Euroopan komissio on julkaissut ehdotuksen uusista säännöistä ja toimenpiteistä, joilla pyritään tekemään Euroopasta johtava alue luotettavan tekoälyn kehittämisessä. Uuden tekoälyasetuksen tarkoituksena on myös varmistaa ihmisten ja yritysten turvallisuus ja perusoikeuksien toteutuminen tekoälyn hyödyntämisen yhteydessä.
Asetuksessa tekoälyjärjestelmät luokitellaan riskikategorioihin sen perusteella, aiheutuuko niistä ei-hyväksyttävä riski, suuri riski, vähäinen riski vai minimaalinen riski. Tekoälyjärjestelmään sovellettavat säännöt määräytyvät sille määritellyn riskikategorian perusteella.
Tietyt tekoälyjärjestelmät kielletään kokonaan
Tekoälyjärjestelmät, joista aiheutuvaa riskiä ei pidetä hyväksyttävänä ja jotka muodostavat selvän uhan ihmisten turvallisuudelle, toimeentulolle tai oikeuksille, kielletään kokonaan.
Tähän kategoriaan sisältyvät muun muassa tekoälyjärjestelmät tai -sovellukset, joilla manipuloidaan ihmisen käyttäytymistä vapaan tahdon vastaisesti sekä sosiaalisten tekijöiden perusteella ihmisiä pisteyttävät, valtioiden käyttämät järjestelmät.
Suuririskisille tekoälyjärjestelmille tiukat vaatimukset
Suuririskisten tekoälyjärjestelmien tulee täyttää tietyt vaatimukset ennen kuin niitä on sallittua saattaa markkinoille EU:ssa. Suuririskiksi katsotaan muun muassa tekoälyjärjestelmät, joita hyödynnetään:
- kriittisissä infrastruktuureissa, joissa ne voivat vaarantaa ihmisten hengen ja terveyden
- oikeudenkäytössä ja demokraattisissa prosesseissa
- lainvalvonnassa, kun tekoäly saattaa loukata ihmisten perusoikeuksia
- työllistämisen ja henkilöstöhallinnon yhteydessä
- koulutusalalla, kun tekoäly voi määrätä opintoihin pääsystä
- keskeisessä asemassa olevien yksityisten ja julkisten palveluiden yhteydessä
Markkinoille asettamisen edellytyksenä olevat vaatimukset pitävät sisällään:
- riskien arvioimisen ja keinot riskien lieventämistä varten
- järjestelmän käyttämän data-aineiston laatukriteerit sekä järjestelmän vakautta, tietoturvaa ja tarkkuutta koskevat kriteerit
- lokin pitämisen järjestelmän käytöstä ja järjestelmän asianmukaisen dokumentoinnin
- käyttäjälle annettavat selkeät ja riittävät tiedot järjestelmän toiminnasta ja käyttötarkoituksesta
- ihmisen valvontaa koskevat keinot
Asetus sisältää myös markkinoille saattamisen jälkeisiä velvoitteita tekoälyä hyödyntäville eri toimijoille. Esimerkiksi tekoälyn tarjoajien tulee toteuttaa asianmukaiset seurantatoimenpiteet, käyttäjien tulee varmistaa ihmisten valvontaa koskevien keinojen toteutuminen ja tarjoajien sekä käyttäjien tulee ilmoittaa mahdollisista ongelmatilanteista.
Vähäisen ja minimaalisen riskin tekoälyjärjestelmät
Tekoälyjärjestelmille, joiden käytöstä katsotaan aiheutuvan vähäinen riski, asetetaan tiettyjä läpinäkyvyyttä koskevia velvoitteita. Velvoitteiden tarkoitus on varmistaa, että käyttäjät ymmärtävät olevansa vuorovaikutuksessa koneen kanssa.
Asetusehdotuksella ei puututa sellaisten tekoälyjärjestelmien käyttöön, joista aiheutuvaa riskiä henkilöiden oikeuksille tai turvallisuudelle pidetään minimaalisena tai olemattomana.
Sääntöjen valvonta
Sääntöjen valvonnasta olisivat vastuussa kansalliset valvontaviranomaiset. Lisäksi ehdotetaan perustettavaksi Euroopan tekoälyneuvosto. Vähäriskisille tekoälysovelluksille ehdotetaan laadittavaksi alan omia vapaaehtoisia käytännesääntöjä. Komissio suunnittelee myös perustettavaksi testiympäristöjä, joissa uusia tekoälyratkaisuja on mahdollista testata.
Seuraavat vaiheet
Komission tekoälyasetus etenee seuraavaksi Euroopan parlamentin ja EU-maiden hyväksyttäväksi. Komissio on arvioinut, että sääntely voisi tulla voimaan vuoden 2022 jälkimmäisellä puoliskolla ja sitä voitaisiin alkaa soveltaa siirtymäkauden jälkeen aikaisintaan vuoden 2024 jälkimmäisellä puoliskolla.
Tekoälyn hyödyntämisen compliance-toimenpiteet
Tekoälyä hyödyntävien toimijoiden tulee ottaa huomioon osana compliance-toimenpiteitä jo nykyisellään useita eri regulaation osa-alueita.
Esimerkiksi kuluttajansuojaa ja tuoteturvallisuutta koskevat säännöt tulee huomioida kuluttajarajapinnassa toimivan tekoälyn suhteen. Myös henkilötietojen suoja on merkittävässä roolissa tekoälysovelluksissa: esimerkiksi automaattista päätöksentekoa ja henkilöiden profilointia koskevat tietosuoja-asetuksen velvoitteet asettavat reunaehtoja, jotka tulee huomioida.
Tekoälyn hyödyntämisen yhteydessä tulee sopia myös osapuolten vastuista ja velvoitteista asianmukaisilla sopimusehdoilla, minkä lisäksi mahdolliset immateriaalioikeudet tulisi kartoittaa ja niistä sopia asianmukaisesti.
On myös tärkeää kartoittaa tekoälyn hyödyntämisestä mahdollisesti aiheutuvat riskit ihmisten oikeuksille ja vapauksille. Tässä yhteydessä tietosuoja-asetuksen mukainen vaikutustenarviointi tarjoaa käyttökelpoisen metodologian, mutta tekoälyn riskejä on suositeltavaa tarkastella myös laajemmin, huomioiden teknisten seikkojen lisäksi tekoälyn hyödyntämisen eettiset näkökulmat.
Avustamme mielellämme tekoälyn sääntelyä koskevissa kysymyksissä sekä tekoälyn riskienhallinnan kehittämisessä. Hyödynnämme tässä mm. jo vakiintunutta AI in Control -viitekehystämme. Tiimissämme on teknologialainsäädännön sekä älykkään automaation ja tekoälyn asiantuntijoita.
Lisätietoja
Jere Lehtioksa
Legal Counsel, lakipalvelut
+358406351136
etunimi.sukunimi@kpmg.fi
Teijo Peltoniemi
Director, KPMG Lighthouse
+358405360853
etunimi.sukunimi@kpmg.fi