Vahvista tietoturvaa ja lievitä kybertuskaa.
Vahvista tietoturvaa ja lievitä kybertuskaa.

Tekoälyn turvallista käyttöä pyritään varmistamaan lainsäädännön keinoin

8.7.2024

Euroopan Unionin tekoälyasetus (Artifical Intelligence Act tai AI Act) on maailman ensimmäinen tekoälyn käyttöön liittyvä sääntökokonaisuus. Asetuksen tarkoituksena on varmistaa tekoälyn turvallinen ja perusoikeuksien mukainen käyttö, sekä edistää tekoälyyn liittyvää innovointia.

Asetus on hyväksytty Euroopan parlamentissa ja neuvostossa. Tarkkaa aikataulua sen voimaantulolle ei vielä ole.

 

Ketä tekoälyasetus koskee?

Tekoälyjärjestelmien tarjoajilla on velvollisuus noudattaa järjestelmille asetettuja sääntöjä. Asetusta sovelletaan kaikkiin niihin tarjoajiin, joiden järjestelmiä markkinoidaan EU:ssa tai joiden käytöllä on vaikutusta EU:n kansalaisiin. Asetus koskee niin julkisia kuin yksityisiä toimijoita.

Vastuuta on myös tekoälyjärjestelmiä käyttävillä tahoilla. Jos heidän käyttöönottamansa järjestelmä kuuluu tekoälyasetuksen piiriin, tulee heidän varmistaa, että järjestelmä on käynyt läpi tarvittavat arvioinnit ennen kuin se otetaan käyttöön.

Asetuksen ulkopuolelle jäävät esimerkiksi järjestelmät, joita käytetään sotilaallisiin tarkoituksiin, maanpuolustukseen tai kansalliseen turvallisuuteen. Toimijat, jotka tarjoavat ilmaisia tai avoimeen lähdekoodiin perustuvia järjestelmiä ovat myös suurelta osin velvoitteiden ulkopuolella.

 

Mitä vaatimuksia tekoälyjärjestelmille asetetaan?

Säädös luokittelee tekoälyratkaisuja niiden riskitason mukaan. Niille asetetut säännöt riippuvat siitä, mihin riskiluokkaan järjestelmä kuuluu. Suurin osa EU:n alueella käytetyistä tekoälyratkaisuista kuuluu minimaalisen riskin kategoriaan, eikä ratkaisujen tarjoajien tarvitse noudattaa asetusta.

 

Suuririskiset järjestelmät

Suuren riskin tekoälyjärjestelmiä ovat EU:n tuoteturvallisuusdirektiivin alle kuuluvat tuotteet. Tähän kategoriaan kuuluvat esimerkiksi:

  • lääkinnälliset laitteet
  • hissit
  • autot
  • ilmailu
  • lelut

 

Suuririskisiksi lasketaan myös tietyille aloille kuuluvat järjestelmät. Tällaisia aloja ovat esimerkiksi:

  • kriittisen infrastruktuurin hallinta ja käsittely
  • yleissivistävä ja ammatillinen koulutus
  • työllistäminen, henkilöstöhallinto sekä itsenäisen ammatinharjoittamisen mahdollistaminen
  • olennaisten yksityisten palvelujen ja julkisten palvelujen ja etujen saatavuus ja käyttö
  • lainvalvonta
  • muuttoliikkeen hallinta, turvapaikka-asiat ja rajavalvonta
  • oikeudenhoito ja demokraattiset prosessit

 

Suuririskiset tekoälyjärjestelmät tulee arvioida ennen kuin ne tulevat markkinoille sekä aina silloin, kun järjestelmää tai sen tarkoitusta muutetaan huomattavasti. Arvioinnissa huomioidaan seuraavia asioita:

  • koulutuksessa käytetyn datan laatu
  • dokumentaatio ja jäljitettävyys
  • läpinäkyvyys
  • ihmisen toteuttama valvonta
  • tarkkuus
  • kyberturvallisuus
  • vakaus

Kansalaiset voivat tehdä järjestelmistä valituksia kansallisille viranomaisille.

 

Ei hyväksyttävän riskin järjestelmät

Sellaiset järjestelmät, joiden aiheuttamaa riskiä ei voida hyväksyä on kokonaan kielletty. Kategoriaan kuuluvat järjestelmät, jotka aiheuttavat uhan ihmisten perusoikeuksille. Tähän kuuluvat käytöksen manipulointiin pyrkivät ratkaisut, sosiaalinen pisteytys, sekä biometrinen tunnistus ja luokittelu. Jälkimmäisessä on joitain poikkeuksia lainsäädännön osalta.

