Viestintätoimisto Kaiku haastatteli toimitusjohtajaamme Anttia tekoälyn käyttöön liittyvistä juridisista haasteista.
Tekoälyn käyttö läpi toimialojen yleistyy kiihtyvällä tahdilla. Tekoälyn turvallinen käyttö edellyttää, että tekoälyyn liittyvät juridiset riskit tunnistetaan. Antti muistuttaa, että tekoälyn käytön yhteydessä on syytä kiinnittää huomiota muun muassa tekijänoikeuksiin ja liikesalaisuuksien suojaan.
Lue Antin vinkit tekoälyn käyttämiseen Viestintätoimisto Kauin sivuilta ladattavasta kehotemuotoiluoppaasta. Antin haastattelu on luettavista sivulla 32 alkaen.
Päivitetty: 25. lokak. 2023
EU:ssa on parhaillaan käsittelyssä yksi unionin merkittävimmistä digisäädöshankkeista: tekoälysäädös (AI Act). Tässä artikkelissa käymme läpi tekoälysäädöksen pääpiirteitä sekä huomionarvoisia seikkoja tekoälyjärjestelmien käyttöönottoa suunniteltaessa.
Riskiperusteinen lähestymistapa
EU on ottanut riskiperusteisen lähestymistavan tekoälyn sääntelyyn. Säädöksessä asetetaan velvoitteita sekä tekoälyjärjestelmiä tarjoaville tahoille että järjestelmien käyttäjille. Olennaista soveltamisalaan kuulumisessa on, käytetäänkö järjestelmää EU-alueella. Sen vaikutukset voivat siis ulottua myös unionin ulkopuolella sijaitsevaan yhtiöön. Velvoitteet puolestaan riippuvat siitä, kuinka suuren riskin luonnollisten henkilöiden terveydelle, turvallisuudelle ja perusoikeuksille järjestelmä aiheuttaa kulloinkin kyseessä olevalla käyttötavalla käytettynä.
RISKITASO | VAATIMUKSET | ESIMERKKEJÄ |
Kielletty | Riskejä ei voida hyväksyä, kehitys ja käyttö kielletty |
|
Korkea riski | Tiukennetut vaatimukset |
|
Matala riski | Läpinäkyvyysvaatimukset |
|
Minimaalinen tai ei riskiä | Vapaaehtoiset eettiset periaatteet |
|
Kielletyn riskin tekoälyjärjestelmät sijoittuvat riskitasoryhmittelyn ylimmälle tasolle. Tälle tasolle sijoittuvat järjestelmät loukkaavat ihmisarvoa esimerkiksi pisteyttämällä ihmisiä sosiaalisesti eri ominaisuuksien perusteella tai hyväksikäyttämällä tiettyjen henkilöryhmien haavoittuvuuksia. Tällaisia järjestelmiä ei saa kehittää, saattaa markkinoille tai käyttää EU:ssa.
Korkean riskin tekoälyjärjestelmät aiheuttavat merkittävän riskin terveydelle, turvallisuudelle tai perusoikeuksille esimerkiksi avustamalla lain tulkinnassa ja soveltamisessa tai osallistumalla kriittisen infrastruktuurin kehittämiseen ja ylläpitoon. Tällaisiin järjestelmiin kohdistetaan muun muassa läpinäkyvyyttä, inhimillistä valvontaa, kestävyyttä ja turvallisuutta koskevia tiukennettuja vaatimuksia. Lisäksi ne tulee arvioida ennen markkinoille pääsyä sekä säännöllisesti koko elinkaaren ajan.
Matalan riskin tekoälyjärjestelmät voivat aiheuttaa sekaannuksia, joissa tekoälyjärjestelmien tuotoksien tulkitaan virheellisesti perustuvan inhimilliseen alkuperään. Tämä riski on olemassa esimerkiksi chatbottien kanssa keskustellessa sekä erittäin aidoilta vaikuttavien syväväärennysten osalta. Tähän kategoriaan kuuluvien järjestelmien tulee muun muassa noudattaa läpinäkyvyysvelvoitteita eli käyttäjälle tulee kertoa, kun tämä on tekemisissä tekoälysovelluksen kanssa.
Minimaalisen riskin tekoälyjärjestelmät eivät lähtökohtaisesti aiheuta riskejä tai riskit ovat erittäin vähäisiä. Esimerkiksi sähköpostin spämmifiltterit tai tekoälyn avulla toimivat videopelit kuuluvat tähän kategoriaan. Näiden järjestelmien sääntelyn ehdotetaan jatkossakin perustuvan vapaaehtoisiin Code of Conduct -tyyppisiin eettisiin periaatteisiin.
