EU:n tekoälysäädös (EU AI Act) astui voimaan elokuussa 2024. Sen täysimääräinen soveltaminen alkaa 2. elokuuta 2026, mutta ensimmäisiä sääntöjä on alettu soveltamaan helmikuusta 2025. Jo sovellettavia kohtia ovat mm. tekoälyjärjestelmän määritelmä, tekoälylukutaito sekä tekoälysäädöksessä esitettyjen kiellettyjen tekoälyjen käyttö.
Tekoälysäädös heijastaa EU:n tavoitetta luoda kattava oikeudellinen kehys, jolla taataan tekoälyjärjestelmien luotettavuus, vastuullisuus ja perusoikeuksien kunnioitus. Tekoälyasetuksen teksti on varsin laaja: 113 artiklaa, 180 resitaalia ja 15 liitettä. Tekoälysäädös on osa EU:n laajaa digitaalista sääntelyä, johon sisältyy mm. yleinen tietosuoja-asetus (GDPR), digipalvelusäädös, digimarkkinasäädös, datasäädös ja kyberresilienssiasetus.
Vaikka tekoälysäädöksen teksti on raskaslukuista lakitekstiä, tulisi jokaisen tekoälyjärjestelmien parissa työskentelevien tietää perusasiat asetuksen sisällöstä. Säädös asettaa erityisiä ja laajoja vaatimuksia sekä velvoitteita suuririskisten tekoälyjärjestelmien kehittämiselle, markkinoille saattamiselle, käyttöönotolle ja käytölle. Vaatimukset vaihtelevat sen mukaan toimiiko organisaatio tekoälyjärjestelmän kehittäjänä tai tarjoajana vai loppukäyttäjänä.
Säädöksessä tekoälyn määritelmä on laaja: ”konepohjaista järjestelmää, joka on suunniteltu toimimaan käyttöönoton jälkeen vaihtelevilla autonomian tasoilla ja jossa voi ilmetä mukautuvuutta käyttöönoton jälkeen ja joka päättelee vastaanottamastaan syötteestä eksplisiittisiä tai implisiittisiä tavoitteita varten, miten tuottaa tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa fyysisiin tai virtuaalisiin ympäristöihin” (EU 2024/1689). Säädös ei siis koske järjestelmiä, jotka toimivat pelkästään ennalta määriteltyjen sääntöjen perusteella, keskeistä on järjestelmän toiminnan mukautuminen tai ”oppiminen” sen käsittelemän datan ohjaamana.
Tekoälysäädöksen lähtökohtana on riskiperusteisuus. Se luokittelee tekoälyjärjestelmät niiden mahdollisten riskien perusteella neljään luokkaan: kiellettyihin, suureen riskiin, erityiseen avoimuusriskiin ja matalaan riskiin. Suurin osa vaatimuksista kohdistuu ”suuririskiseksi” luokiteltujen tekoälyjärjestelmien kehittäjille ja käyttöönottajille sekä ”järjestelmäriskejä” aiheuttaviin yleiskäyttöisiin tekoälyjärjestelmiin.
Vaiheittaisesta voimaantuloaikataulusta ja siirtymäajoista huolimatta tekoälyä hyödyntävien yritysten on syytä aloittaa valmistautuminen velvoitteisiin ajoissa. Organisaatioiden tulee ensinnäkin varmistaa, että niillä on ajantasainen luettelo kehittämistään tai käyttöönottamistaan tekoälyjärjestelmistä, ja arvioitava sovelletaanko niiden järjestelmiin vaatimustenmukaisuusvelvoitteita, ja jos sovelletaan, minkä luokituksen mukaisesti. Arvioinnin osana on hyvä pohtia sitä, miten tekoälysäädös on vuorovaikutuksessa muiden lainkäyttöalueiden nykyisten ja tulevien sääntöjen ja määräysten sekä vapaaehtoisten tekoälysääntöjen ja -periaatteiden kanssa. Asetuksessa myös painotetaan sitä, että organisaatioiden on huolehdittava riittävästi henkilöstönsä tekoälylukutaidosta.
Suuririskisten ja yleiskäyttöisten tekoälyjärjestelmien kehittäjien ja käyttöönottajien on myös varmistettava, että käytössä on soveltuvat tekoälyn hallintokehykset, laadunvalvontajärjestelmä sekä toimivat seurantajärjestelmät, jotta vaatimuksenmukaisuusvelvoitteet pystytään täyttämään. Toimintatapojen ja -prosessien päivittämiseen on varattava riittävästi aikaa ja resursseja.
