6.3.2025
Mistä EU:n tekoälyasetuksessa on kyse?
Euroopan Unionin tekoälyasetus (Artifical Intelligence Act tai AI Act) on maailman ensimmäinen tekoälyn käyttöön liittyvä sääntökokonaisuus. Asetuksen tarkoituksena on varmistaa tekoälyn turvallinen ja perusoikeuksien mukainen käyttö, sekä edistää tekoälyyn liittyvää innovointia.
Asetus astui voimaan 1.8.2024. Sen täytäntöönpanossa on erilaisia siirtymäaikoja, joita käsitellään artikkelissa.
Ketä tekoälyasetus koskee?
Tekoälyjärjestelmien tarjoajilla on velvollisuus noudattaa järjestelmille asetettuja sääntöjä. Asetusta sovelletaan kaikkiin niihin tarjoajiin, joiden järjestelmiä markkinoidaan EU:ssa tai joiden käytöllä on vaikutusta EU:n kansalaisiin. Asetus koskee niin julkisia kuin yksityisiä toimijoita.
Vastuuta on myös tekoälyjärjestelmiä käyttävillä tahoilla. Jos heidän käyttöönottamansa järjestelmä kuuluu tekoälyasetuksen piiriin, tulee heidän varmistaa, että järjestelmä on käynyt läpi tarvittavat arvioinnit ennen kuin se otetaan käyttöön. Lisäksi tulee varmistaa, että järjestelmää valvotaan ja käytetään käyttöohjeiden mukaisesti. Valvontaa tekevillä henkilöillä tulee olla sen vaatima pätevyys ja valtuudet.
Tekoälyä käyttävien organisaatioiden tulee myös varmistaa, että järjestelmää käyttävältä henkilökunnalta löytyy riittävä osaaminen. Erityisesti pitää ymmärtää käyttöön liittyvät hyödyt ja riskit. Tämä vaatimus koskee myös mataliin riskiluokkiin kuuluvia järjestelmiä.
Lue lisää ”tekoälylukutaidosta”: https://www.hyvil.fi/tekoalyn-lukutaito-opas-hyvinvointialueiden-kayttoon-julkaistu/
Asetuksen ulkopuolelle jäävät esimerkiksi järjestelmät, joita käytetään sotilaallisiin tarkoituksiin, maanpuolustukseen tai kansalliseen turvallisuuteen. Toimijat, jotka tarjoavat ilmaisia tai avoimeen lähdekoodiin perustuvia järjestelmiä ovat myös suurelta osin velvoitteiden ulkopuolella.
Mitä vaatimuksia tekoälyjärjestelmille asetetaan?
Säädös luokittelee tekoälyratkaisuja niiden riskitason mukaan. Niille asetetut säännöt riippuvat siitä, mihin riskiluokkaan järjestelmä kuuluu.
Asetuksessa kuvataan neljä riskiluokkaa sekä omat velvoitteet yleiskäyttöisille tekoälymalleille:
Suurin osa EU:n alueella käytetyistä tekoälyratkaisuista kuuluu vähäisen riskin kategoriaan, eikä niille ole asetettu vaatimuksia. Tähän kategoriaan kuuluvat esimerkiksi tekoälyä hyödyntävät sähköpostisuodattimet. Niiden valmistajat voivat kuitenkin halutessaan vapaaehtoisesti toimia asetuksen mukaan.
Kielletyt käyttötarkoitukset
Sellaiset järjestelmät, joiden aiheuttamaa riskiä ei voida hyväksyä on kokonaan kielletty. Kategoriaan kuuluvat järjestelmät, jotka aiheuttavat uhan ihmisten terveydelle ja turvallisuudelle.
Tähän kuuluvat esimerkiksi käytöksen manipulointiin pyrkivät ratkaisut, sosiaalinen pisteytys, sekä biometrinen luokittelu.
Suuririskiset järjestelmät
Suuren riskin tekoälyjärjestelmiä ovat EU:n tuoteturvallisuusdirektiivin alle kuuluvat tuotteet. Tähän kategoriaan kuuluvat esimerkiksi:
Suuririskisiksi lasketaan myös tietyille aloille kuuluvat järjestelmät. Tällaisia aloja ovat esimerkiksi:
Suuririskiset tekoälyjärjestelmät tulee arvioida ennen kuin ne tulevat markkinoille sekä aina silloin, kun järjestelmää tai sen tarkoitusta muutetaan huomattavasti. Arvioinnissa huomioidaan seuraavia asioita:
Tarkka listaus suuririskisten järjestelmien vaatimuksista löytyy täältä (englanniksi): https://www.nature.com/articles/s41746-024-01213-6/tables/2
Kansalaiset voivat tehdä järjestelmistä valituksia kansallisille viranomaisille.
Euroopan komission on määrä julkaista kattavampi lista konkreettisista esimerkeistä, mitä tulee korkean riskin järjestelmiin. Tämä lista on määrä julkaista viimeistään helmikuussa 2026.
