Elokuussa 2024 voimaan astunut uusi tekoälyasetus (eng. AI Act) pyrkii varmistamaan EU:ssa käytettyjen tekoälyjärjestelmien luotettavuuden sekä perusoikeuksien suojelemisen. Kyse on riskiperusteisesta lähestymistavasta, missä velvoitteita asetetaan etenkin suuren riskin tekoälyjärjestelmiä tarjoaville yrityksille.
Juuli Venkula, 4.9.2024.
Tekoäly on nopeasti kehittyvä teknologia, joka tarjoaa yrityksille lukemattomia mahdollisuuksia, mutta tuo mukanaan myös uusia sääntelyhaasteita. Pitkään valmisteilla ollut EU:n tekoälyasetus (2024/1689) astui vihdoin voimaan 1.8.2024. Sen soveltaminen aloitetaan vaiheittain. Tavoitteena on, että tekoälyasetus on täysimittaisesti käytössä kaksi vuotta voimaantulonsa jälkeen.
Kyseessä on maailman ensimmäinen merkittävä tekoälyjärjestelmien sääntelykehikko, joka varmistaa, että tekoälyjärjestelmät ovat turvallisia, läpinäkyviä ja perusoikeuksia kunnioittavia. Lisäksi asetuksen pyrkimyksenä on saada aikaan yhdenmukaistetut tekoälyn sisämarkkinat, kannustaa tämän teknologian käyttöönottoon sekä luoda innovointia ja investointeja tukeva ympäristö (Euroopan komissio, 2024).
Myös pk-yritysten on tärkeää ymmärtää, mitä tämä asetus tarkoittaa käytännössä ja miten se vaikuttaa tekoälyn hyödyntämiseen liiketoiminnassa. Vastuullisella tekoälytoiminnalla yritykset voivat nousta edelläkävijöiksi ja erottua kilpailijoistaan. Tässä artikkelissa käsitellään, mitä pk-yritysten tulee pääpiirteissään tietää tekoälyasetuksesta ja miten ne voivat valmistautua sen tuomiin muutoksiin.
Tekoälyasetus jakaa tekoälyjärjestelmät käyttötarkoituksen pohjalta neljään riskiluokkaan: kiellettyihin, suuren riskin, erityisen avoimuusriskin sekä minimaalisen riskin tekoälyjärjestelmiin.
Jokainen riskiluokka määrittelee eritasoisia velvoitteita, jotka yritysten tulee huomioida. Pk-yrityksille on olennaista tunnistaa, mihin luokkaan heidän käyttämänsä tekoälyjärjestelmät kuuluvat, jotta ne voivat varmistaa, että tekoälyjärjestelmät ovat asetuksen mukaisia.
Tekoälyasetuksessa määritellään tekoälyjärjestelmät, joiden käyttö on täysin kielletty. Näitä ovat esimerkiksi sovellukset, jotka manipuloivat käyttäjiä alitajuisesti tai käyttävät biometristä tunnistusta ilman riittävää oikeudellista perustetta. Pk-yritysten tulee varmistaa, ettei niiden käytössä ole tällaisia järjestelmiä.
Suuren riskin tekoälyjärjestelmät ovat asetuksen keskiössä. Näitä ovat esimerkiksi tekoälyjärjestelmät, joita käytetään rekrytoinnissa, koulutuksessa tai luottokelpoisuuden arvioinnissa. Suuren riskin sovelluksille asetetaan tiukemmat vaatimukset jo ennen kuin ne on mahdollista tuoda markkinoille. Tällaisia vaatimuksia ovat muun muassa riskienhallintajärjestelmä, tekninen dokumentaatio ja lokitietojen säilyttäminen. Suuren riskin tekoälyjärjestelmiä tarjoavien ja kehittävien pk-yritysten on oltava erityisen tarkkoja näiden järjestelmien osalta, sillä virheet tai puutteet voivat johtaa seuraamusmaksuihin.
Erityisen avoimuusriskin tekoälyjärjestelmät vaativat käyttäjien informoimista siitä, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa. Läpinäkyvyyttä lisäämällä etenkin kuluttajien on helpompi tunnistaa tekoälyn tuottama sisältö. Esimerkkinä erityisen avoimuusriskin tekoälyjärjestelmistä ovat chatbotit, joiden toiminta keskittyy sisällöntuotantoon tai vuoropuheluun käyttäjien kanssa.
