Mistä EU:n AI Actissa on kyse ja kuinka se tulee vaikuttamaan tekoälyn käyttöön?

Mistä AI Actissa on kyse?

EU:n pitkään odotettu tekoälyasetus (AI Act, Artificial Intelligence Act) astui voimaan 1.8.2024. Kyseessä on maailman ensimmäinen tekoälyn sääntelyyn kehitetty kattava säädös. Sen avulla pyritään varmistamaan tekoälyteknologian turvallinen ja eettinen käyttö Euroopan unionissa sekä suojaamaan ihmisten perusoikeuksia. AI Act kattaa monia erilaisia osa-alueita ja asettaa vaatimuksia tekoälyjärjestelmien kehittämiselle, käytölle ja valvonnalle.

Minkälaisia asioita säännellään?

AI Act pitää sisällään neljä erilaista riskiluokkaa. AI-asetuksessa riskitasot määrittelevät, millaisia vaatimuksia ja sääntelyä tekoälyjärjestelmille asetetaan niiden käyttötarkoituksen ja mahdollisten riskien perusteella. Riskitasot ovat seuraavanlaiset:

1. Minimaalinen riski (Minimal Risk): Tähän luokkaan kuuluvat tekoälyjärjestelmät, jotka eivät aiheuta merkittäviä riskejä käyttäjien turvallisuudelle tai oikeuksille. Useimmat tekoälyjärjestelmät, kuten roskapostisuodattimet ja tekoälyyn perustuvat videopelit, kuuluvat tähän luokkaan, eikä niille aseteta erityisiä velvoitteita, mutta yritykset voivat vapaaehtoisesti noudattaa lisäkoodistoja​.

2. Erityinen läpinäkyvyysriski (Specific Transparency Risk): Järjestelmien, kuten chatbottien, jotka ovat vuorovaikutuksessa käyttäjien kanssa, on selkeästi ilmoitettava olevansa koneita. Tiettyjen tekoälyn tuottamien sisältöjen tulee olla merkittyjä, jotta käyttäjät tietävät niiden alkuperän​.

3. Korkea riski (High Risk): Korkean riskin tekoälyjärjestelmiä ovat järjestelmät, jotka voivat merkittävästi vaikuttaa ihmisten terveyteen, turvallisuuteen tai perusoikeuksiin. Tällaisia järjestelmiä ovat esimerkiksi lääketieteelliset ohjelmistot ja rekrytointijärjestelmät. Näitä järjestelmiä koskevat tiukat vaatimukset, kuten riskienhallintajärjestelmän perustaminen, kattava dokumentaatio ja laadukkaiden tietoaineistojen käyttö.

   Korkean riskin tekoälyjärjestelmien on oltava suunniteltuja siten, että ne mahdollistavat ihmisen valvonnan. Tämä tarkoittaa sitä, että ihmisillä on oltava mahdollisuus tarkkailla ja tarvittaessa puuttua järjestelmän toimintaan, erityisesti kriittisissä päätöksentekotilanteissa​.

4. Sietämätön riski (Unacceptable Risk): Tähän kategoriaan kuuluvat tekoälyjärjestelmät, jotka mahdollistaisivat esimerkiksi hallitusten tai yritysten suorittaman ihmisten sosiaalisen pisteytyksen. Nämä järjestelmät on kielletty kokonaan, koska ne muodostavat uhan ihmisten perusoikeuksille​.

   Biometristen tunnistusjärjestelmien käyttö lainvalvontaviranomaisten toimesta on pääsääntöisesti kielletty. AI-asetus kuitenkin sisältää luettelon erityistapauksista, joissa tästä säännöstä voidaan poiketa. Näissä poikkeustilanteissa (esim. terrori-iskujen estäminen) on noudatettava tiukkoja suojaustoimenpiteitä.

Asetus kattaa myös yleiskäyttöiset tekoälymallit (General Purpose AI, GPAI), jotka voivat suorittaa useita eri tehtäviä ja integroitua muihin järjestelmiin. GPAI-mallien tarjoajien on laadittava teknistä dokumentaatiota ja noudatettava läpinäkyvyys- ja riskinhallintasääntöjä.

Mitä jos sääntelyä ei noudata?

AI-asetuksessa säädetään tiukat seuraamukset, mikäli asetuksen vaatimuksia ei noudateta. Nämä seuraamukset ovat taloudellisesti varsin ankarat: organisaatiot voivat saada sakot, jotka ovat enintään 35 miljoonaa euroa tai 7 % niiden vuotuisesta maailmanlaajuisesta liikevaihdosta, riippuen siitä, kumpi on suurempi​. Nämä sakot ovat verrattavissa GDPR:n asettamiin sakkoihin, ja ne on suunniteltu riittävän suuriksi, jotta ne toimisivat tehokkaana taloudellisena kannustimena sääntöjen noudattamiseen.

