Vuoden 2021 huhtikuussa, Euroopan Komissio ehdotti ensimmäistä sääntelykehystä tekoälylle (AI). Osana EU:n digitaalista strategiaa halutaan säännellä myös tekoälyä, jotta voidaan varmistaa paremmat edellytykset tuon innovatiivisen teknologian kehittämiselle ja käyttöönotolle. EU pyrkiikin digitaalisella strategiallaan asemoitumaan globaaliksi suunnannäyttäjäksi maailmassa, joka siirtyy yhä voimakkaammin kybersfääriin. Tässä artikkelissa käsitellään tekoälyasetuksen suhdetta tietosuojaan sekä pohditaan tuon risteymän haasteita ja tulevaisuuden näkymiä.
Euroopan unionin tekoälyasetus (EU) 2024/1689 (eng. The AI Act) on maailman ensimmäinen kattavasti tekoälyä säätelevä asetus. EU:n tekoälysäädös astui voimaan 1. elokuuta 2024. Asetuksen tavoitteena on varmistaa, että kehitetyt tekoälyjärjestelmät kunnioittavat käyttäjien turvallisuutta ja eettisiä periaatteita.
Tekoälysäädöksen myötä eurooppalaiset voivat varmistua siitä, että tekoälyn käyttäminen olisi turvallista. Tekoälyasetus sisältää yhdenmukaistetut vaatimukset tekoälyjärjestelmien markkinoille saattamiselle ja käyttöönotolle, tiettyjä kieltoja haitallisille käytännöille, erityisvaatimuksia suuririskisille tekoälyjärjestelmille, valvonta- ja täytäntöönpanosäännöksiä sekä startupeille innovointia tukevia toimenpiteitä.
Tekoälyasetus luokittelee tekoälyjärjestelmät virallisesti kolmeen riskiluokkaan, mutta on riskiluokkia todellisuudessa on neljä: ei hyväksyttävät riskit, suuret riskit, vähäiset riskit ja olemattomat riskit. Riskiperusteinen lähestymistapa toimii perustana oikeasuhteisille ja tehokkaille sitoville säännöille.
Ei hyväksyttäviin riskeihin luetellaan järjestelmät, joita hyödynnetään esimerkiksi hallitusten tai yritysten tekemiin sosiaalisiin luottoluokituksiin. Järjestelmät, jotka tippuvat ei hyväksyttävien riskien kategoriaan ovat kiellettyjä käyttöönottaa, sillä niitä pidetään selkeänä uhkana ihmisten turvallisuudelle ja oikeuksille.
Suuririskisisiin tekoälyjärjestelmiin tulee soveltaa asetuksen asettamia tiukkoja teknisiä määräyksiä ennen kuin ne voidaan saattaa markkinoille. Tekoälyjärjestelmiä, joita hyödynnetään kriittisissä infrastruktuureissa, luottoluokituksissa, rekrytoinneissa taikka lainvalvonnassa pidetään suuren riskin järjestelminä, sillä niillä on suoria vaikutuksia ihmisten oikeuksiin ja turvallisuuteen. Suuririskisten tekoälyjärjestelmien käyttöönotto tulee tehdä tekoälyasetuksen teknisten määräysten mukaisesti.
Viime vuosikymmenen aikana tekoäly on ottanut merkittäviä kehitysaskeleita ja on keskeisessä osassa arkea. Se tarjoaa mahdollisuuksia taloudelliseen, sosiaaliseen ja kulttuurin kehitykseen, mutta samalla siihen liittyy vakavia riskejä: massadata, valvonta, disinformaatio, manipulointi ja algoritminen syrjintä.
