Tekoäly on nopeasti muuttamassa liiketoiminnan maisemaa, tuoden mukanaan ennennäkemättömiä mahdollisuuksia ja tehokkuusparannuksia. Tekoälyjärjestelmien käyttöönottoon liittyvän innostuksen keskellä ei tule kuitenkaan unohtaa järjestelmien käyttöä koskevia sopimuksia. Sopimusehdot on syytä laatia huolella ennen käyttöönottoa. Tekoälyjärjestelmiä koskeville sopimuksille ei ole vielä muodostunut selkeää markkinakäytäntöä, mikä tuo omat haasteensa tekoälyjärjestelmistä sopimiselle. Näkökulmia voi osaksi hakea vakiintuneista IT-alan sopimuskäytännöistä, minkä lisäksi sopimusten laadinnassa on huomioitava tekoälyjärjestelmien erityispiirteet sekä hiljattain voimaantullut EU:n tekoälysäädös.
Tässä blogikirjoituksessa pohdimme muutamia keskeisiä kysymyksiä, jotka on syytä esittää, kun tekoälyjärjestelmästä ollaan sopimassa tarjoajan ja käyttäjäorganisaation välillä.
Millaisesta järjestelmästä on kyse ja mihin tekoäly perustuu?
Kun puhumme tekoälyjärjestelmistä, on ensinnäkin olennaista ymmärtää, mitä termillä oikeastaan tarkoitetaan. Usein kuulemme puhuttavan tekoälystä, vaikka todellisuudessa kyse saattaa olla perinteisemmästä robotiikasta tai automaatiosta. Tekoäly eroaa näistä siinä, että se ei pelkästään suorita ennalta määriteltyjä tehtäviä, vaan esimerkiksi oppii ja mukautuu annettujen tietojen perusteella sekä tekee päätöksiä ja ennusteita itsenäisemmin.
Tekoälyjärjestelmä tarkoittaa yleensä ohjelmistototeutusta, joka hyödyntää tekoälymallia osana kokonaisratkaisua. Tällainen järjestelmä yhdistää tekoälymallin, joka pystyy käsittelemään ja ymmärtämään sille syötettyä aineistoa, sitä hyödyntävän ohjelmiston kanssa, joka mahdollistaa tekoälyn käytön määritettyihin liiketoiminnan tarpeisiin. Tekoälymalli voi olla esimerkiksi avoin kielimalli, kuten ChatGPT:n taustalla toimiva GPT-4, joka kykenee tuottamaan inhimillistä tekstiä ja analysoimaan laajalti erilaisia tietoja.
Millainen taustalla olevan tekoälymallin sopimusketju on?
Yksi keskeinen kysymys on, kumpi osapuoli hankkii tarvittavat lisenssit järjestelmän taustalla olevaan tekoälymalliin, mikäli kyse ei ole järjestelmän tarjoajan omasta tekoälymallista. Tämä voi vaihdella järjestelmästä ja osapuolten preferensseistä riippuen. Sopimuksessa on olennaisen tärkeää kuvata osapuolten vastuut tekoälymallin osalta, jotta vältetään mahdolliset aukot sopimusketjussa.
Jos tekoälymallin lisenssit hankkii järjestelmän tarjoaja, eikä käyttäjäorganisaatio tee erillistä sopimusta lisensoijan kanssa, sopimusketjun eheyden varmistamiseksi järjestelmän tarjoajan on lähtökohtaisesti perusteltua vastata tekoälymallista suhteessa käyttäjäorganisaatioon. Järjestelmän tarjoajalla ei kuitenkaan välttämättä ole käytännössä mahdollisuutta vaikuttaa tekoälymallin toimintaan tai sovellettaviin lisenssiehtoihin, jolloin tekoälymalli tarjotaan tyypillisesti lisensoijan omien lisenssiehtojen mukaisesti.
Jos sen sijaan käyttäjäorganisaatio tekee itse sopimuksen tekoälymallista suoraan lisensoijan kanssa, tekoälymallia koskevat vastuut eivät lähtökohtaisesti kulje tekoälyjärjestelmän tarjoajan kautta vaan suoraan lisensoijan ja käyttäjäorganisaation välillä. Lisenssiehtojen sisällön näkökulmasta näillä kahdella mallilla ei välttämättä ole suurta eroa, mikäli lisensoija tarjoaa tekoälymallin organisaatiosta riippumatta vakiolisenssiehdoillaan. Tästä huolimatta on tärkeää ymmärtää ja sopia selkeästi, miten tekoälymallia koskeva sopimus- ja vastuuketju muodostuu. Joissain tapauksissa voi olla niinkin, että kumpikin osapuoli hankkii erikseen tarvitsemansa lisenssit tekoälymalliin.
