EU:ssa on parhaillaan käsittelyssä yksi unionin merkittävimmistä digisäädöshankkeista: tekoälysäädös (AI Act). Tässä artikkelissa käymme läpi tekoälysäädöksen pääpiirteitä sekä huomionarvoisia seikkoja tekoälyjärjestelmien käyttöönottoa suunniteltaessa.
Riskiperusteinen lähestymistapa
EU on ottanut riskiperusteisen lähestymistavan tekoälyn sääntelyyn. Säädöksessä asetetaan velvoitteita sekä tekoälyjärjestelmiä tarjoaville tahoille että järjestelmien käyttäjille. Olennaista soveltamisalaan kuulumisessa on, käytetäänkö järjestelmää EU-alueella. Sen vaikutukset voivat siis ulottua myös unionin ulkopuolella sijaitsevaan yhtiöön. Velvoitteet puolestaan riippuvat siitä, kuinka suuren riskin luonnollisten henkilöiden terveydelle, turvallisuudelle ja perusoikeuksille järjestelmä aiheuttaa kulloinkin kyseessä olevalla käyttötavalla käytettynä.
RISKITASO | VAATIMUKSET | ESIMERKKEJÄ |
Kielletty | Riskejä ei voida hyväksyä, kehitys ja käyttö kielletty |
|
Korkea riski | Tiukennetut vaatimukset |
|
Matala riski | Läpinäkyvyysvaatimukset |
|
Minimaalinen tai ei riskiä | Vapaaehtoiset eettiset periaatteet |
|
Kielletyn riskin tekoälyjärjestelmät sijoittuvat riskitasoryhmittelyn ylimmälle tasolle. Tälle tasolle sijoittuvat järjestelmät loukkaavat ihmisarvoa esimerkiksi pisteyttämällä ihmisiä sosiaalisesti eri ominaisuuksien perusteella tai hyväksikäyttämällä tiettyjen henkilöryhmien haavoittuvuuksia. Tällaisia järjestelmiä ei saa kehittää, saattaa markkinoille tai käyttää EU:ssa.
Korkean riskin tekoälyjärjestelmät aiheuttavat merkittävän riskin terveydelle, turvallisuudelle tai perusoikeuksille esimerkiksi avustamalla lain tulkinnassa ja soveltamisessa tai osallistumalla kriittisen infrastruktuurin kehittämiseen ja ylläpitoon. Tällaisiin järjestelmiin kohdistetaan muun muassa läpinäkyvyyttä, inhimillistä valvontaa, kestävyyttä ja turvallisuutta koskevia tiukennettuja vaatimuksia. Lisäksi ne tulee arvioida ennen markkinoille pääsyä sekä säännöllisesti koko elinkaaren ajan.
Matalan riskin tekoälyjärjestelmät voivat aiheuttaa sekaannuksia, joissa tekoälyjärjestelmien tuotoksien tulkitaan virheellisesti perustuvan inhimilliseen alkuperään. Tämä riski on olemassa esimerkiksi chatbottien kanssa keskustellessa sekä erittäin aidoilta vaikuttavien syväväärennysten osalta. Tähän kategoriaan kuuluvien järjestelmien tulee muun muassa noudattaa läpinäkyvyysvelvoitteita eli käyttäjälle tulee kertoa, kun tämä on tekemisissä tekoälysovelluksen kanssa.
Minimaalisen riskin tekoälyjärjestelmät eivät lähtökohtaisesti aiheuta riskejä tai riskit ovat erittäin vähäisiä. Esimerkiksi sähköpostin spämmifiltterit tai tekoälyn avulla toimivat videopelit kuuluvat tähän kategoriaan. Näiden järjestelmien sääntelyn ehdotetaan jatkossakin perustuvan vapaaehtoisiin Code of Conduct -tyyppisiin eettisiin periaatteisiin.
Kritiikki asetusta kohtaan
Tekoälyasetuksen oli alun perin tarkoitus soveltua vain korkean riskin käyttötarkoituksiin, mutta EU-parlamentti laajensi soveltamisalaa niin kutsuttuihin yleiskäyttöisiin tekoälyjärjestelmiin, kuten ChatGPT:hen. Tämä tarkoittaa OpenAI:lle uusia velvoitteita ja vastuuta sovelluksen käyttötavoista. Asetelma on ongelmallinen, sillä järjestelmää voi käyttää vapaasti ja hyvin monenlaisiin tarkoituksiin, joita OpenAI ei pysty kontrolloimaan. Yhtiö onkin uhannut vetää ChatGPT:n pois Euroopasta, jos tuleva lainsäädäntö hankaloittaa sen toimintaa liiaksi.
Haastavaa on myös se, että asetuksella luodaan yrityksille useita uusia velvoitteita, mutta ei määritetä täsmällisiä standardeja, jotka järjestelmien tulisi täyttää. Samoin ongelmallisia ovat tekoälyjärjestelmien tuottama disinformaatio ja tekijänoikeusloukkaukset. Lisäksi tekoälyteknologiaa kehitetään edelleen erittäin nopealla tahdilla, mikä luo haasteita ajantasaiseen sääntelyyn.
Vaikutukset yrityksille
Tekoälyjärjestelmien tarjoajille säädetään asetuksessa runsaasti erilaisia velvoitteita, joiden noudattamatta jättämisestä voi seurata erittäin merkittäviä sanktioita. Ne voivat olla suuruudeltaan enimmillään 30 miljoonaa euroa tai 6 % yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta rikkomuksen vakavuudesta riippuen. Käyttäjäyrityksiä eivät koske yhtä laajat velvoitteet. Keskeisimmät käyttäjiä koskevat velvoitteet liittyvät korkean riskin järjestelmien käyttämiseen sekä syväväärennösten tuottamiseen. Säädöksen soveltamisalan ulkopuolelle jää järjestelmien käyttäminen henkilökohtaisessa muussa kuin ammattitoiminnassa.
Huomaa nämä, kun suunnittelet tekoälyjärjestelmän hyödyntämistä yrityksesi toiminnassa:
Selvitä yrityksenne tarpeisiin soveltuvat tekoälyjärjestelmät ja kartoita niiden riskitaso.
Varaudu noudattamaan riskitason mukaisia vaatimuksia.
Varmista, että yrityksen käytännöt ja ohjeistukset tietosuojan ja tietoturvan osalta ovat ajan tasalla.
Kouluta henkilöstöä tekoälyasetuksen edellyttämistä toimenpiteistä.
Hankkeen eteneminen
EU-tasolla neuvosto on vahvistanut kantansa asetusehdotukseen joulukuussa 2022 ja parlamentti kesäkuussa 2023. Parlamentti on ollut kannassaan tiukempi ja ehdottanut muun muassa laajennuksia sekä kiellettyjen että korkean riskin tekoälyjärjestelmien soveltamisaloihin. Suomi on linjannut yhtyvänsä pitkälti neuvoston näkemykseen. Painoarvoa on annettu muun muassa riskien arvioimiselle käyttötarkoituksen mukaan sekä kohtuuttoman raskaiden velvoitteiden välttämiselle.
Asetusta koskevat neuvottelut jatkuvat edelleen EU-tasolla. Tavoitteena on saavuttaa yhteisymmärrys loppuvuodesta 2023. Seuraamme hankkeen etenemistä.
Lisätietoja aiheesta antaa:
Susanna Kesseli
Junior Counsel
+358 40 071 7794
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.