Tekoälyjärjestelmät, erityisesti koneoppimiseen perustuvat mallit tuottavat materiaalia niiden koulutukseen käytetyn datan ja mallin rakenteen perusteella. Malleille syötetään äärettömät määrät dataa, jota se analysoi tavoitteenaan tuottaa materiaalia. Vaikka se tuottaa ns. uutta materiaalia, se ei ole luova vaan se yhdistää sille syötettyä dataa. Mikäli koulutusdata ei ole riittävän kattavaa taikka monipuolista, voi järjestelmän toiminta jäädä hyvin rajoittuneeksi ja tuottaa virheellistä tai jopa vahingollista materiaalia.
Tietosuoja on tekoälyn kehityksessä keskeinen kysymys. Tekoäly suorastaan himoitsee dataa ja tarvitsee sitä oppiakseen. Tämä data saattaa sisältää henkilötietoja, jotka ovat suojattuja EU:ssa tietosuoja-asetuksella (GDPR). Tekoälyjärjestelmät kykenevät yhdistämään dataa useista lähteistä, jolloin voi syntyä hyvinkin tarkkoja profiileita yksilöistä.
Tekoälyn suhdetta tietosuojaan ei tekoälyasetuksessa taikka GDPR:ssä erikseen säädetä, ja henkilötietojen käsittely on käsitteenä hyvinkin laaja. Henkilötietojen käsittely voi olla kaikkea tietojen varastoimisesta analysointiin ja poistamiseen. GDPR on asettanut säännöt sille, miten henkilötietoja saa käsitellä. Ehkä selkein tietojen käsittelyä koskeva määräys tekoälyn suhteen lienee automaattinen päätöksenteko, johon monet tekoälyjärjestelmät tukeutuvat.
Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, mukaan lukien profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.
Tekoälyjärjestelmät tukeutuvat usein profilointiin, jossa yksilöitä analysoidaan ja luokitellaan heidän ominaisuuksiensa, käyttäytymisensä tai mieltymystensä perusteella. Profilointi voi vaikuttaa merkittävästi yksilön oikeuksiin ja vapauksiin, kuten vakuutusturvan hinnoittelussa terveydenhuollon päätösten perusteella taikka rikosennusteilla, joissa tekoäly arvioi henkilön todennäköisyyttä syyllistyä rikokseen. Työpaikkarekrytoinneissakin hyödynnetään tekoälyjärjestelmiä suoraviivaistamaan rekrytointiprosessia.
Koska profiloinnilla voi olla merkittäviäkin vaikutuksia yksilön oikeuksiin ja vapauksiin, profilointiin nojautuvat tekoälyjärjestelmät voidaan katsoa olevan suuren riskin järjestelmiä.
Profiloinnissa usein syntyy riski syrjintään, erityisesti silloin kun, järjestelmät tekevät virheellisiä päätöksiä tai kun algoritmit heijastavat ennakkoluuloja koulutusdatasta. Siksi GDPR määrääkin, että sopimuksiin tai suostumukseen perustuvaan tietojen automaattiseen käsittelyyn ja päätöksentekoon vaaditaan luonnollisen ihmisen läsnäoloa, ja että rekisteröidyllä on oikeus riitauttaa häntä koskeva päätös.
Yksi henkilötietojen käsittelyä koskeva periaate on tietojen minimointi, jolla pyritään varmistamaan tietojen asianmukainen käsittely suhteessa niihin tarkoituksiin, joita varten niitä tarvitaan. Tekoälyjärjestelmät tarvitsevat ja käsittelevät suuria määriä dataa, joten on vaikea sanoa kuinka järjestelmät kehittyvät noudattamaan tietojen minimoinnin periaatetta, mutta keskeistä kuitenkin on, että tekoälyjärjestelmien tulee käsitellä henkilötietoja käyttötarkoituksen mukaisesti ja tapauskohtaisesti.
GDPR määrää myös, että rekisterinpitäjän on suunniteltava ja toteutettava henkilötietojen käsittely niin, että tietosuoja huomioidaan alusta alkaen. Tämä sisältää tekniset ja organisatoriset toimet, kuten tietojen minimoinnin, pseudonymisoinnin ja muiden tarpeellisten suojatoimien käyttöönoton.
