai käyttää EU:ssa.

Korkean riskin tekoälyjärjestelmät aiheuttavat merkittävän riskin terveydelle, turvallisuudelle tai perusoikeuksille esimerkiksi avustamalla lain tulkinnassa ja soveltamisessa tai osallistumalla kriittisen infrastruktuurin kehittämiseen ja ylläpitoon. Tällaisiin järjestelmiin kohdistetaan muun muassa läpinäkyvyyttä, inhimillistä valvontaa, kestävyyttä ja turvallisuutta koskevia tiukennettuja vaatimuksia. Lisäksi ne tulee arvioida ennen markkinoille pääsyä sekä säännöllisesti koko elinkaaren ajan.

Matalan riskin tekoälyjärjestelmät voivat aiheuttaa sekaannuksia, joissa tekoälyjärjestelmien tuotoksien tulkitaan virheellisesti perustuvan inhimilliseen alkuperään. Tämä riski on olemassa esimerkiksi chatbottien kanssa keskustellessa sekä erittäin aidoilta vaikuttavien syväväärennysten osalta. Tähän kategoriaan kuuluvien järjestelmien tulee muun muassa noudattaa läpinäkyvyysvelvoitteita eli käyttäjälle tulee kertoa, kun tämä on tekemisissä tekoälysovelluksen kanssa.

Minimaalisen riskin tekoälyjärjestelmät eivät lähtökohtaisesti aiheuta riskejä tai riskit ovat erittäin vähäisiä. Esimerkiksi sähköpostin spämmifiltterit tai tekoälyn avulla toimivat videopelit kuuluvat tähän kategoriaan. Näiden järjestelmien sääntelyn ehdotetaan jatkossakin perustuvan vapaaehtoisiin Code of Conduct -tyyppisiin eettisiin periaatteisiin.

Kritiikki asetusta kohtaan

Tekoälyasetuksen oli alun perin tarkoitus soveltua vain korkean riskin käyttötarkoituksiin, mutta EU-parlamentti laajensi soveltamisalaa niin kutsuttuihin yleiskäyttöisiin tekoälyjärjestelmiin, kuten ChatGPT:hen. Tämä tarkoittaa OpenAI:lle uusia velvoitteita ja vastuuta sovelluksen käyttötavoista. Asetelma on ongelmallinen, sillä järjestelmää voi käyttää vapaasti ja hyvin monenlaisiin tarkoituksiin, joita OpenAI ei pysty kontrolloimaan. Yhtiö onkin uhannut vetää ChatGPT:n pois Euroopasta, jos tuleva lainsäädäntö hankaloittaa sen toimintaa liiaksi.

Haastavaa on myös se, että asetuksella luodaan yrityksille useita uusia velvoitteita, mutta ei määritetä täsmällisiä standardeja, jotka järjestelmien tulisi täyttää. Samoin ongelmallisia ovat tekoälyjärjestelmien tuottama disinformaatio ja tekijänoikeusloukkaukset. Lisäksi tekoälyteknologiaa kehitetään edelleen erittäin nopealla tahdilla, mikä luo haasteita ajantasaiseen sääntelyyn.

Vaikutukset yrityksille

Tekoälyjärjestelmien tarjoajille säädetään asetuksessa runsaasti erilaisia velvoitteita, joiden noudattamatta jättämisestä voi seurata erittäin merkittäviä sanktioita. Ne voivat olla suuruudeltaan enimmillään 30 miljoonaa euroa tai 6 % yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta rikkomuksen vakavuudesta riippuen. Käyttäjäyrityksiä eivät koske yhtä laajat velvoitteet. Keskeisimmät käyttäjiä koskevat velvoitteet liittyvät korkean riskin järjestelmien käyttämiseen sekä syväväärennösten tuottamiseen. Säädöksen soveltamisalan ulkopuolelle jää järjestelmien käyttäminen henkilökohtaisessa muussa kuin ammattitoiminnassa.