Huomionarvoista on myös, että tekoälysäädös tulee asettamaan yleiskäyttöisten tekoälymallien tarjoajille sopimusehdoista ja sopimusketjusta riippumattomia velvoitteita. Yleiskäyttöisen tekoälymallin tarjoajalla tulee olemaan esimerkiksi velvollisuus asettaa tekoälyjärjestelmän tarjoajan saataville tekoälymallia koskevaa ajantasaista dokumentaatiota, jotta tekoälyjärjestelmän tarjoaja pystyisi noudattamaan omia tekoälysäädöksen mukaisia velvoitteitaan.
Millaista dataa tekoälyjärjestelmä hyödyntää?
Tekoälyjärjestelmien tehokkuus ja hyödyllisyys perustuvat pitkälti niiden käyttämään dataan. Siksi on tärkeää ymmärtää, kenen omistamaa dataa järjestelmä hyödyntää ja millä tavoin. Tekoäly voi hyödyntää useita erilaisia datalähteitä, kuten julkisia tietovarantoja, järjestelmän tarjoajan omia tietokantoja tai käyttäjäorganisaation tuottamaa dataa. Näiden datalähteiden käyttöön liittyy useita kysymyksiä, jotka on otettava huomioon sopimusta laadittaessa.
Käyttäjäorganisaation oman datan käyttö voi tuoda merkittävää lisäarvoa, mutta samalla se nostaa esiin kysymyksiä käyttöoikeuksien laajuudesta, tietosuojasta ja tietoturvasta. Sopimuksessa on tyypillisesti tarpeen muun muassa määritellä, että asiakas säilyttää omistajuuden omaan dataansa ja järjestelmän tarjoaja käyttää dataa ainoastaan järjestelmän tarjoamiseksi sopimuksen mukaisesti. Epäselvyyksien välttämiseksi on suositeltavaa sopia myös nimenomaisesti, missä laajuudessa järjestelmän tarjoajalla on oikeus hyödyntää käyttäjäorganisaation dataa tekoälyn kouluttamiseksi, ja päättyykö kyseinen oikeus sopimuksen päättyessä.
Tekoälyjärjestelmä saattaa hyödyntää myös kolmansilta osapuolilta hankkimaa dataa. Tällöin on tärkeää varmistaa, että käytettävä data on laillisesti hankittua ja sen käyttöön on asianmukaiset luvat. Erityisesti avoimia kielimalleja hyödynnettäessä tekoälyjärjestelmät saattavat käyttää myös hakukoneiden kautta julkisista lähteistä löytyvää dataa. Tällöin on syytä ymmärtää, että jo lähtödata itsessään voi olla esimerkiksi virheellistä, epäasiallista, immateriaalioikeuksia loukkaavaa tai syrjivää. Tekoälysäädös tulee osaltaan tuomaan jonkinlaista selkärankaa dataan liittyvien kysymysten osalta esimerkiksi asettamalla yleiskäyttöisten tekoälymallien tarjoajille velvoitteita immateriaalioikeuksia koskevan lainsäädännön noudattamiseen liittyen sekä tekoälymallin koulutuksessa käytetystä sisällöstä tiedottamisen osalta. Kovin vankkaa tai yksiselitteistä turvaa kyseiset velvoitteet eivät kuitenkaan todennäköisesti tuo.
Suuririskisten tekoälyjärjestelmien osalta myös tekoälyjärjestelmän tarjoajalla tulee tulevaisuudessa olemaan suoraan lainsäädännön nojalla datanhallintaan liittyviä velvoitteita, jotka auttavat mitigoimaan muun ohella edellä viitattuja dataan liittyviä riskejä. Mikäli sopimuksen kohteena on sen sijaan järjestelmä, jota ei luokitella suuririskiseksi tekoälyjärjestelmäksi, tekoälysäädös ei aseta juurikaan velvoitteita datanhallinnan osalta, eli sopimukseen määritetyt ehdot toimivat jatkossakin lähtökohtaisesti ainoana turvana osapuolten näkökulmasta.
Mitä immateriaalioikeuksien osalta on huomioitava?
Immateriaalioikeuksien osalta tekoälyjärjestelmiin liittyy useita huomionarvoisia näkökulmia. Edellä sivusimme jo tekoälyjärjestelmän hyödyntämän aineiston oikeuksiin liittyviä kysymyksiä, mutta sen lisäksi sopimuksessa on sovittava varsinaisen tekoälyjärjestelmän käyttöoikeuksista. Ellei kyse ole täysin asiakaskohtaisesti tilatusta järjestelmästä, jonka immateriaalioikeudet käyttäjäorganisaatio haluaa itselleen, järjestelmän tarjoajan ja käyttäjäorganisaation välisessä sopimuksessa on sovittava, millainen käyttöoikeus tekoälyjärjestelmään myönnetään. Tältä osin asiaa voisi hahmottaa pitkälti samoin kuin perinteisempienkin järjestelmien osalta. Myös tekoälyjärjestelmän käyttöoikeuksien osalta on tyypillisesti tarpeen määritellä tutut peruselementit, kuten esimerkiksi voimassaoloaika, siirrettävyys, mahdollinen konserninlaajuisuus sekä muut käyttöoikeuden ulottuvuudet ja rajoitukset.