Kritiikki asetusta kohtaan
Tekoälyasetuksen oli alun perin tarkoitus soveltua vain korkean riskin käyttötarkoituksiin, mutta EU-parlamentti laajensi soveltamisalaa niin kutsuttuihin yleiskäyttöisiin tekoälyjärjestelmiin, kuten ChatGPT:hen. Tämä tarkoittaa OpenAI:lle uusia velvoitteita ja vastuuta sovelluksen käyttötavoista. Asetelma on ongelmallinen, sillä järjestelmää voi käyttää vapaasti ja hyvin monenlaisiin tarkoituksiin, joita OpenAI ei pysty kontrolloimaan. Yhtiö onkin uhannut vetää ChatGPT:n pois Euroopasta, jos tuleva lainsäädäntö hankaloittaa sen toimintaa liiaksi.
Haastavaa on myös se, että asetuksella luodaan yrityksille useita uusia velvoitteita, mutta ei määritetä täsmällisiä standardeja, jotka järjestelmien tulisi täyttää. Samoin ongelmallisia ovat tekoälyjärjestelmien tuottama disinformaatio ja tekijänoikeusloukkaukset. Lisäksi tekoälyteknologiaa kehitetään edelleen erittäin nopealla tahdilla, mikä luo haasteita ajantasaiseen sääntelyyn.
Vaikutukset yrityksille
Tekoälyjärjestelmien tarjoajille säädetään asetuksessa runsaasti erilaisia velvoitteita, joiden noudattamatta jättämisestä voi seurata erittäin merkittäviä sanktioita. Ne voivat olla suuruudeltaan enimmillään 30 miljoonaa euroa tai 6 % yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta rikkomuksen vakavuudesta riippuen. Käyttäjäyrityksiä eivät koske yhtä laajat velvoitteet. Keskeisimmät käyttäjiä koskevat velvoitteet liittyvät korkean riskin järjestelmien käyttämiseen sekä syväväärennösten tuottamiseen. Säädöksen soveltamisalan ulkopuolelle jää järjestelmien käyttäminen henkilökohtaisessa muussa kuin ammattitoiminnassa.
Huomaa nämä, kun suunnittelet tekoälyjärjestelmän hyödyntämistä yrityksesi toiminnassa:
Selvitä yrityksenne tarpeisiin soveltuvat tekoälyjärjestelmät ja kartoita niiden riskitaso.
Varaudu noudattamaan riskitason mukaisia vaatimuksia.
Varmista, että yrityksen käytännöt ja ohjeistukset tietosuojan ja tietoturvan osalta ovat ajan tasalla.
Kouluta henkilöstöä tekoälyasetuksen edellyttämistä toimenpiteistä.
Hankkeen eteneminen
EU-tasolla neuvosto on vahvistanut kantansa asetusehdotukseen joulukuussa 2022 ja parlamentti kesäkuussa 2023. Parlamentti on ollut kannassaan tiukempi ja ehdottanut muun muassa laajennuksia sekä kiellettyjen että korkean riskin tekoälyjärjestelmien soveltamisaloihin. Suomi on linjannut yhtyvänsä pitkälti neuvoston näkemykseen. Painoarvoa on annettu muun muassa riskien arvioimiselle käyttötarkoituksen mukaan sekä kohtuuttoman raskaiden velvoitteiden välttämiselle.
Asetusta koskevat neuvottelut jatkuvat edelleen EU-tasolla. Tavoitteena on saavuttaa yhteisymmärrys loppuvuodesta 2023. Seuraamme hankkeen etenemistä.
Lisätietoja aiheesta antaa:
Susanna Kesseli
Junior Counsel
+358 40 071 7794
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 22. elok. 2023
Kirjoitimme kesäkuussa ChatGPT:n ja tekijänoikeuksien välisestä suhteesta. Tässä artikkelissa puolestaan tarkastellaan ChatGPT:n käyttöön liittyviä tietoturva- ja tietosuojariskejä. ChatGPT tallentaa käyttäjän keskusteluhistorian ja hyödyntää syötettyjä tietoja kehittääkseen itseään sekä ammentaakseen sisältöä tuleviin keskusteluihin. Ei siis ole yhdentekevää millaista tietoa sovellukseen syöttää.