Huomaa nämä, kun suunnittelet tekoälyjärjestelmän hyödyntämistä yrityksesi toiminnassa:

1. Selvitä yrityksenne tarpeisiin soveltuvat tekoälyjärjestelmät ja kartoita niiden riskitaso.

2. Varaudu noudattamaan riskitason mukaisia vaatimuksia.

3. Varmista, että yrityksen käytännöt ja ohjeistukset tietosuojan ja tietoturvan osalta ovat ajan tasalla.

4. Kouluta henkilöstöä tekoälyasetuksen edellyttämistä toimenpiteistä.

Hankkeen eteneminen

EU-tasolla neuvosto on vahvistanut kantansa asetusehdotukseen joulukuussa 2022 ja parlamentti kesäkuussa 2023. Parlamentti on ollut kannassaan tiukempi ja ehdottanut muun muassa laajennuksia sekä kiellettyjen että korkean riskin tekoälyjärjestelmien soveltamisaloihin. Suomi on linjannut yhtyvänsä pitkälti neuvoston näkemykseen. Painoarvoa on annettu muun muassa riskien arvioimiselle käyttötarkoituksen mukaan sekä kohtuuttoman raskaiden velvoitteiden välttämiselle.

Asetusta koskevat neuvottelut jatkuvat edelleen EU-tasolla. Tavoitteena on saavuttaa yhteisymmärrys loppuvuodesta 2023. Seuraamme hankkeen etenemistä.

Lisätietoja aiheesta antaa:

Anna Paimela

Osakas

anna.paimela@legalfolks.fi

+358 40 1648626

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Tässä artikkelissa tarkastelemme EU:n kyberturvallisuussääntelyä, erityisesti kyberturvallisuusdirektiiviä eli niin kutsuttua NIS 2 -direktiiviä (NIS 2 Directive) sekä kyberturvallisuusasetusta (Cybersecurity Act, CSA).

EU:n kyberturvallisuussääntely

Kyberturvallisuus on noussut EU:ssa viime vuosina keskeiseksi puheenaiheeksi, kun teknologian nopea kehitys on tuonut mukanaan uusia haasteita. Kasvaneiden kyberturvallisuusuhkien vuoksi EU:ssa on katsottu tarpeelliseksi luoda unionin yhteinen kyberturvallisuuden sääntelykehys, jolla vahvistetaan tiettyjen toimialojen toimijoiden tietoverkkojen ja -järjestelmien turvallisuusvalmiuksia sekä luodaan toimijoille raportointivelvollisuus.

Kyberturvallisuusasetus (CSA)

Kyberturvallisuusasetuksella luotiin Eurooppalainen kyberturvallisuuden sertifiointikehys (The European Cybersecurity Certification Framework), joka koskee ICT-tuotteita, palveluja ja prosesseja. Kyseessä on EU:n laajuinen yhtenäinen sertifiointijärjestelmä, joka koostuu teknisistä vaatimuksista, standardeista ja menettelyistä. Yhtenäisen järjestelmän avulla yritykset voivat osoittaa, että niiden tuotteet, palvelut ja prosessit täyttävät tietyt kyberturvallisuusvaatimukset. Sertifiointi on vapaaehtoista.

Sertifiointikehyksen ohella asetuksella vahvistettiin vuonna 2004 perustetun EU:n kyberturvallisuusviraston (The EU Agency for Cybersecurity, ENISA) asemaa. ENISA toimii NIS 2 -direktiivillä perustettavan Euroopan kyberkriisien yhteysorganisaatioiden verkoston (The European Cyber Crises Liaison Organisation Network, EU-CyCLONe) kattoelimenä. Verkostossa Suomea edustaa Liikenne- ja viestintäviraston Kyberturvallisuuskeskus.

Kyberturvallisuusdirektiivi eli NIS 2 -direktiivi

NIS 2 -direktiivi on EU:n tietoverkkojen ja -palveluiden kyberturvallisuudesta annettu direktiivi. Sitä edelsi samaa aihepiiriä koskenut NIS -direktiivi vuodelta 2016. NIS 2 -direktiivillä sääntelyä uudistettiin muun muassa laajentamalla sen soveltamisalaa ja sillä asetettavia velvoitteita. NIS 2 -direktiivin tavoitteena on varmistaa, että tietyt yhteiskunnan toiminnan kannalta kriittiset toimialat ovat riittävän suojattuja kyberuhkilta.