 

Generatiiviselle tekoälylle asetetut vaatimukset

Generatiivista tekoälyä koskee tietyt läpinäkyvyysvelvoitteet. Tekoälyn tulee kertoa, että sisällön on tuottanut tekoäly. Tämä koskee niin tekoälyn avulla tuotettua kuva-, ääni- ja videosisältöä kuin tekoälyn kanssa käytyjä keskusteluja. Käyttäjälle ei saa jäädä oletusta, että hän on vuorovaikutuksessa toisen ihmisen kanssa silloin, kun keskustelun toisella puolella on tosiasiassa tekoäly.

Generatiivisten tekoälyjärjestelmien tarjoajien tulee julkaista yhteenvetoja kouluttamiseen käytetystä tekijänoikeuksin suojatusta datasta. Järjestelmä tulisi myös kehittää niin, ettei laittoman sisällön tuottaminen ole mahdollista.

Osa generatiivisesta tekoälystä nähdään myös sellaisina, että ne voivat aiheuttaa järjestelmällistä uhkaa. Näihin järjestelmiin lasketaan edistyneemmät tekoälymallit, kuten OpenAI:n GPT-4. Kyseisten järjestelmien tarjoajien tulee arvioida ja hallita riskejä, raportoida vakavista tapauksista komissiolle, suorittaa testausta, varmistaa kyberturvallisuus ja raportoida järjestelmän energiankulutus.

 

Miten asetus tukee innovointia?

Laki velvoittaa kansallisia viranomaisia tarjoamaan yrityksille testiympäristön, jossa tekoälyjärjestelmää voi testata realistisessa ympäristössä. Testiympäristöjä voivat hyödyntää niin suuret kuin pienemmätkin yritykset.

Toisaalta sääntelyn tavoitteena on, että kun tekoälyjärjestelmiin kohdistetaan sääntelyä, paranee niiden luotettavuus potentiaalisten käyttäjien silmissä. Näin useampi voi olla halukas ottamaan tekoälyratkaisuja käyttöön, mikä kasvattaa kysyntää.

 

Milloin tekoälysäädös tulee voimaan?

Tekoälyasetus on suoraan sovellettavaa lainsäädäntöä, eli sitä ei tarvitse erikseen tuoda kansalliseen lainsäädäntöön. On kuitenkin joitain tekoälyn käyttötarkoituksia, jotka vaativat kansallista sääntelyä ja olemassa olevien lakien päivittämistä. Esimerkiksi Sosiaali- ja terveysministeriö on käynnistänyt ekosysteemin, jossa mietitään mm. sosiaali- ja terveysalalla käytettävään tekoälyyn liittyvän lainsäädännön kehittämistä. 

Euroopan parlamentti ja neuvosto ovat hyväksyneet tekoälyasetuksen, mutta tarkkaa aikataulua viralliselle hyväksynnälle ja säädöksen voimaantulolle ei ole vielä tiedossa.

Voimaantulon jälkeen lakia aletaan soveltaa vaiheittain. Ensimmäisenä noudatettavaksi tulee kiellettyjen tekoälyjärjestelmien kielto, jota tulee noudattaa kuuden kuukauden kuluttua säädöksen voimaantulosta. Viimeisenä voimaan astuvat korkean riskin järjestelmiin kohdistetut vaatimukset, joita tulee noudattaa 36 kuukautta lain voimaanastumisen jälkeen.

 

STT:n tiedote:
https://www.sttinfo.fi/tiedote/70119336/euroopan-parlamentti-hyvaksyi-maailman-ensimmaiset-tekoalysaannot

Euroopan Unionin viralliset verkkosivut:
https://www.europarl.europa.eu/topics/fi/article/20230601STO93804/eu-n-tekoalysaados-on-ensimmainen-laatuaan
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_1683

Tiivistettynä:

  • Asetus on hyväksytty Euroopan parlamentissa ja neuvostossa. Tarkkaa aikataulua sen voimaantulolle ei vielä ole.
  • Asetus pyrkii varmistamaan, että tekoälyjärjestelmien riskit on huomioitu.
  • Suuririskiset järjestelmät käyvät läpi arvioinnin ennen kuin ne tulevat markkinoille.
  • Ei hyväksyttävän riskin tekoälyratkaisut ovat pääasiassa kielletty. Osaa niistä käytetään hyvin rajatuissa tapauksissa.
  • Generatiiviselle tekoälylle asetetaan läpinäkyvyysvelvoitteita.
  • Yrityksille tarjotaan testausympäristö.

Kirjoittajasta:

Artikkelin on kirjoittanut Jenna Ruuska.

Jenna toimii CyberCare Kymi -hankkeessa kyberturva-asiantuntijana. Hankkeen rahoituksen on myöntänyt Kymenlaakson liitto, Euroopan Unionin osarahoittamana.

Sinua voisi kiinnostaa myös

Deepfaken lyhyt oppimäärä

Tästä alkaa sukellus syvälle deepfaken ytimeen! Deepfake on pompannut viimeisen vuoden aikana esille enemmän kuin koskaan. Mitä on deepfake on ja missä siihen voi törmätä?