Tekoälyn käyttöä viranomaistoiminnassa ja muussa julkisen sektorin toiminnassa koskevat pääasiassa aivan samat säännöt ja säädökset kuin muutakin toimintaa. Esimerkiksi hallintolaki velvoittaa viranomaisia aivan samalla lailla, käyttääpä viranomainen tekoälyä toiminnassaan tai ei. Erityisesti tekoälyä koskevan sääntelyn määrä on lisääntynyt lähes räjähdysmäisesti, kun EU:n tekoälyasetus on tullut voimaan.
Tekoälyasetusta aletaan soveltaa 2. elokuuta 2026, jolloin myös suurin osa sen velvoitteista astuu voimaan. Suuri osa tekoälyasetuksen mukaisista velvoitteista koskee julkisen sektorin toimijoita. Nyt onkin erinomainen aika arvioida omaa toimintaa tekoälyasetuksen velvoitteiden näkökulmasta. Tietyt tekoälyasetuksen mukaiset velvoitteet tulevat voimaan 6 tai 12 kuukautta asetuksen voimaantulon jälkeen, joten aivan vähintään näiden velvoitteiden täyttyminen määräaikaan mennessä on syytä varmistaa.
Onko organisaationi tekoälyjärjestelmän tarjoaja?
Tekoälyasetus asettaa velvoitteita tekoälyjärjestelmien tarjoajille sekä vähäisemmässä määrin niiden käyttöönottajille. Käyttöönottaja on se taho, joka käyttää valvonnassaan olevaa tekoälyjärjestelmää muuten kuin omaan henkilökohtaiseen käyttöönsä. Tarjoaja taas on jokainen, joka kehittää tai kehityttää tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin ja saattaa sen markkinoille tai ottaa tekoälyjärjestelmän käyttöön omalla nimellään tai tavaramerkillään joko maksua vastaan tai maksutta.
Ensimmäinen tekoälyasetuksesta huomioitava asia onkin edellä mainittu tarjoajan määritelmä. Tekoälyjärjestelmän tarjoajaa koskevat velvollisuudet koskevat esimerkiksi viranomaista, jonka kotisivulla on viranomaisen tilaama ja viranomaisen nimeä kantava tekoälypohjainen toiminnallisuus. Tekoälyjärjestelmän tarjoajan velvollisuuksien piiriin voi siis päätyä, vaikka ei itse kehitä tai myy tekoälyjärjestelmiä.
Millaisia riskejä organisaationi tekoälyjärjestelmiin liittyy?
Tekoälyasetuksen asettamat velvoitteet riippuvat paitsi siitä, onko velvoitteiden kohde tekoälyjärjestelmän tarjoaja vai käyttöönottaja, myös siitä, millaisen riskitason tekoälyjärjestelmästä on kyse. Hyvin pieniriskisiä tekoälyjärjestelmiä, kuten tietokonepelien tekoälyä hyödyntäviä osia, tekoälyasetus ei sääntele lainkaan.
Sääntelyn piirissä olevat tekoälyjärjestelmät jaetaan kiellettyihin, suuririskisiin ja muihin järjestelmiin. Riskit, joiden perusteella luokittelu tehdään, ovat riskejä turvallisuudelle, terveydelle tai perusoikeuksille, mukaan lukien vaikutus päätöksentekoon. Koska nämä ovat tyypillisesti asioita, joiden parissa julkisen sektorin toimijat toimivat, on syytä olettaa, että suuririskisiä ja sääntelyn piirissä olevia järjestelmiä on korostuneesti juuri julkisen sektorin toimijoilla.
Kiellettyjä järjestelmiä ovat esimerkiksi tekoälyyn perustuva sosiaalinen pisteytys, reaaliaikaisten biometristen etätunnistusjärjestelmien käyttö julkisissa tiloissa (sallittua vain poikkeustapauksissa), subliminaaliset kohteelle tiedostamattomat manipulointitekniikat sekä esimerkiksi lasten tai vanhusten haavoittuvuuksien hyödyntäminen. Uskon ja toivon, etteivät suomalaiset julkisen sektorin toimijat edes harkitsisi tällaista tekoälyn käyttöä, oli tekoälyasetusta tai ei.
Suuririskisiä taas ovat esimerkiksi tekoälyjärjestelmät, joita käytetään turvakomponentteina tieliikenteen sekä vesi-, kaasu-, lämmitys- ja sähköhuollon hallinnassa ja toiminnassa, rekrytoinnissa, uralla etenemistä ja työhön liittyvien sopimussuhteiden päättämistä koskevien päätösten tekemiseen tai auttamaan oikeusviranomaisia tutkimaan ja tulkitsemaan tosiseikkoja ja lainsäädäntöä sekä soveltamaan lainsäädäntöä konkreettisiin tosiseikkoihin.