Direktiivin soveltamisalaan kuuluvat toimijat jaetaan keskeisiin ja tärkeisiin toimijoihin niiden koon sekä niiden edustaman toimialan perusteella. Yleisluontoisesti voidaan todeta direktiiviä sovellettavan suuriin ja keskisuuriin yrityksiin, jotka toimivat kriittisen infrastruktuurin aloilla tai eräillä muilla, digitaalisia järjestelmiä hyödyntävillä toimialoilla.

Direktiivi asettaa soveltamisalaan kuuluville yrityksille runsaasti kyberuhkien tunnistamiseen ja niiden torjumiseen liittyviä velvoitteita. Vaadittuihin riskienhallintatoimenpiteisiin lukeutuvat muun muassa:

• Riskinhallinta- ja kyberturvallisuuspolitiikkojen laatiminen

• Prosessien laatiminen poikkeamien käsittelemiseksi

• Toiminnan jatkuvuuden sekä toimitusketjujen turvallisuuden hallinta

• Henkilöstön kouluttaminen

  
  

Lisäksi yritysten tulee ilmoittaa merkittävistä tietoturvapoikkeamista kansalliselle NIS-viranomaiselle sekä tietyissä tilanteissa palvelujensa vastaanottajille. Viranomaiselle ilmoittaminen tapahtuu todennäköisesti Kyberturvallisuuskeskuksen sivuston kautta. Perusmuotoinen ilmoitusmenettely on kolmivaiheinen:

Ilmoitusvelvollisen yrityksen tulee raportoida merkittävästä tietoturvapoikkeamasta 24h poikkeaman havaitsemisesta ja tehdä varsinainen poikkeamailmoitus 72h poikkeaman havaitsemisesta. Ennen lopullista raporttia viranomainen voi tarvittaessa pyytää yritykseltä väliraportin. Jos puolestaan poikkeamaa edelleen työstetään kuukauden kuluttua, voi yritys antaa lopullisen raportin sijaan edistymisraportin, ja kuukauden kuluessa poikkeaman käsittelyn valmistumisesta lopullisen raportin.

Sääntelyn noudattamisen merkitystä korostavat suhteellisen suuret sanktiot, joita yritykselle voidaan määrätä mikäli velvoitteita ei noudateta. Sanktioiden suuruuteen vaikuttaa se, luokitellaanko yritys keskeiseksi vai tärkeäksi toimijaksi. Kansallisessa lainsäädännössä keskeisten toimijoiden hallinnollisten sakkojen enimmäismäärän on oltava vähintään 10 milj. euroa tai 2 % yrityksen vuotuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä on suurempi. Tärkeäksi toimijaksi luokiteltavien toimijoiden osalta vastaavat lukemat ovat 7 milj. euroa tai 1,4 % kokonaisliikevaihdosta. Jäsenvaltiot voivat myös halutessaan säätää valtuudesta määrätä uhkasakkoja.

Sääntelyn seuraavat askeleet

NIS 2 -direktiiviin perustuva kansallinen lainsäädäntöhanke on parhaillaan vireillä. Kansallisen sääntelyn sisältö täsmentyy, kun hallituksen esitys annetaan arviolta vuoden 2024 alussa. Toistaiseksi tiedossa ovat ainoastaan direktiivin asettamat vähimmäisvelvoitteet. Esimerkiksi sanktioiden suuruus ja mahdollisten uhkasakkojen säätäminen täsmentyvät myöhemmin. Seuraamme säädöshankkeen etenemistä.

EU:n kyberturvallisuuden sääntelykehykseen kuuluvat myös kyberkestävyysasetus (Cyber Resilience Act) sekä komission keväällä julkaisema ehdotus kybersolidaarisuusasetukseksi (Cyber Solidarity Act). Palaamme näihin tulevissa postauksissamme.