Lisäksi immateriaalioikeuksiin liittyen on tarpeen sopia, kuka omistaa tekoälyjärjestelmän generoimat tulokset ja/tai millainen käyttöoikeus niihin myönnetään. Tekoälyjärjestelmän hyödyntämän aineiston alkuperä saattaa osaltaan vaikuttaa siihen, mitä tulosten immateriaalioikeuksista on mahdollista ja perusteltua sopia. Myös tekoälyjärjestelmän taustalla hyödynnettävän tekoälymallin käyttöehdot saattavat joissain tapauksissa määrittää, että immateriaalioikeudet tuloksiin kuuluvat tekoälymallin kehittäjälle.
Immateriaalioikeuksien osalta on väistämätöntä kiinnittää huomiota myös immateriaalioikeuksien loukkauksiin liittyviin riskeihin, jotka ovat olleet paljon esillä myös julkisessa keskustelussa. Tältä osin asiaa voisi hahmottaa siten, että varsinaisen tekoälyjärjestelmän osalta järjestelmän kehittäjän on perusteltua vastata yleisen käytännön mukaisesti siitä, että järjestelmä itsessään ei loukkaa kolmannen osapuolen immateriaalioikeuksia. Järjestelmän generoimien tulosten osalta kysymys on huomattavasti haastavampi. Tätä kysymystä arvioitaessa merkitystä on muun muassa sillä, millaista ja kenen tarjoamaa aineistoa tekoälyjärjestelmä hyödyntää. Vastuunjaon lisäksi osapuolten on suositeltavaa arvioida myös käytettävissä olevia keinoja riskien mitigoimiseksi; riskejä voidaan mitigoida esimerkiksi sillä, että järjestelmän tuottamia tuloksia ei hyödynnetä laajamittaisesti sellaisenaan, vaan ainoastaan pienemmissä määrin muun työn tukena.
Miten tekoälyjärjestelmän tuottamat tulokset validoidaan?
Mikäli kyse on suuririskisestä tekoälyjärjestelmästä, järjestelmän tarjoajalla tulee olemaan tekoälysäädöksen nojalla velvollisuus suunnitella ja kehittää järjestelmä riittävän avoimeksi, jotta käyttäjäorganisaatio voi tulkita järjestelmän tuloksia ja käyttää niitä asianmukaisesti. Suuririskisen tekoälyjärjestelmän tarjoajilla tulee lisäksi olemaan velvollisuus antaa käyttäjäorganisaatiolle käyttöohjeiden osana tietoja, jotka tukevat käyttäjäorganisaatiota järjestelmän tulosten tulkitsemisessa.
Suurimmassa osassa tapauksista järjestelmä ei kuitenkaan luokitu suuririskiseksi tekoälyjärjestelmäksi, jolloin yllä viitatut tekoälysäädöksessä kuvatut velvoitteet eivät sovellu. Silloin kun kyse on vähäisemmän riskin tekoälyjärjestelmän hankinnasta, jää jatkossakin sopimuksen määritettäväksi, millä keinoin järjestelmän tarjoaja on velvollinen tukemaan käyttäjäorganisaatiota järjestelmän tulosten validointiin liittyen. Toki myös suuririskisten järjestelmien osalta voi olla aiheellista sopia myös jatkossa tekoälysäädöstä täydentävästi järjestelmän tulosten validointiin liittyvistä vastuista ja mekanismeista, jotka auttavat mitigoimaan mahdollisia järjestelmän käytöstä aiheutuvia virheitä ja vahinkoja.
On hyvä huomioida, että tulosten validointia koskevat sopimusehdot ovat osaltaan olennaisessa roolissa arvioitaessa esimerkiksi sitä, millainen vahingonkorvausvastuu tekoälyjärjestelmän tarjoajalla on tilanteessa, jossa tekoälyjärjestelmä tekee virheen.
Millaisia vastuita lainsäädännöstä seuraa?
Huomioiden erityisesti uusi tekoälysäädös, tekoälyjärjestelmää hankittaessa osapuolten on tärkeää ymmärtää ensinnäkin kyseisen tekoälyjärjestelmän riskiluokka ja toisekseen osapuolten roolit tekoälyn arvoketjussa.
