Tekoälyasetuksen vaatimukset: riskiluokittelu

TekoälyTeknologiaTekoälyasetus
Kirjoittaja: Atte Kuismin-Raerinne

Tekoäly (AI) on tullut ryminällä osaksi yritysten arkea, ja sen myötä myös sääntelyviranomaiset ovat heränneet. EU:n uusi tekoälyasetus on nyt täällä, ja jokaisen organisaation on aika ottaa haltuun sen perusperiaatteet.

Ennen kuin sukellamme syvään päätyyn, sovitaan yhteisistä termeistä. Julkisessa keskustelussa tästä sääntelystä käytetään usein nimeä tekoälysäädös – tämä juontaa juurensa englanninkielisestä termistä AI Act. Viralliselta EU-oikeudelliselta lainsäädäntöinstrumentiltaan kyseessä on kuitenkin nimenomaan asetus (regulation). Tämä tarkoittaa sitä, että se on sellaisenaan suoraan sovellettavaa ja velvoittavaa lainsäädäntöä kaikissa EU-maissa ilman toisin kuin direktiivit, jotka jäsenvaltioiden tulee implementoida erikseen kansalliseen lainsäädäntöön. Tämän vuoksi käytän termiä tekoälyasetus.

Asetuksen perusajatus on yksinkertainen: mitä suurempi riski, sitä tiukemmat säännöt. Kaikkea tekoälyä ei suinkaan säännellä samalla tavalla, vaan järjestelmät jaetaan neljään eri riskiluokkaan.

Neljä riskiluokkaa – missä teidän järjestelmänne menee?

Tekoälyasetus ei kiinnitä huomiota niinkään siihen, miten hienoa teknologia on, vaan siihen, mihin sitä käytetään. Riskiluokat jakautuvat seuraavasti:

1. Ei-hyväksyttävä riski (Kielletyt järjestelmät)

Jotkin tekoälyn käyttötavat sotivat niin pahasti EU:n perusoikeuksia vastaan, että ne kielletään kokonaan.

  • Esimerkkejä: Kansalaisten sosiaalinen pisteytys (social scoring), ihmisen käyttäytymisen manipulointi subliminaalisilla tekniikoilla tai tietyt biometrisen etätunnistuksen muodot julkisilla paikoilla.

  • Vaatimus: Näitä järjestelmiä ei saa kehittää, myydä tai käyttää EU:n alueella. Piste.

2. Suuren riskin tekoälyjärjestelmät

Tämä on se luokka, johon yritysten ja juristien katseet tällä hetkellä kohdistuvat. Jos tekoälyä käytetään kriittisillä aloilla, se katsotaan suureksi riskiksi. Suuren riskin sääntely muodostaa suurimman osan sääntelyn kokonaisuudesta.

  • Esimerkkejä: Rekrytoinnissa ja HR-prosessien automatisoinnissa käytettävät tekoälyt (esim. CV-seulonnat), terveydenhuollon laitteet, luottokelpoisuusarvioinnit ja kriittisen infrastruktuurin hallinta.

  • Vaatimus: Tässä luokassa vaatimustaso nousee korkeaksi. Järjestelmiltä vaaditaan muun muassa jatkuvaa riskienhallintaa, korkealaatuista ja syrjimätöntä datan käsittelyä, tarkkaa lokitusta sekä – mikä tärkeintä – ihmisen suorittamaa valvontaa (human-in-the-loop). Järjestelmät on myös rekisteröitävä EU:n tietokantaan ennen käyttöönottoa. Rekisteröimisprosessi on samanlainen kuin muissakin CE-merkinnän saavissa tuotteissa muistuttaen eniten lääkinnällisten laitteiden rekisteröimisprosessia.

3. Avoimuusriski (Rajoitetun riskin järjestelmät)

Tähän luokkaan kuuluvat järjestelmät, jotka eivät aiheuta välitöntä vaaraa turvallisuudelle, mutta joihin liittyy riski siitä, että ihmisiä johdetaan harhaan.

  • Esimerkkejä: Chatbotit, deepfake-videot tai tekoälyllä generoidut tekstisisällöt.

  • Vaatimus: Avainsana on läpinäkyvyys. Käyttäjälle on tehtävä selväksi, että hän asioi tekoälyn kanssa tai että sisältö on koneen luomaa. Käyttäjällä on oikeus tietää, milloin vastassa ei ole aito ihminen.

4. Vähäinen tai olematon riski

Valtaosa nykyisin käytössä olevista tekoälysovelluksista putoaa onneksi tähän kategoriaan.

  • Esimerkkejä: Sähköpostin roskapostisuodattimet, tekoälypohjaiset videopelit tai varastonhallinnan optimointityökalut.

  • Vaatimus: Ei uusia juridisia lisävelvoitteita. Kehittäjät voivat kuitenkin vapaaehtoisesti sitoutua hyvään toimintatapaan ja eettisiin periaatteisiin.

Miten tästä eteenpäin?

Tekoälyasetus ei ole mörkö, joka kieltää innovaatiot, vaan pikemminkin pelisäännöt, joiden puitteissa tulevaisuuden teknologiaa rakennetaan turvallisesti. Ensimmäinen askel jokaiselle organisaatiolle onkin tehdä sisäinen inventaario: Mitä tekoälyjärjestelmiä meillä on käytössä tai kehitteillä, ja mihin riskiluokkaan ne asettuvat? Kun luokittelu on selvillä, tiedetään myös se, pitääkö ryhtyä järeisiin compliance-toimenpiteisiin vai voidaanko jatkaa matkaa pelkällä avoimella viestinnällä.

Etenkin korkean riskin tekoälyjärjestelmien kohdalla vaatimuksia on paljon ja vaatimukset ovat hyvin yksityiskohtaisia. Asiantunteva juristi, joka ymmärtää sekä teknologiaa että juridiikkaa on avainasemassa. Jos tarvitsette tällaista juristia, niin olkaa yhteydessä!

Atte Kuismin-Raerinne
Edellinen

Tekoälyasetuksen vaatimukset: soveltamisala
Seuraava

Pitääkö minun lähteä töihin/kouluun, vaikka vaaratiedote kehottaa pysymään sisätiloissa - juristi vastaa