Tekoälysäädöksen noudattamista valvovat kansalliset viranomaiset, jotka vastaavat säädöksen täytäntöönpanosta ja valvonnasta omissa maissaan. Suomessa markkinavalvontaviranomaiseksi on tulossa Traficom. Valvontaviranomaiset voivat määrätä sanktioita ja muita seuraamuksia säädöksen rikkomisesta. Lisäksi EU:n tasolla perustetaan uusi valvontaelin, joka koordinoi ja tukee kansallisten viranomaisten toimintaa ja varmistaa säädöksen yhdenmukaisen soveltamisen koko EU:n alueella.
Tekoälysäädöksen vaikutus yritykseen ja sen kehittämiin tai käyttämiin sovelluksiin riippuu myös siitä millä toimialalla yritys toimii ja minkälaisia tekoälysovelluksia hyödynnetään. Säädös koskee sekä kehittäjiä että käyttöönottajia, joten tekoälyn hyödyntäjä ei voi mennä sovelluksen kehittäjän selän taakse asiassa. Kielletyt järjestelmät on oletettavasti helppo tunnistaa jo niiden luoteen ja tavoitteiden takia. Riskiluokitusten tasojen esiintymisen suhteen eri sovelluksien välillä on varmasti toimialakohtaisia eroja. Toimiala-spesifit tekoälyratkaisut esimerkiksi koulutus-, henkilöstöhallinto- ja terveyssektorilla ovat usein korkean riskin alueella. Niissä toiminta kohdistuu ja vaikuttaa selkeästi ihmisiin ja yksilöihin, eikä esimerkiksi laitteiden keräämään tietoon toisten laitteiden tai esineiden prosesseista. Toisaalta laitetieto voi liittyä myös kriittiseen infrastruktuuriin, jossa häiriö tai virhe voi vaarantaa ihmisten henkiä tai terveyttä. Silloin ollaan myös korkean riskin alueella. Siksi tekoälyä kehitettäessä ja sovellettaessa tulee aina varmistaa mihin riskiluokkaan se sijoittuu ja mitä se edellyttää yritykseltä. Vielä puuttuu paljon ennakkotapauksia ja esimerkkejä, joten rajanveto riskiluokkien välillä voi olla toisinaan vaikeaa. Toisaalta kun tekoälysäädös on mietitty ja opiskeltu omien tekoälyratkaisujen näkökulmasta ja kun yritys on laatinut siihen liittyvän dokumentaation, niin sitä on varmasti helpompi ylläpitää samalla kun säädöksen soveltamisesta ja esimerkeistä opitaan lisää.
EU:n tekoälysäädös velvoittaa jäsenvaltioita myös perustamaan oman tai toisen jäsenvaltion kanssa yhteisen tekoälyn sääntelyn testiympäristön (regulatory sandbox). Näillä nk. sääntelyhiekkalaatikoilla tarkoitetaan viranomaisen valvonnassa olevia ympäristöjä, joissa yritykset voivat turvallisesti testata uusia innovaatioitaan rajoitetun ajan. Tässä vaiheessa ei ole vielä tietoa siitä, minkälaisen muodon tekoälyn sääntelyn testiympäristö tulee saamaan, onko kyseessä enemmän viranomaisen neuvontapalvelu, ja missä määrin siihen tulee sisältymään myös teknisiä elementtejä. Tämänkin osalta organisaatioiden pitää seurata tilanteen kehittymistä.
AI-SkaalaajatHaaga-Helian ja Metropolian yhteisessä AI Skaalaajat-hankkeessa (2024-2027) autetaan yrityksiä saamaan enemmän irti tekoälyn soveltamisesta. Hankkeen päätavoitteena on kehittää Uudenmaalla toimivien yritysten tekoälyn skaalautumista edistäviä monialaisia tekoälykyvykkyyksiä, ketteriä toimintamalleja sekä samanaikaisesti niiden rinnalla tekoälyä hyödyntäviä uusia käytännön sovelluksia tai toimintamalleja. Hankkeessa on yhtenä teemana juuri tekoälysäädökseen liittyvät asiat ja niiden soveltaminen yrityksen tuotteisiin tai toimintaan. Hankkeessa keskeinen työtapa on yrityskohtaisen tukemisen lisäksi yhteiskehittämisen tilaisuudet, joissa yritykset oppivat toisiltaan, jakavat kokemuksia ja verkottuvat. Hanketta rahoittaa Uudenmaan liitto ja Euroopan aluekehitysrahasto. |
Kirjoittajat (Ari Alamäki, Kari Hiekkanen ja Olli Laintila) työskentelevät Haaga-Heliassa opetuksen ja tutkimus- ja kehityshankkeiden parissa. Digitaalisuus, tekoälyn soveltaminen ja sen liiketoiminnalliset asiat ovat keskeisiä aiheita heidän opetustyössään ja erilaisissa TKI-hankkeissa.