AI-asetus on (melkein) valmis
EU:n AI-asetuksen (AI Act) monivaiheinen käsittelytaival on vihdoin tulossa päätökseen, kun Euroopan parlamentti hyväksyi 13.3.2024 viimeisimmän version sääntelyehdotuksesta. Neuvoston on vielä hyväksyttävä lopullinen versio, ennen sen julkaisua Euroopan Unionin virallisessa lehdessä.
Laki tulee voimaan 20 päivän kuluttua julkaisusta ja sitä sovelletaan täysimääräisesti 24 kuukauden kuluttua voimaantulosta, ottamatta lukuun muutamia poikkeuksia. Esimerkiksi generatiivista tekoälyä koskevat säädökset tulevat voimaan jo yhdeksän kuukauden kuluttua voimaantulosta, kun taas korkean riskin (high risk) AI järjestelmiin liittyvät velvoitteet astuvat voimaan vasta 36 kuukauden päästä.
Komissio julkaisi alkuperäisen tekoälyn sääntelyehdotuksen jo 21.4.2021. Koska tekoälyn kehitys on ollut nopeaa, jäi alkuperäinen ehdotus sen käsittelyprosessin aikana ajastaan jälkeen – se ei muun muassa sisältänyt lainkaan generatiivista tekoälyä koskevia sääntöjä, mikä ei toki ole yllättävää, kun kyseiset sovellukset olivat vasta kehitysvaiheessa. Generatiivista tekoälyä koskevat säännöt otettiin mukaan matkan varrella, ja lakiehdotus on muutenkin elänyt melko paljon. EU:lla on ollut kova tarve toimia suunnannäyttäjänä ja asettaa raamit AI-järjestelmille samalla, kun eräät jäsenvaltiot yrittävät suojella omaa, kasvavaa AI-yritysekosysteemiänsä liian voimakkaalta sääntelyltä. Joulukuussa 2023 parlamentti ja neuvosto kuitenkin pääsivät yhteisymmärrykseen tekoälylainsäädännöstä, jonka jälkeen prosessi on edennyt vauhdilla.
AI-asetus pyrkii mitigoimaan tekoälyn riskejä yhteiskunnalle ja yksilöille
AI-asetuksen tavoitteena on sekä suojella perusoikeuksia tekoälyn haitallisilta vaikutuksilta, että edistää innovointia ja parantaa sisämarkkinoiden toimintaa luomalla yhteinen oikeudellinen viitekehys tekoälyn saralla. Asetus tuo mukanaan uusia tekoälyä koskevia velvoitteita niin sovellusten kehittäjille kuin käyttäjille ja sisältää neljäportaisen riskiluokituksen tekoälyjärjestelmille. Velvoitteet perustuvat tekoälyn mahdollisesti aiheuttamiin riskeihin, sekä niiden vaikutusten laajuuteen.
AI-asetus luokittelee tekoälyjärjestelmät neljään riskiluokkaan niiden aiheuttaman konkreettisen riskitason mukaan: kohtuuton riski, korkea riski, rajoitettu riski, ja vähäinen/minimimaalinen riski. ”Kohtuuttoman riskin” aiheuttavat haitalliset tekoälysovellukset, jotka vaarantavat käyttäjien oikeuksia, ovat kokonaan kielletty. Tällaisia ovat mm. arkaluontoisiin ominaisuuksiin perustuvat biometriset luokittelujärjestelmät. Lähtökohtaisesti biometristen tunnistusjärjestelmien käyttö lainvalvontaviranomaisissa on kielletty. AI-asetus sisältää tyhjentävän listan poikkeustilanteista, joissa tästä pääsäännöstä voidaan poiketa. Tämä edellyttää myös tiukkojen suojatoimien noudattamista. Tällainen tilanne on esim. terrori-iskun estäminen. Tältä osin lakiehdotus on muuttunut – voimakkaan lobbauksen tuloksena alkuperäisen lakiehdotuksen käytännössä täydellinen reaaliaikaisen biometrisen tunnistamisen (esim. kasvojen tunnistaminen AI:lla) on lieventynyt, tosin lopputulos on kaikkine poikkeuksineen vaikeatulkintainen.