Suuririskisten tekoälyjärjestelmien tarjoajilla on velvollisuuksia muun muassa vaatimustenmukaisuuden arvioon, laadunhallintajärjestelmään ja laadunvarmistukseen, dokumentointiin sekä ihmisvalvonnan mahdollistamisen ja tarkkuuden, luotettavuuden ja kyberturvallisuuden varmistamiseen liittyen. Käyttöönottajille taas asetetaan vaatimuksia muun muassa ihmisvalvojien, käyttöohjeen mukaisen käytön ja lokien säilytyksen suhteen. Käyttöönottajien, jotka ovat viranomaisia tai unionin toimielimiä, elimiä tai laitoksia, on lisäksi rekisteröidyttävä EU:n tietokantaan. Sellaisten käyttöönottajien, jotka ovat julkisoikeudellisia laitoksia tai julkisia palveluja tarjoavia yksityisiä yhteisöjä, on lisäksi tehtävä arvio perusoikeusvaikutuksista ennen käyttöönottoa.
Yleiskäyttöiset tekoälymallit
Tietyt tekoälyasetuksen velvoitteet koskevat yleiskäyttöisiä tekoälymalleja. Yleiskäyttöisellä tekoälymallilla tarkoitetaan tekoälymallia, joka on hyvin yleisluonteinen ja pystyy suorittamaan pätevästi monenlaisia erillisiä tehtäviä. Yleiskäyttöiset tekoälymallit jaetaan järjestelmäriskin sisältäviin malleihin, eli sellaisiin, joilla on vaikutuksiltaan merkittävä suorituskyky, sekä muihin malleihin.
Järjestelmäriskin mallien tarjoajien on ilmoitettava mallit komissiolle, suoritettava mallien arviointia, mukaan lukien mallien adversariaalinen testaus, arvioitava ja lievennettävä malleihin liittyviä EU-tason riskejä, ilmoitettava vakavista vaaratilanteista ja korjaavista toimenpiteistä ja varmistettava riittävä kyberturvallisuuden taso, myös mallin fyysiselle infrastruktuurille. Sekä järjestelmäriskin että muiden tekoälymallien tarjoajien taas on luotava ja ylläpidettävä tekninen dokumentaatio, annettava tietyt tiedot tarjoajille, jotka sisällyttävät mallin omiin tekoälyjärjestelmiinsä, suojattava tekijänoikeuksia sekä luotava ja asetettava julkisesti saataville kuvaus mallin opettamiseen käytetystä sisällöstä.
Mitä yleisempiä velvoitteita tekoälyasetus asettaa?
Sekä tekoälyjärjestelmien tarjoajien että käyttöönottajien on ryhdyttävä toimenpiteisiin sen varmistamiseksi, että heidän henkilöstöllään ja muilla heidän puolestaan toimivilla on riittävä tekoälylukutaito. Tällä tarkoitetaan, että heillä on oltava riittävä tieto ja osaaminen, jotta he voivat ottaa käyttöön tekoälyjärjestelmiä ymmärtäen omat oikeutensa ja velvollisuutensa sekä tekoälyn riskit ja mahdollisuudet. Tekoälylukutaidon kuvaus on vielä melko yleisellä taholla mutta täsmentynee kun EU- ja muut viranomaiset julkaisevat materiaalia tekoälyasetukseen liittyen.
Toinen sekä tarjoajia että käyttöönottajia koskeva velvoitekokonaisuus ovat läpinäkyvyysvelvoitteet. Tarjoajien on ensinnäkin varmistettava, että ihmisten kanssa vuorovaikuttavat järjestelmät ovat selkeästi tunnistettavissa tekoälyjärjestelmiksi. Lisäksi heidän on varmistettava, että tekoälyllä luotu keinotekoinen ääni, kuvat, videot ja teksti on koneluettavalla merkinnällä merkitty ja voidaan tunnistaa keinotekoisesti tuotetuiksi tai manipuloiduiksi.
Käyttöönottajien taas täytyy ilmoittaa tunteiden tunnistuksesta tai biometrisesta luokittelusta niiden kohteena oleville ihmisille. Käyttäjien on myös merkittävä keinotekoisesti tuotetuiksi tai käsitellyiksi niin sanotut syväväärennökset eli sellaiset kuva-, ääni- tai videosisällöt, jotka selvästi muistuttavat olemassa olevia henkilöitä, esineitä, paikkoja, toimijoita tai tapahtumia ja jotka voivat niiden katselijasta tai kuuntelijasta vaikuttaa virheellisesti aidoilta tai totuudenmukaisilta. Käyttöönottajien on lisäksi merkittävä suurelle yleisölle tiedottamiseen käytetty teksti tekoälyllä tuotetuksi, jos ihminen ei tarkasta sitä.
