EU:n tekoälysäädös: kuinka navigoida regulaatioviidakossa kohti turvallisempaa ja vastuullisempaa tekoälyä?
4 min read
EU:n tekoälysäädös (AI Act) on täällä ja se vaikuttaa jokaisen yrityksen ja organisaation toimintaan – jos ei jo tänään niin väistämättä lähivuosina. Säädöksen noudattaminen varmistaa osaltaan, että tekoälyä käytetään vastuullisesti ja eettisesti, mikä on keskeistä tekoälyn hyötyjen maksimoimiseksi ja mahdollisten haittojen minimoimiseksi.
Euroopan unionin tekoälysäädös astui voimaan elokuussa 2024, mutta sen todellinen soveltaminen alkaa portaittain pisimmillään kolmen vuoden siirtymäajalla. Säädöksen keskeinen tavoite on suojata ihmisten terveyttä, turvallisuutta ja perusoikeuksia tekoälyjärjestelmien ja yleiskäyttöisten tekoälymallien käytöstä mahdollisesti aiheutuvilta riskeiltä ja haitoilta.
Säädös koskettaa EU:ssa markkinoille tuotavia ja EU:ssa käyttöönotettavia tekoälyjärjestelmiä sekä yleiskäyttöisiä tekoälyämalleja, kuten suuria kielimalleja, joille monet tekoälyjärjestelmät tänä päivänä pohjautuvat. Säädöksen piiriin kuuluvat niin tekoälyratkaisujen tarjoajat kuin käyttöönottajat, mutta se rajaa yksityisen käytön sekä kansalliseen turvallisuuteen liittyvät ratkaisut pois sääntelyn piiristä.
Rangaistus säädöksen noudattamatta jättämisestä on enintään 35 miljoonaa euroa tai 7 % maailmanlaajuisesta vuotuisesta liikevaihdosta sen mukaan, kumpi on suurempi.
Riskipohjainen luokittelu on askel kohti turvallisempaa ja eettisempää tekoälyä
EU:n tekoälysäädös luokittelee tekoälyjärjestelmät neljään riskiluokkaan niiden potentiaalisen haitan perusteella. Tällä riskiluokituksella pyritään varmistamaan, että tekoälyä käytetään turvallisesti ja eettisesti, samalla kun edistetään innovointia ja kilpailukykyä.
EU:n tekoälysäädös – riskipohjainen luokittelu
Vähäisen riskin ratkaisut: Tarjoaminen ja käyttö on sallittua. Esimerkkinä roskaposti-suodattimet tai tekoälyllä varustetut videopelit.
Rajoittuneen riskin ratkaisut: Tarjoaminen ja käyttö on sallittua, kunhan esimerkiksi säädetyt avoimuusvelvoitteet täytetään. Näistä esimerkkinä ihmisen kanssa vuorovaikutuksessa olevat ratkaisut, kuten erilaisia kielimalleja hyödyntävät chatbotit.
Korkean riskin ratkaisut: Tarjoaminen ja käyttö on sallittua, kunhan säädetyt vaatimukset täytetään. Esimerkkinä lääketieteelliset laitteet, kuten potilastietojärjestelmät, tai rekrytointiin käytettävät ratkaisut.
Kielletyt ratkaisut: Tarjoaminen ja käyttö on kielletty. Kiellettyjä ratkaisuja ovat esimerkiksi ihmisten perusoikeuksia uhkaavat tekoälyjärjestelmät.
Suurin osa tekoälyjärjestelmistä, kuten mainitut roskapostisuodattimet, kuuluu vähäisen riskin luokkaan, eikä niihin sovelleta erityisiä velvoitteita. Rajoittuneen riskin järjestelmiltä, kuten chatboteilta, edellytetään erityisesti läpinäkyvyyttä: käyttäjille on kerrottava selkeästi, että he ovat vuorovaikutuksessa tekoälyn kanssa.
Korkean riskin tekoälyjärjestelmiin, kuten lääketieteellisiin laitteisiin tai palveluohjaukseen, kohdistuu tiukkoja vaatimuksia, jotka liittyvät esimerkiksi riskienhallintaan, tiedon laatuun, arkistointivelvoitteisiin sekä ihmisen suorittamaan valvontaan. Kielletyn riskin järjestelmät, joilla on merkittävä vaikutus ihmisten turvallisuuteen tai perusoikeuksiin, kuten muun muassa sosiaalisen pisteytyksen järjestelmät ja tietyt biometrisen tarkkailun muodot, ovat lähtökohtaisesti kokonaan kiellettyjä.
Säädös tukee innovaatioita ja parempia palveluja
Tekoälyn tarjoamat hyödyt näkyvät jo nyt arjessa – se helpottaa ihmisten arkea ja parantaa elämänlaatua automatisoimalla ja tarjoamalla älykkäitä ratkaisuja. Lisäksi tekoäly mahdollistaa vaikkapa räätälöityjen ja yksilöllisten palvelujen tarjoamisen asiakkaille tai julkishallinnon tapauksessa kansalaisille.