Asetuksen ydinalue: korkean riskin järjestelmät
AI-asetus sääntelee ennen kaikkea korkean riskin tekoälyjärjestelmiä, jotka aiheuttavat haitallisia vaikutuksia käyttäjien turvallisuudelle, tai uhkaavat heidän perusoikeuksiaan. Korkean riskin tekoälyjärjestelmien tulee täyttää useita vaatimuksia riskinhallintaa koskien, ennen kuin ne voidaan saattaa markkinoille tai ottaa käyttöön. Vastaavasti EU-standardeja noudattavat järjestelmät hyötyvät siitä, että ne ovat AI-asetuksen vaatimusten mukaisia. Suurin osa AI-asetuksen sääntelystä kohdistuu nimenomaan korkean riskin järjestelmiin.
Korkean riskin järjestelmiin kuuluvat muun muassa koneiden, lääkinnällisten laitteiden ja erilaisten ajoneuvojen turvajärjestelmät, lääkinnällisinä tai diagnostisina laitteina toimivat AI:t, kriittisen infrastruktuurin (mm. veden- ja sähkönjakelu) turvajärjestelmät, ja HR ja rekrytointijärjestelmät.
AI-asetus tulee vaikuttamaan erityisesti korkean riskin tekoälyluokkaan kuuluviin tekoälyjärjestelmiin. Tähän luokkaan kuuluvien tekoälyjärjestelmien on itse arvioitava ja hallittava riskejä, ylläpidettävä käyttöpäiväkirjoja, oltava läpinäkyviä ja täsmällisiä, sekä varmistettava asianmukainen valvonta. Käyttäjillä on oikeus tehdä valituksia tekoälyjärjestelmistä ja saada mielekkäitä selvityksiä korkean riskin tekoälyjärjestelmiin perustuvista päätöksistä, jotka vaikuttavat heidän oikeuksiinsa.
Asetuksen (oletettavasti) lopulliseen versioon tulleita muutoksia
Komission alkuperäiseen ehdotukseen verrattuna, on lopullisessa ehdotuksessa tekoälyn kehityksen myötä uusia elementtejä:
1)Ehdotus sisältää uusia sääntöjä, jotka koskevat vaikutuksiltaan suuria yleistarkoituksiin käytettäviä tekoälymalleja (yleisesti käytössä olevia generatiivisen AI:n malleja kuten chatGPT), jotka voivat aiheuttaa järjestelmäriskejä. Nämä säännöt koskevat myös korkean riskin tekoälyjärjestelmiä.
2) Tarkistettu hallintojärjestelmä, johon sisältyy joitakin täytäntöönpanovaatimuksia EU:n tasolla.
3) Kohtuuttoman riskin aiheuttavien tekoälyjärjestelmien kieltoluetteloa on laajennettu, mutta biometristen etätunnisteiden käyttö lainvalvontaviranomaisten toimesta julkisissa tiloissa on tietyin suojatoimin mahdollista.
4) Riskialttiiden tekoälyjärjestelmien kehittäjät velvoitetaan itse arvioimaan perusoikeuksien toteutuminen ennen tekoälyjärjestelmien käyttöönottoa.
Eräänlaisena kuriositeettina voidaan myös mainita velvollisuus merkitä generatiivisen AI:n generoima sisältö esimerkiksi kuvan tai videon metadataan. Generatiivisen AI:n yleistyessä AI-sisältöjen merkkaaminen ei ole ollut missään nimessä yleinen tapa, joten tämä saattaa ainakin EU:n markkinoilla vaikuttaa siihen, miten generatiivista AI:ta käytetään.
Mitä seuraavaksi?
AI-asetus tuo mukanaan paljon uusia velvoitteita etenkin niille, jotka käyttävät AI:ta korkean riskin alueilla. Vaikka siirtymäaika onkin pitkä, on tärkeää selvittää mahdollisimman pian, käyttääkö oma yrityksesi AI:ta tällaisella alueella – AI-asetuksen myötä myös vuosikausia käytössä olleet koneoppimisen tai muun ”perinteisen” AI:n sovellukset voivat yhtäkkiä ollakin korkean riskin alueella, ja edellyttää kehittäjältä compliance -toimia. Me Berggrenillä avustamme mielellämme tekoälyyn liittyvissä kysymyksissä.
Blogi on kirjoitettu yhteistyössä Legal Trainee Katariina Kokkosen kanssa.