Lisätietoja aiheesta antaa:

Anna Paimela

Osakas

anna.paimela@legalfolks.fi

+358 40 1648626

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.

Digialustasäädösten käsittely etenee EU:ssa

Digipalvelusäädöksen (Digital Services Act, DSA) ja digimarkkinasäädöksen (Digital Markets Act, DMA) käsittely etenee vauhdikkaasti EU:ssa, ja tavoitteena on päästä trilogineuvotteluissa yhteisymmärrykseen jo tämän kevään aikana. Kyse on lakipaketista, jolla EU haluaa muun muassa huolehtia, että suuret digiyhtiöt, kuten Google, Amazon, Meta ja Microsoft eivät hyötyisi kohtuuttomasti hallitsevasta asemastaan markkinoilla. DMA keskittyykin yksinomaan sääntelemään erittäin suurten, ns. portinvartijayritysten toimintaa. Käsittelimme lainsäädäntöhankkeiden perusteita aiemmassa kirjoituksessamme.

Uusien velvoitteiden vaikutuksia ei ole arvioitu

DSA:n alkuperäinen tavoite oli uudistaa 20 vuotta vanha sähkökauppadirektiivi, ja varmistaa turvallinen ja vastuullinen verkkoympäristö. Ehdotus sisälsi toimenpiteitä laittomien tavaroiden, palvelujen tai verkkosisällön torjumiseksi, uusia velvoitteita yrityskäyttäjien jäljitettävyydestä sekä toimenpiteitä avoimuuden edistämiseksi. Lisäksi vastuuvapautusedellytyksiä täsmennettiin.

Kuitenkin erityisesti Euroopan parlamentti teki ehdotukseen valtavan määrän erilaisia muutosehdotuksia, joilla rajoitetaan mainonnan kohdentamista sekä asetetaan EU:n yleisen tietosuoja-asetuksen (GDPR) ja tulevan sähköisen viestinnän tietosuojasääntelyn (ePrivacy Regulation) kanssa päällekkäisiä säännöksiä. Lainsäädäntöprosessin puute kuitenkin on, ettei mainontaan kohdistuvien lisärajoitusten vaikutuksia – niin kuluttajille, yrityksille tai yhteiskunnalle – ole mitenkään arvioitu. Pelkona onkin, että parlamentin tahto suitsia kohdennettua mainontaa johtaa ennalta-arvaamattomiin seuraamuksiin.

Alkuperäiset tavoitteet ovat unohtuneet

Voisi väittää, että vihapuhe, disinformaatio ja hybridivaikuttaminen ovat pilanneet internetin. Luotettavaa tietoa, joka on yhteiskunnan toimivuuden ja demokratian kannalta keskeistä, on entistä vaikeampi löytää. Mainonta tuntuu yhä henkilökohtaisemmalta – ei myönteisessä mielessä, vaan tavalla, joka nostaa niskakarvat pystyyn. Uusi sääntely pyrkii puuttumaan näihin selvästi havaittuihin ongelmiin, mutta samalla se tuntuu vievän mahdollisuuden vastuulliselta liiketoiminnalta ja kuluttamiselta: siltä niche-tuotteita myyvältä mikroyritykseltä, joka haluaisi löytää kohdeyleisönsä verkkoalustalta kohdennetun mainonnan avulla, siltä suomalaiselta verkkoalustalta, joka haluaisi rahoittaa kohdennetulla mainonnalla palveluitaan ja siltä kuluttajalta, joka haluaisi löytää hänelle mielenkiintoisia uusia tuotteita tai inspiroitua sisällöstä.