Lisäksi on varmistettava, että oletusarvoisesti käsitellään vain tarpeellisia henkilötietoja, rajoittaen tietojen määrää, käsittelyn laajuutta, säilytysaikaa ja saatavuutta siten, että tiedot eivät ole saatavilla ilman käyttäjän suostumusta.
Datan määrä itsessään ei välttämättä ole ongelma, vaan se, että pystyykö tekoälyjärjestelmä tunnistamaan käyttäjiä sille syötetyn datan perusteella. Suuririskiset tekoälyjärjestelmät usein käsittelevät henkilötietoja, esimerkiksi työrekrytoinneissa. Olennaista suuririskisissä järjestelmissä olisikin vain käsitellä tietoja, jotka ovat olennaisia päätöksenteon kannalta.
Monet järjestelmät, varsinkin koneoppimisjärjestelmät ovat ns. mustan laatikon järjestelmiä, joka tarkoittaa sitä, että käyttäjät eivät näe tai tiedä miten ne toimivat. Läpinäkymättömyys voi olla ongelmallista varsinkin suuririskisten järjestelmien osalta, sillä niiden tekemillä päätöksillä saattaa olla hyvinkin suuria vaikutuksia yksilöille.
Läpinäkyvyys tekoälyjärjestelmissä viittaa siihen, että järjestelmien tulee olla suunniteltu tavalla, joka mahdollistaa niiden jäljitettävyyden ja kykyä selittää miksi tietty päätös tai vastaus on annettu. Lisäksi käyttäjille tulee kertoa heidän oikeuksistansa, tekoälyjärjestelmän kyvyistä ja rajoituksista.
Tekoälyasetus onkin asettanut läpinäkyvyysvaatimukset tekoälyjärjestelmille, jolloin järjestelmien tulee olla suunniteltu niin, että niiden käyttäjät ymmärtävät olevansa tekemisissä tuollaisen järjestelmän kanssa vuorovaikutuksessa sekä käyttävät niitä vastuullisesti.
Tekoälyjärjestelmiä löytyy kuitenkin moneen lähtöön ja ne yleistyvät yhä enemmän myös yrityskäytössä. Organisaatiot käyttävät erilaisia tekoälyratkaisuja data-analyysien ja päätöksenteon tehostamiseen, asiakaskokemuksen parantamiseen sekä sisällön tuottamiseen.
Henkilötietojen, että tietoturvan merkitys kasvaa entisestään tekoälyjärjestelmien yleistyessä yrityskäytössä. Tietosuojaa ja -turvaa koskevat säännöt osaltaan tukevat vastuullista tekoälyn käyttöä, mutta kasvattavat organisatorista taakkaa. Tietoturvan ohella myös kyberturvallisuuden merkitys tulee kasvamaan tekoälyn integroituessa yhteiskuntaan.
Tekoälyjärjestelmien tietosuojahaasteet eivät niinkään liity siihen, kuinka paljon dataa käytetään, vaan siihen, että data voi sisältää henkilötietoja, joiden käsittelyssä tulee noudattaa tarkkoja periaatteita ja sääntöjä. Tämä korostuu erityisesti suuririskisissä tekoälyjärjestelmissä, joilla voi olla vaikutusta yksilöiden oikeuksille ja vapauksille.
Tekoälysäädös määrää, että oikeus yksityisyyteen ja henkilötietojen suojaan on taattava tekoälyjärjestelmän koko elinkaaren ajan. Järjestelmät tulee siis kouluttaa tai suunnitella tavoilla, jotka kunnioittavat eettisiä sääntöjä ja tietosuojaa.
Tarvitseeko yrityksesi apua tekoälyjärjestelmien riskien arvioimisessa ja tunnistamisessa taikka tietosuojaa koskevissa kysymyksissä? Asiantuntijamme auttavat sinua ja yritystäsi navigoimaan läpi digitaalisen maailman.