Matalan riskin sovelluksille ei ole asetettu tekoälyasetuksessa velvoitteita, koska niiden riskit ihmisten turvallisuudelle tai perusoikeuksille ovat vähäiset. Tästä huolimatta yritykset voivat vapaaehtoisesti laatia uusia käytännesääntöjä avoimuuden lisäämiseksi. Esimerkkejä minimaalisen riskin tekoälyjärjestelmistä ovat roskapostisuodattimet sekä tekoälyyn pohjautuvat suosittelujärjestelmät.
Asetus luo sääntöjä myös yleiskäyttöisille tekoälymalleille, joita käytetään yhä useammin tekoälysovellusten komponentteina. Keskeisiä velvoitteita ovat esimerkiksi avoimuus koko arvoketjussa muun muassa merkitsemällä tekoälyjärjestelmien tuottama sisältö ja deepfake-sisällöt, sekä suorituskykyisimpien mallien mahdollisiin järjestelmäriskeihin puuttuminen. (Euroopan komissio, 2024.)
Riskiluokituksen lisäksi on syytä huomioida myös yrityksen oma roolitus, eli toimiiko yritys tekoälyjärjestelmän tarjoajana, käyttöönottajana vai jonain muuna tahona. Asetuksen 3. artiklan mukaan tarjoajalla tarkoitetaan tahoa, joka kehittää tai kehityttää tekoälyjärjestelmän ja saattaa sen markkinoille omalla nimellään tai tavaramerkillään.
Käyttöönottajalla taas tarkoitetaan tahoa, joka käyttää valvonnassaan olevaa tekoälyjärjestelmää, pois lukien luonnollisten henkilöiden ei-ammattimainen käyttö. Tekoälyasetuksen velvoitteet eroavat toisistaan roolituksen mukaan. Tarjoajaan kohdistuu tiukemmat velvoitteet kuin käyttöönottajaan.
Pääosaa tekoälyasetuksen velvoitteista aletaan siis soveltaa 2.8.2026. Kielletyn riskin velvoitteet tulevat kuitenkin sovellettavaksi jo kuuden kuukauden kuluttua voimaan tulosta. Yleiskäyttöisiä tekoälymalleja koskevat velvoitteet taas soveltuvat 12 kuukauden kuluttua.
Monivaiheisesta voimaantuloaikataulusta huolimatta yritysten on syytä ennakoida tulevaa varautumalla sääntelyyn. Työ- ja elinkeinoministeriön (TEM, 2023) selvityksen mukaan suomalaiset yritykset kokivat kuormittavaksi etenkin asetuksen epäselvyyden ja vaikeasti ennakoitavat vaikutukset. Tekoälyasetuksen 113 artiklan, 180 resitaalin ja 5 liitteen kokonaisuus on raskaslukuinen jopa juristille, joten tukipalveluita ja ohjausta tarvitaan.
Tekoälyjärjestelmien perushyödyntäminen pk-yrityksissä on pääosin erityisen avoimuusriskin tai minimaalisen riskin kategoriassa. Iniative for Artificial Intelligencen (2023) arvion mukaan matalariskisiä yrityksiä on noin 42 %:a. Avoimuuden ja läpinäkyvyyden lisääminen tekoälyjärjestelmien käytössä koskee siis useita tekoälyä hyödyntäviä yrityksiä.
Korkean riskin kategoriaan on arvioitu kuuluvaksi jopa 18 %:a yrityksistä. Kuitenkin epäselvyys riskiluokasta on noin 40 %:lla yrityksistä. (Iniative for Applied Artificial Intelligence, 2023) Riskiluokitus ei siis aina ole täysin yksiselitteinen tai selvä poikkeusmahdollisuuksien takia. Euroopan komissiolla onkin valmisteilla ohjeistus suuririskiseksi luokittelusta (2024).
Tietyt toimialat ja erityislainsäädännöt voivat viedä korkean riskin kategoriaan. Etenkin suuren riskin tekoälyjärjestelmiä tarjoaville pk-yrityksille tekoälyasetus tuo siis mukanaan uusia velvoitteita. Tarjoajan on suoritettava vaatimustenmukaisuuden arviointi ennen suuren riskin tekoälyjärjestelmän tuomista markkinoille tai ennen sen käyttöönottoa. Muita velvoitteita suuren riskin tekoälyjärjestelmille ovat riskienhallintajärjestelmä, datan hallinnointi, tekninen dokumentaatio, tietojen säilyttäminen, avoimuus ja käyttöönottajien informointi, ihmisten suorittama valvonta, tarkkuus, vakaus ja kyberturvallisuus. Lisäksi 16 artiklassa kuvattuihin tarjoajien muihin lisävelvoitteisiin kuuluu esimerkiksi rekisteröityminen EU:n julkiseen tietokantaan.