Läpinäkyvyysriski / Rajoittunut riski
Kun ihminen on vuorovaikutuksessa tekoälyn kanssa, hänelle ei voi jäädä mielikuvaa, että hän keskustelee ihmisen kanssa. Tästä syystä osalle tekoälyratkaisuista asetetaan läpinäkyvyysvelvoitteita. Kategoriaan kuuluvat erilaiset chatbotit ja tekoälyratkaisut, jotka tuottavat ääntä, kuvaa, videota tai tekstiä.
Yleiskäyttöiset tekoälymallit (General-purpose AI model)
Yleiskäyttöinen tekoälymalli viittaa tekoälymalliin, joka on koulutettu suurella määrällä dataa käyttäen laajamittaista itsevalvontaa. Malli pystyy pätevästi suorittamaan erilaisia tehtäviä ja se voidaan integroida erilaisiin sovelluksiin.
Yleiskäyttöisille tekoälymalleille asetetaan riskin tasoon suhteutettuja vaatimuksia. Vaatimuksiin kuuluu dokumentaatioon liittyvät velvoitteet, tekijänoikeusmääräysten noudattaminen sekä avoimuus koulutusdatasta.
Osa yleiskäyttöisistä tekoälymalleista nähdään sellaisina, että ne voivat aiheuttaa systeemisiä riskejä. Näihin järjestelmiin lasketaan edistyneemmät tekoälymallit, kuten OpenAI:n GPT-4. Näissä tilanteissa järjestelmiltä velvoitetaan edellä mainittujen lisäksi riskienhallintaa, kyberturvallisuuden varmistamista, sekä arviointia.
Yksityiskohtaisempi listaus velvoitteista: https://www.nature.com/articles/s41746-024-01213-6/tables/3
Miten asetus tukee innovointia?
Laki velvoittaa kansallisia viranomaisia tarjoamaan yrityksille testiympäristön, jossa tekoälyjärjestelmää voi testata realistisessa ympäristössä. Testiympäristöjä voivat hyödyntää niin suuret kuin pienemmätkin yritykset.
Toisaalta sääntelyn tavoitteena on, että kun tekoälyjärjestelmiin kohdistetaan sääntelyä, paranee niiden luotettavuus potentiaalisten käyttäjien silmissä. Näin useampi voi olla halukas ottamaan tekoälyratkaisuja käyttöön, mikä kasvattaa kysyntää.
Milloin tekoälysäädös tulee voimaan?
Tekoälyasetus on suoraan sovellettavaa lainsäädäntöä, eli sitä ei tarvitse erikseen tuoda kansalliseen lainsäädäntöön. On kuitenkin joitain tekoälyn käyttötarkoituksia, jotka vaativat kansallista sääntelyä ja olemassa olevien lakien päivittämistä.
Esimerkiksi Sosiaali- ja terveysministeriö on käynnistänyt ekosysteemin, jossa mietitään mm. sosiaali- ja terveysalalla käytettäviin tekoälyratkaisuihin liittyvän lainsäädännön kehittämistä. Lue lisää ekosysteemistä: https://stm.fi/-/yhdessa-sote-tekoalya-kehittamaan
Voimaantulon jälkeen lakia aletaan soveltaa vaiheittain.
Aikataulu:
8/2024
Asetus astui voimaan.
2/2025
Kielletyt käyttötapaukset on määritelty ja vaatimuksia noudatetaan.
2/2025
Tekoälyä käyttävien toimijoiden tulee varmistua siitä, että tekoälyä käyttävillä työntekijöillä on tarvittava osaaminen järjestelmien käyttöön sekä ymmärrys käytön hyödyistä ja riskeistä.
8/2025
Yleiskäyttöisten tekoälymallien vaatimukset uusille järjestelmille astuvat voimaan.
8/2026
Suuririskisten järjestelmien vaatimukset astuvat voimaan (pois lukien viranomaisten jo käytössä olevat järjestelmät). Rajoittuneen riskin avoimuusvaatimukset astuvat voimaan.
8/2027
Tuoteturvasääntelyn alle kuuluvien käyttötapausten vaatimukset astuvat voimaan. Ennen 8/2025 markkinoille tuotujen yleiskäyttöisten mallien tulee olla vaatimustenmukaisia.
8/2030
Ennen 8/2026 viranomaisten käyttöön ottamien järjestelmien tulee täyttää vaatimukset.
Artikkelissa käytetyt lähteet:
https://www.nature.com/articles/s41746-024-01213-6
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_1683
https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX:32024R1689
Artikkeli on kirjoitettu Kaakkois-Suomen ammattikorkeakoulun toteuttamassa CyberCare Kymi -hankkeessa. Hankkeen rahoituksen on myöntänyt Kymenlaakson liitto Euroopan Unionin osarahoittamana.