Nurinkurista on, että parlamentin muutosehdotuksiin kuuluu muun muassa kielto pyytää käyttäjältä suostumusta mainonnan kohdentamiseen, jos kielto on jo annettu käyttöliittymän tai selaimen asetusten avulla. Dialogi kuluttajan kanssa jätettäisiin siis esimerkiksi Chrome-selainta ja Android-käyttöliittymää tarjoavan Googlen käsiin sen sijaan, että omasta palvelustaan voisi viestiä esimerkissä kuvattu suomalainen verkkoalusta. Kun otetaan huomioon se, että digijäteillä on jo näpeissään käyttäjän kirjautumistiedot ja todennäköisesti edelleenkin valtavan suuri käyttäjää koskeva digitaalinen jalanjälki ympäri internetiä, vaikuttaa siltä, että kuilu globaalien digijättien ja eurooppalaisten verkkoalustojen välillä vain kasvaa. Tämä on selvästi vastoin lainsäädäntöhankkeen alkuperäistä tavoitetta tasapuolistaa kilpailuedellytyksiä.

Lisäksi ehdotuksissa on osin laajennettu verkkoalustojen vastuuvapautta, jolloin esimerkiksi hakukoneiden kautta voisi olla saatavilla laitonta aineistoa. Elinkeinonharjoittajien tunnistamista koskevaa periaatetta (Know Your Business Customer, KYBC) ei myöskään ole ulotettu laajalle ja hyödynnetty mahdollisuutta kitkeä verkkorikollisuutta. Lisäksi sääntelystä puuttuu selvä kielto poistaa päätoimittajavastuun alaista, laillista sisältöä, eli taata se, että luotettavaa informaatiota on kuluttajien saatavilla ja löydettävissä. Jos alusta voisi poistaa laillisesti julkaistua sisältöä yksin käyttöehtojensa nojalla, on vaarana, että kansalaisten sananvapaus ja tiedotusvälineiden tehtävä vallan vahtikoirana rapautuvat. Nämä ovat vastoin alkuperäistä tavoitetta tehdä verkosta kuluttajille turvallisempi.

Parempaa sääntelyä eurooppalaisille

Sen lisäksi, että lakipaketti on ottanut kaikkine muutosehdotuksineen liukunut kauemmaksi alkuperäisistä, kannatettavista tavoitteistaan, uhkaa kokonaisuudesta tulla erittäin vaikea soveltaa. Esimerkiksi suostumuksen pyytämistä ja edellytyksiä käsitellä arkaluonteisia henkilötietoja (erityisiä tietoryhmiä) säännellään jo nykyisellään tietosuoja-asetuksessa, ja lienee vielä kaikille epäselvää, miten eri säännökset toimivat yhdessä, kun soppaan heitetään vielä valmisteilla oleva sähköisen viestinnän tietosuoja-asetus.

Se, että EU:n eräänä tavoitteena on lainsäädännön yksinkertaistaminen, puhuisi selvästi sen puolesta, että yksityisyydensuojaa koskeva sääntely pidetään erillään alustasääntelystä. Vaihtoehtoisesti lainsäädännön ja uusien rajoitteiden tulisi olla oikeasuhtaisia ja tarkkarajaisia niin, että sääntely kohdistetaan vain niihin erittäin suuriin verkkoalustoihin, joissa ongelmat, kuten targetointi arkaluonteisten henkilötietojen perusteella ja erilaisten käyttäjän valintoja ohjaavien toimintojen, ns. dark patterns, käyttö on erityisesti ilmennyt.

Digisäädöspaketin tavoitteet ovat äärimmäisen hyviä: edistää digitaalisten sisämarkkinoiden toimintaa, digitaalisten palveluiden avoimuutta sekä pienempien digiyritysten kilpailukykyä ja pääsyä markkinoille, tehdä verkkoympäristöstä kuluttajille ja yrityksille turvallisempi, ennakoitavampi ja oikeudenmukaisempi sekä mahdollistaa laittomaan sisältöön, vihapuheeseen, disinformaatioon ja hybridivaikuttamiseen puuttuminen nykyistä tehokkaammin. Nyt on tärkeää huolehtia siitä, että nämä tavoitteet todella tulevat täytetyiksi, eivätkä jää pelkiksi hyviksi aikomuksiksi.

Lue Annan kirjoitus myös IAB Finlandin sivuilta: DSA tuomassa tarpeettomia rajoituksia digimainontaan

Lisätietoja asiasta antaa:

Anna Paimela

Osakas

anna.paimela@legalfolks.fi

+358401648626

Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.