OpenAI:n tietosuojakäytännöt kritiikin kohteena
Tekoälysovellukset – kuten ChatGPT – ovat uusia ja niiden hyödyntämää dataa kohtaan on odotetusti esitetty kritiikkiä. Huolta on herättänyt muun muassa ChatGPT:n rakentamista varten kerättyjen tietojen alkuperä. Asiasta kysyttäessä OpenAI on väittänyt datan kerätyn julkisista lähteistä, mutta tarkempaa selvitystä yhtiö ei ole suostunut antamaan. Yhdysvalloissa OpenAI:ta syytetään parhaillaan henkilötietojen varastamisesta ChatGPT:n koulutustarkoituksiin. Kesäkuussa nostetun ryhmäkanteen mukaan OpenAI olisi varastanut merkittäviä määriä amerikkalaisten henkilötietoja, kuten terveystietoja ja lapsia koskevia tietoja.
Käyttäjän omiin henkilötietoihin sekä sovellukseen syötettyihin tietoihin liittyy omat tietosuojahaasteensa. Tietosuojaselosteensa mukaan OpenAI takaa ChatGPT:n käyttäjän omia henkilötietoja koskevien lakisääteisten velvoitteiden noudattamisen. Ongelmallista ehdossa on se, että OpenAI toimii EU:n tietosuoja-asetuksen tarkoittamassa rekisterinpitäjän roolissa, jolloin sillä tulisi olla tietosuoja-asetuksen mukainen peruste käsitellä käyttäjän henkilötietoja. Tämä peruste jää ehdoissa epäselväksi.
Jos OpenAI:n palveluja haluaa käyttää henkilötietojen käsittelyyn tietosuoja-asetuksen tarkoittamalla tavalla, se edellyttää käyttöehtojen mukaan erillisen henkilötietojen käsittelysopimuksen tekemistä OpenAI:n kanssa. Tällöin sovelluksen käyttäjä toimii rekisterinpitäjän roolissa ja OpenAI käsittelijän roolissa. Henkilötietojen käsittelysopimuksen tekeminen on kuitenkin mahdollista ainoastaan yhtiön yrityspalveluiden asiakkaille.
ChatGPT on osa OpenAI:n kuluttajapalveluja, eikä sen käyttäjillä näin ollen ole mahdollisuutta henkilötietojen suojaamiseen sopimusteitse. Tämä tulee mahdollisesti muuttumaan jatkossa, sillä yhtiö kehittää parhaillaan yrityskäyttäjille suunnattua palvelua ChatGPT Business, jota koskisivat OpenAI:n muiden yrityspalveluiden tietosuojaehdot. Toistaiseksi tällaista palvelua ei kuitenkaan ole käytettävissä eikä henkilötietoja siten tulisi käsitellä kuin OpenAI:n nykyisten yrityspalvelujen tai mahdollisesti tulevan ChatGPT Business -palvelun puitteissa. Tällä hetkellä yritykset voivat hyödyntää ChatGPT:ta vain sallimalla työntekijöidensä käyttää sovellusta kuluttajakäyttäjinä. Tästä johtuen työntekijöille on hyvä ohjeistaa, ettei henkilötietoja tule syöttää palveluun.
Kyse muustakin kuin tietosuojasta
Yritysten on keskeistä huomioida, että ChatGPT:n käyttöön liittyy tietosuojahaasteiden lisäksi muitakin riskejä. Henkilötietojen ohella yritysten intressissä on suojata liikesalaisuuksiaan. Tällaisten tietojen syöttäminen sovellukseen on riskialtista tietoturvan näkökulmasta. Tekoälyn kaltaiseen uuteen teknologiaan liittyy riski toistaiseksi tuntemattomien haavoittuvuuksien rikollisesta hyödyntämisestä sekä suojaustoimenpiteiden pettämisestä. Sovelluksessa voi olla tietoturva-aukkoja, jotka altistavat syötettävän materiaalin tietomurroille ja tietovuodoille. Vaikka OpenAI on toteuttanut tietoturvaan liittyviä toimenpiteitä, kuten tietojen anonymisointia, tietoturvariskejä ei voida täysin poissulkea, sillä tekniikka on aina jossain määrin haavoittuvaista. ChatGPT:n käyttäjän onkin syytä noudattaa varovaisuutta ja harkita huolellisesti, millaista tietoa sovellukseen syöttää.
Tietojen käyttöä koskevan kritiikin vuoksi OpenAI on hiljattain lisännyt käyttäjien toimintamahdollisuuksia tarjoamalla kattavammin tietojen käyttöä koskevia vaihtoehtoja. Käyttäjä voi nyt poistaa ChatGPT:n kanssa käymänsä keskusteluhistorian ja kieltää syöttämänsä datan käytön tekoälyn koulutustarkoituksiin. Nämä vaihtoehdot ovat tarjolla kaikille sovelluksen käyttäjille. Vaikka riski tietojen vuotamiseen ei muutosten johdosta olekaan enää yhtä merkittävä kuin aiemmin, ei sovellukseen kannata syöttää liikesalaisuuksia. Tilannetta voi olla aiheellista arvioida uudelleen, kun OpenAI julkaisee ChatGPT Business -palvelun ja sen täsmällinen sisältö käyttöehtoineen selviää.