Kuten todettu, suuririskisten tekoälyjärjestelmien osalta tekoälysäädös asettaa useita vaatimuksia. Tekoälysäädöksen sanamuodon mukaan järjestelmän tarjoaja tulee vastaamaan siitä, että suuririskinen tekoälyjärjestelmä on kyseisten vaatimusten mukainen. Suuririskisen tekoälyjärjestelmän osalta myös käyttöönottajalla tulee olemaan tekoälysäädöksessä nimenomaisesti määritettyjä vastuita. Tällöin lainsäädäntö itsessään tuo siis tulevaisuudessa molemmille osapuolille turvaa ja raameja myös sopimussuhteeseen. Suuririskisten tekoälyjärjestelmien osalta on syytä huomata lisäksi, että tekoälyjärjestelmän arvoketjussa voi olla useampia erilaisia toimijoita, joille on kullekin asetettu tekoälysäädöksessä velvoitteita. Tällaisia toimijoita ovat esimerkiksi maahantuojat ja jakelijat. Osapuolten on tärkeää tunnistaa omat ja toistensa roolit arvoketjussa sekä huomioida ne oikein myös sopimusketjussa.
Vähäisemmän riskin järjestelmille ja niitä toimittaville ja käyttäville osapuolille lainsäädäntö ei sen sijaan aseta juurikaan raameja. On siis hyvä tunnistaa ja huomioida, että tällöin sopimuksen rooli korostuu myös jatkossa, sillä osapuolten turvana toimivat ennen kaikkea sopimukseen kirjatut ehdot.
Lainsäädäntöön perustuvien vaatimusten osalta yksi huomionarvoinen näkökulma on myös kysymys siitä, miten lainsäädännön aiheuttamat muutostarpeet järjestelmään käsitellään osapuolten välisessä sopimussuhteessa. Tässä kysymyksessä korostuu erityisesti kaupallinen näkökulma – kuka vastaa muutosten aiheuttamista kustannuksista? Regulaatiovastuu on sopimusneuvottelujen ikivihreä aihe, jossa riittää argumentteja puolin ja toisin. Esimerkiksi tietosuoja-asetuksen osalta on nähty, että edes kuuden vuoden kuluessa sen voimaantulosta ei ole saavutettu kovinkaan selkeää konsensusta siitä, millä tavoin tietosuojalainsäädännön muutoksia koskevat vastuut tulisi jakaa järjestelmähankintoja koskevissa sopimuksissa. Myös tekoälyä koskevan lainsäädännön osalta on todennäköisesti odotettavissa samanlaista keskustelua.
Yleisemmän lainsäädäntöön liittyvän muutoshallinnan osalta sopimusta laadittaessa on lisäksi tärkeää huomioida, että vaikka tekoälysäädös tuli voimaan 1.8.2024, siinä kuvattujen vaatimusten ja velvoitteiden soveltaminen alkaa asteittain vasta myöhemmin. Esimerkiksi suuririskisiä tekoälyjärjestelmiä koskevia velvoitteita aletaan soveltaa vasta 36 kuukauden kuluttua tekoälysäädöksen voimaantulosta. Näin ollen jää osapuolten sovittavaksi, missä laajuudessa tekoälysäädöksen velvoitteita mahdollisesti sovelletaan sopimussuhteessa jo siirtymäaikana, ja millaisia vaikutuksia velvoitteiden voimaantulolla on sopimusosapuolten välillä. Tämä on olennainen kysymys erityisesti pidemmissä sopimussuhteissa. Jos tekoälyjärjestelmä ja sen tarjoajan toiminta eivät vielä lähtötilanteessa vastaa tekoälysäädöksen vaatimuksia, millaisia vaikutuksia vaatimusten toteuttamisella tulee olemaan sopimussuhteen aikana esimerkiksi käyttäjäorganisaatiolta perittäviin maksuihin?
Lopuksi
Myös tämän blogitekstin kirjoittamisessa on käytetty osa-aikaisena työkaverina tekoälyä (ChatGPT). Ylätason bulkkitekstien tuottamisessa yleiskäyttöinen tekoälytyökalu itsessään on jo ihmisen veroinen, mutta Folksin sisältö- ja laatukriteerejä tuotokset eivät tässä tapauksessa täyttäneet. Tilanne voisi olla toinen, jos kirjoittamisessa olisi hyödynnetty Folksin tarpeisiin sovitettua tekoälyjärjestelmää. Tällöin Folksin ja tekoälyjärjestelmän tarjoajan välisessä sopimuksessa olisi toivottavasti huomioitu edellä käsittelemämme näkökulmat muun muassa sen varmistamiseksi, että tekoälyjärjestelmä ei syötä ulos toisessa toimistossa työskentelevältä kollegalta kopioitua tekstiä tai yksinomaan tekoälyjärjestelmän tarjoajan omia etuja ajavia näkökulmia.
Autamme mielellämme tarkemmin tekoälysopimuksiin ja tekoälysääntelyyn liittyvissä kysymyksissä!
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.