Voimaantulo
Kuten yllä kirjoitin, tekoälyasetus on tullut voimaan ja asetusta aletaan soveltaa 2.8.2026. Tähän pääsääntöön on kuitenkin joitain poikkeuksia. Poikkeuksista tekoälyjärjestelmien tarjoajille ja käyttöönottajille keskeisimmät ovat, että tekoälyasetuksen yleisiä säännöksiä (mukaan lukien velvoite huolehtia tekoälylukutaidosta) ja kiellettyä tekoälyn käyttöä koskevia säännöksiä sovelletaan jo 2.2.2025 lähtien ja yleiskäyttöisiä tekoälymalleja koskevia säännöksiä sovelletaan jo 2.8.2025 lähtien.
Tekoälyjärjestelmien, jotka on jo saatettu markkinoille tai otettu käyttöön ennen tekoälyasetuksen voimaantuloa, osalta määräajat ovat seuraavat:
- Muuten kuin tekoälyn kielletyn käytön osalta asetusta sovelletaan suuririskisten tekoälyjärjestelmien, jotka on saatettu markkinoille tai otettu käyttöön ennen 2.8.2026, ylläpitäjiin, vain jos kyseisten järjestelmien rakenteessa tapahtuu merkittäviä muutoksia kyseisen päivän jälkeen.
- Muuten kuin tekoälyn kielletyn käytön osalta, viranomaisten käytettäviksi tarkoitetut suuririskiset tekoälyjärjestelmät on saatettava asetuksen mukaisiksi viimeistään 2.8.2030.
- Tarjoajien on saatettava yleiskäyttöiset tekoälymallit, jotka on saatettu markkinoille ennen 2.8.2025, asetuksen mukaisiksi viimeistään 2.8.2027.
- Tietyt EU:n tekoälyjärjestelmät, jotka on saatettu markkinoille tai otettu käyttöön ennen 2.8.2027, on saatettava asetuksen mukaisiksi 31.12.2030 mennessä, paitsi tekoälyn kielletyn käytön osalta.
Lopuksi
Tekoälyasetuksen velvoitteet on huomioitava julkisella sektorilla paitsi tekoälyn käyttöä suunniteltaessa ja toteutettaessa, myös muun muassa hankinnoissa, jotta hankittavat järjestelmät mahdollistavat velvoitteiden täyttämisen. Tämä voi olla haastavaa, sillä tekoälyasetus on tällä hetkellä monellakin tapaa tarkalta merkitykseltään vakiintumaton. Monien jo voimassa olevienkin lakien ja muiden säädösten, kuten tekijänoikeussääntelyn, soveltaminen tekoälyn käyttöön on epäselvässä tilassa, sillä esimerkiksi tulkintaa ohjaavaa oikeuskäytäntöä ei juuri ole.
Jos tekoälyasetus mietityttää tai mieleen nousee kysymyksiä esimerkiksi jonkin tietyn oman organisaation järjestelmän suhteen, apua on saatavilla. Suomi ei ole vielä nimennyt kansallisia toimivaltaisia viranomaisia tekoälyasetukselle, mutta tilannetta voi seurata tekoälyasetuksen kansallisen toimeenpanon työryhmän sivuilta. Uskon myös, että viranomaiset tulevat tuottamaan tekoälyasetusta selventävää materiaalia niin kansallisella kuin EU-tasollakin. Tekoälyasetus itsekin lupaa näin tapahtuvan, sillä ainakin tekoälytoimiston ja tekoälyneuvoston tehtäviin kuuluu myös tekoälyasetuksen noudattamisessa avustavien dokumenttien tuottaminen. Odottelemaan ei silti toki ole syytä jäädä kovin pitkäksi aikaa.
Apua tekoälyasetuksen tulkintaan on ilman muuta saavissa myös meiltä Goforelta: kokeneet tekoälyn teknisen puolen ja juridiikan asiantuntijamme auttavat sinua mielellään.
Varmasti kaikista riskittömin vaihtoehto olisi se, ettei tekoälyä käytetä lainkaan. Kuitenkaan on hyvin harvoin järkevää jättäytyä tietoisesti teknologian kehityksen kelkasta. Erityisesti tämä pitää paikkansa tekoälyn suhteen, sillä tekoälyn avulla on saatavissa merkittäviä etuja muun muassa toiminnan tehostamisen ja laadunvarmistuksen kautta. Huolellinen juridisen riskiarvion tekeminen ja sisäisten prosessien ja hallintamallien riittävyyden varmistaminen ovat tehokkaat keinot varmistaa oman toiminnan kestävyyttä myös lainmukaisuuden näkökulmasta. Tämä mahdollistaa tekoälyn suomien etujen saamisen oman organisaation käyttöön ilman suuria riskejä esimerkiksi toiminnan lainvastaisuudesta. Näin ollen tässäkin tapauksessa resurssien käyttö lyhyellä aikavälillä mahdollistaa toiminnan tehostamisen ja parantamisen pitkällä aikavälillä.