Moni työntekijä otti heti alkuvuodesta ChatGPT:n innolla käyttöön huomioimatta erilaisten tietojen käsittelyn turvallisuutta. Useissa yrityksissä sovelluksen varomaton käyttö johtikin kevään aikana toimenpiteisiin. Eräät Wall Street -pankit sekä muut suuret yritykset kuten Samsung ja Apple kielsivät työntekijöiltään ChatGPT:n käytön. Samsung kielsi tekoälysovellusten käytön, kun selvisi, että yrityksen työntekijä oli syöttänyt liikesalaisuudeksi katsottavaa koodia ChatGPT:n alustalle. Monissa muissa yrityksissä tekoälysovellukset on puolestaan kielletty ennaltaehkäisevänä toimenpiteenä. Näin radikaaleihin toimenpiteisiin ei välttämättä ole tarkoituksenmukaista ryhtyä, sillä tekoälysovellukset tarjoavat paljon mahdollisuuksia tehostaa yrityksen toimintaa. Jos niiden käyttö sallitaan, on henkilökunnalle tärkeää laatia selkeä ohjeistus sovellusten tietoturvallisesta käytöstä.
Muistilista yrityksille
Jos riskeistä huolimatta haluat kokeilla ChatGPT:n käyttöä, kiinnitä huomiota ainakin seuraaviin:
Noudata yleistä varovaisuutta ja ota käyttöön OpenAI:n tarjoamia vaikutusmahdollisuuksia, jos et halua, että dataa käytetään tekoälyn koulutustarkoituksiin
Laadi henkilökunnalle selkeä ohjeistus ChatGPT:n yksityisestä käytöstä
Harkitse ChatGPT Business -palvelun käyttöönottoa, kun se tulee saataville
Jos käsittelet sovelluksessa henkilötietoja (vain yrityspalvelut), huomioi tietosuojalainsäädännön vaatimukset, kuten esimerkiksi rekisteröityjen informointi sekä mahdollinen tietosuojaa koskeva vaikutustenarviointi uutta teknologiaa käyttöön ottaessa
Lainsäätäjät ryhtyneet toimenpiteisiin
Yritysten ohella myös viranomaiset ja lainsäätäjät ovat huolestuneet ChatGPT:n riskeistä. Maaliskuussa tietoturvariskien olemassaolo realisoitui, kun ChatGPT:hen kohdistui tietomurto, jonka seurauksena käyttäjien keskusteluhistorian otsikoita, joidenkin keskustelujen yksittäisiä viestejä sekä käyttäjien maksutietoja vaarantui. Muitakin ChatGPT:hen liittyviä haavoittuvuuksia on ajoittain raportoitu.
Tietomurron jälkeen Italian tietosuojaviranomainen kielsi ChatGPT:n käytön. Kiellon perusteena olivat ensinnäkin tietovuodon aiheuttamat tietosuojarikkomukset, minkä lisäksi OpenAI:lla ei nähty olleen perustetta käsitellä tietoja. Yhtiö ei myöskään informoinut käyttäjiä riittävästi henkilötietojen käsittelystä tai estänyt alle 13-vuotiaiden pääsyä palveluun. Huhtikuun lopulla Italia salli sovelluksen jatkaa toimintaansa OpenAI:n ilmoitettua tiedottavansa jatkossa avoimemmin henkilötietojen käsittelyprosessistaan, varmistavansa käyttäjien iän sekä lisäävänsä käyttäjien mahdollisuuksia vaikuttaa tietojen käyttöön.
Keskusteltuaan Italian tietosuojaviranomaisen toimista Euroopan tietosuojaneuvosto perusti ChatGPT:tä koskevan työryhmän. Sen tarkoituksena on edistää yhteistyötä ja vaihtaa tietoja mahdollisista tietosuojaviranomaisten ChatGPT:hen liittyvistä toimista. Vastaavasti EU:n lainsäädäntöelimissä on keskusteltu tekoälyä koskevan lainsäädännön tarpeesta. Merkittävin edistysaskel tällä saralla on EU-parlamentissa parhaillaan käsiteltävänä oleva EU:n tekoälysäädös (EU AI Act). Tätä ja muita EU:n digisääntelyhankkeita käsittelemme myöhemmissä artikkeleissamme.
Susanna Kesseli
Junior Counsel
+358 40 071 7794
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.