Jokaisen EU-jäsenvaltion on perustettava tai nimettävä kansalliset viranomaiset, jotka vastaavat AI-asetuksen valvonnasta ja täytäntöönpanosta. Sakoilla ja tehokkaalla valvonnalla pyritään varmistamaan, että tekoälyä kehitetään ja käytetään vastuullisesti koko unionin alueella.

Tekoälylainsäädäntö muualla maailmassa

EU ei ole ainoa alue, joka on kehittänyt tekoälylainsäädäntöä, mutta AI Act on ensimmäinen kattava lainsäädäntö. Sääntelyn tarpeeseen on herätty muuallakin.

Yhdysvallat on keskittynyt tekoälyyn liittyviin ohjeisiin ja standardeihin, mutta kattavaa lainsäädäntökehystä ei vielä ole. Federal Trade Commission (FTC) antaa ohjeita tekoälyn käytöstä, erityisesti harhaanjohtavan markkinoinnin ja tietosuojan osalta. National Institute of Standards and Technology (NIST) on kehittänyt tekoälyn riskienhallintakehyksen, joka auttaa organisaatioita arvioimaan ja hallitsemaan tekoälyjärjestelmiensä riskejä​.

Kiina on omaksunut kansallisen tekoälystrategian, joka sisältää tietosuojaan ja etiikkaan liittyviä vaatimuksia. Kiinan erityisen kiistanalainen kansalaisia valvova ja pisteyttävä sosiaalinen pisteytysjärjestelmä hyödyntää tekoälyä ja herättää huolta yksityisyyden suojasta ja kansalaisvapauksista.

Kanada on julkistanut tekoäly- ja tietolain (Artificial Intelligence and Data Act, AIDA), joka keskittyy tekoälyn eettiseen käyttöön ja tietosuojaan. Tämä laki on osa laajempaa digitaalisen perusoikeuksien strategiaa ja pyrkii varmistamaan, että tekoälyä käytetään vastuullisesti ja läpinäkyvästi.

AI Actin vaikutus EU:n ulkopuolella

AI-asetuksella on vaikutusta tekoälysääntelyyn muualla maailmassa. Asetus asettaa korkeat standardit tekoälyjärjestelmien turvallisuudelle, eettisyydelle ja läpinäkyvyydelle, mikä voi toimia esimerkkinä muille maille. Monet kansainväliset yritykset joutuvat noudattamaan EU:n sääntöjä, mikäli ne haluavat toimia EU-markkinoilla, mikä voi johtaa siihen, että nämä standardit omaksutaan myös muualla. Tämä yhtenäistää sääntelyä ja voi helpottaa globaalin kaupan ja yhteistyön edistämistä tekoälyn alalla. EU:n markkina on n. 447 miljoonan ihmisen väestöllään yksi maailman suurimmista kuluttajamarkkinoista.

On kuitenkin vaikeaa ennustaa tarkasti, mitä seurauksia lailla on ja miten muut maat reagoivat siihen. Eri alueilla saattaa syntyä sääntelyyn liittyviä haasteita ja konflikteja, erityisesti maissa, joissa sääntelykulttuuri poikkeaa EU:n käytännöistä. Tämä voi johtaa siihen, että jotkin maat kokevat EU:n sääntelystandardit raskaiksi ja rajoittaviksi, mikä saattaa hidastaa innovaatioita tai luoda taloudellisia esteitä niille, jotka eivät kykene mukautumaan uusiin vaatimuksiin. Lisäksi tiukkojen standardien omaksuminen voi aiheuttaa kustannuksia erityisesti pienille ja keskikokoisille yrityksille, mikä saattaa heikentää niiden kilpailukykyä globaaleilla markkinoilla. 

Lainsäädännön voimaantulo ja siihen valmistautuminen

Suurin osa AI Actin säännöistä astuu voimaan 2. elokuuta 2026. Kuitenkin kielletyt tekoälyjärjestelmät, joiden katsotaan aiheuttavan sietämättömän riskin, tulevat voimaan jo kuuden kuukauden kuluttua, kun taas yleiskäyttöisten tekoälymallien säännöt astuvat voimaan 12 kuukauden kuluttua.

Seuraavien kuukausien aikana organisaatioiden on tärkeää arvioida tekoälyn käyttöään ja kehittää strategioita, jotka varmistavat sääntöjen noudattamisen. Tämä sisältää riskiarviointia, vaatimusten täyttämistä ja käytäntöjen sekä järjestelmien päivittämistä. AI-asetuksen vaikutukset ulottuvat laajasti eri toimialoille, tuoden mukanaan merkittäviä muutoksia tekoälyn hallintaan.

AI Pact on Euroopan komission käynnistämä aloitteellinen ohjelma, joka auttaa täyttämään ja helpottamaan siirtymäkauden aikaisia tarpeita ennen tekoälyasetuksen täysimääräistä voimaantuloa. Ohjelma kutsuu tekoälyn kehittäjiä omaksumaan vapaaehtoisesti keskeisiä tekoälyasetuksen velvoitteita ennen säädösten virallisia määräaikoja.