Haittojen minimoimiseksi jokaisen organisaation on kuitenkin samalla tärkeää olla tietoinen tekoälyn käyttöön liittyvistä riskeistä ja ryhtyä toimiin niiden hallitsemiseksi. Tekoälysäädös helpottaa tehtävää luomalla selkeän ja ennakoitavan sääntelykehyksen, jonka asettamien vaatimusten noudattaminen antaa hyvän lähtökohdan tekoälyratkaisujen kehittämiseksi ja käyttöönottamiseksi.
”Oikeiden asioiden tekeminen on välttämätöntä, jotta teknologiaa kehitetään ja käytetään tavalla, joka edistää yhteiskunnallista hyvinvointia ja minimoi mahdollisia haittavaikutuksia. Tekemällä asioita oikein saadaan myös ihmiset innostumaan muutoksesta.”
Tommi Gynther,
johtava digitalisaatiokonsultti, CGI
Tekoälysäädöksen tuntemus ei itsessään riitä – vaikka huolehdimme, että tekoälyratkaisua hyödyntävä käyttötapaus on vaatimustenmukainen, on muistettava tarkastella samaa ratkaisua myös tietosuoja-asetuksen (GDPR) ja muiden sitä koskevien säädösten näkökulmasta. Muista siis huolehtia kokonaisuudesta.
Liikkeelle helpoimmista käyttötapauksista
Moni äkkiseltään erityisen herkullisen kuuloinen tekoälyn käyttötapaus osuu herkästi korkeampiin riskiluokkiin, eikä hyödytä välttämättä kovinkaan monia organisaatiossa. Keskity siis aluksi selkeimpiin käyttötapauksiin, joissa lainsäädännölliset ja eettiset riskit ovat matalia ja organisaation kokonaishyöty on suuri. Tällöin tekoäly saadaan valjastettua mahdollisimman helposti ja riskit minimoiden osaksi ihmisten arkea.
Jos haluat perehtyä tarkemmin tekoälysäädöksen taustoihin, aikatauluihin, riskiluokkiin ja vaatimuksiin, katso 17.9. järjestämämme webinaarin tallenne, jossa CGI:n Tommi Gynther ja juristi Kari-Matti Lehti keskustelevat konkreettisista tekoälyn käyttötapauksista, analysoivat esimerkkejä ja käyvät läpi, mihin riskiluokkaan mikäkin tapaus kuuluu.
Ketä EU:n tekoälysäädös koskee?
Tarjoajat, jotka kotimaasta riippumattomasti kehittävät tai tarjoavat tekoälyjärjestelmiä tai -malleja EU:ssa (esim. yritykset, tutkimuslaitokset, yksityishenkilöt).
Käyttöönottajat, jotka käyttävät tekoälyjärjestelmiä tai -malleja osana toimintaansa EU:ssa (esim. yritykset, julkiset organisaatiot, yksityishenkilöt).
Säädös koskee myös EU:n ulkopuolisia tahoja, jos niiden tekoäly vaikuttaa ihmisiin EU:ssa.
Säädös ei koske päätöksentekojärjestelmiä, jotka noudattavat ihmisten asettamia sääntöjä ilman koneoppimista tai muuta tekoälyä, eikä perinteistä automaatiota. Esimerkiksi hakemusten käsittely, jossa käytetään apuna ihmisen luomaa päätöspuuta, joka ei muutu tai kehity itsenäisesti, ei kuulu sääntelyn piiriin.
On tärkeää huomata, että vaikka järjestelmä ei aluksi käyttäisi tekoälyä, sen myöhemmät päivitykset voivat tuoda sen sääntelyn piiriin. Rajatapaukset voivat olla tulkinnanvaraisia, ja tarvittaessa kannattaa konsultoida asiantuntijaa tai viranomaisia.
Lue myös:
CGI on ensimmäisten yritysten joukossa allekirjoittanut Euroopan unionin tekoälysäädössitoumuksen (AI Act Pledge), jolla edistetään luotettavaa ja turvallista tekoälyn kehittämistä ja EU:n tekoälysäädöksen (AI Act) periaatteiden soveltamista. Lue lisää lehdistötiedotteesta (englanniksi).
Olen Tommi Gynther ja työskentelen CGI:llä valtionhallinnon yksikössä johtavana digitalisaatiokonsulttina. Taustani ovat sovelluskehityksen ja arkkitehtuurin puolelta mutta tänä päivänä katson asioita enemmänkin pehmeämpien arvojen näkökulmasta vahvalla tulevaisuusorientoitumisella.
Tekoälyn avulla voidaan ottaa merkittäviä tuottavuusharppauksia. Juuri nyt onkin tärkeää lähteä liikkeelle, sekä luoda tekoälyn käytölle pelisäännöt ja toimintamallit.
Tekoälyn hyödyntämistä ja käyttökohteita mietitään nyt monessa yrityksessä ja organisaatiossa. Tekoälytyöpaja auttaa tunnistamaan ja valitsemaan omaan organisaatioon sopivimmat käyttökohteet lukuisten eri vaihtoehtojen joukosta.