Suuren riskin tekoälyjärjestelmien käyttöönottajien velvoitteet puolestaan on kuvattu 26 artiklassa, joka pitää sisällään muun muassa käyttöohjeiden noudattamisen, riskeistä informoimisen sekä lokitietojen säilyttämisen määräajan. Käytännössä tämä voi tarkoittaa suuren riskin tekoälyjärjestelmiä tarjoavien ja käyttävien yritysten teknisten ja hallinnollisten prosessien päivitystä, kuten esimerkiksi teknisiä arviointeja, dokumentaation uudelleenarviointia ja turvallisuustestauksia. Kansalliset markkinavalvontaviranomaiset valvovat vaatimustenmukaisuuden noudattamista koko tekoälyjärjestelmän elinkaaren ajan.
Velvoitteisiin varautumisen ohella on tärkeää myös kouluttaa koko henkilöstöä tekoälyn käyttöön liittyvistä riskeistä ja vastuista. Koulutuksella voi varmistaa, että yrityksellä on tarvittava osaaminen tekoälyn turvalliseen ja eettiseen hyödyntämiseen. Yrityksen kannalta on suositeltavaa laatia henkilöstölle sisäiset ohjeistukset tekoälyjärjestelmien hyödyntämiseen. Lisäksi on tärkeä huomioida, että tekoälyn tarjoamien mahdollisuuksien täysimääräinen ja turvallinen hyödyntäminen edellyttää panostusta jatkuvaan tekoälyosaamisen kehittämiseen.
Tekoälyasetuksen monimutkaisten vaatimusten täyttäminen edellyttää, että yrityksillä on riittävästi tietotaitoa ja resursseja. Asetuksessa on jotain erityisesti pk-yritysten toimintakykyä tukevia elementtejä, kuten esimerkiksi 62 artiklan ensisijainen pääsy testiympäristöinä toimiviin sääntelyhiekkalaatikoihin. Myös yhteistyö korkeakoulujen kanssa voi olla tehokas tapa kehittää tarvittavaa osaamista ja saada tukea soveltamiseen. Komissiolta ja kansallisilta viranomaisilta on odotettavissa tarkempaa ohjeistusta soveltamisesta, joten kehitystä kannattaa seurata.
Yhteenvetona valmistautumisesta tekoälyasetukseen nostan seuraavat askeleet pk-yrityksille:
Näin pystyt hyödyntämään tekoälyn tarjoamat mahdollisuudet turvallisesti ja tehokkaasti. Oikein toimimalla tekoäly voi tuoda yrityksille merkittäviä kilpailuetuja ja luoda uusia liiketoimintamahdollisuuksia.
Euroopan komissio 2024. Tekoäly – Kysymyksiä ja vastauksia. Saatavilla: https://ec.europa.eu/commission/presscorner/detail/fi/QANDA_21_1683. Luettu 23.8.2024
Euroopan parlamentin ja neuvoston asetus (EU) 2024/1689, annettu 13 päivänä kesäkuuta 2024, tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta (tekoälysäädös)
Inivative for Applied Artificial Intelligence 2023. AI Act: Risk Classification of AI systems from Practical Perspective. A study to identify uncertainties of AI users based on the risk classification of more than 100 AI systems in enterprise functions. Saatavilla: https://www.appliedai.de/assets/files/AI-Act_WhitePaper_final_CMYK_ENG.pdf (luettu 23.8.2024)
TEM. (2023) EU:n tekoälyasetusehdotuksen vaikutukset suomalaisyritysten liiketoimintaympäristöön. Julkaisuja 2023:46. https://urn.fi/URN:ISBN:978-952-327-613-0
Kirjoitus on osa FAIR-hankkeen julkaisuja. Finnish AI Region eli FAIR tarjoaa yrityksille matalan kynnyksen asiantuntijuutta tekoälyn, laajennetun todellisuuden, suurteholaskennan ja kyberturvallisuuden saralla. Maksuttomia palveluita tarjoava FAIR pyrkii nopeuttamaan ja laajentamaan tekoälyn käyttöönottoa pienissä ja keskisuurissa yrityksissä.