Siirry pääsivulle
Näkemys:
Näkemys

Näin tekoälysääntely vaikuttaa liiketoimintaasi

Seuraavia vaatimuksia sovelletaan elokuusta 2025

EU:n tekoälysäädöksen (EU AI Act) mukaisesti helmikuusta 2025 alkaen organisaatioiden on pitänyt luopua kohtuuttoman riskin tekoälyjärjestelmistä kokonaan. Näitä ovat muun muassa AI-järjestelmät ja -toiminnallisuudet, joilla pyritään manipuloimaan tai vaikuttamaan yksilön käyttäytymiseen tai päätöksentekoon hyödyntämällä yksilön tai ryhmän ikää, vammaa tai sosiaalista tai taloudellista tilannetta. Säädös myös kieltää ne tekoälyjärjestelmät, joilla luokitellaan yksilö tai ryhmä tiettynä ajanjaksona sosiaalisen käyttäytymisen, ominaisuuksien tai luonteenpiirteiden perusteella.

Seuraavaksi, elokuusta 2025 alkaen, säädöksen soveltaminen laajenee ja tekoälyjärjestelmien tarjoajien on tästä eteenpäin tunnistettava, täyttääkö kyseinen malli systemaattisen riskin kriteeristön. Mikäli kyllä, on tarjoajan tehtävä ilmoitus Euroopan komissiolle. Vastaavasti erilaisia tekoälymalleja hyödyntävillä organisaatioilla tulee elokuusta alkaen olla käytössään komission ylläpitämä lista yleiskäyttöisistä tekoälymalleista, joihin liittyy systemaattinen riski. Listan avulla organisaatiot voivat tehdä tarvittavia päätöksiä mallin hyödyntämisestä tai lopettamisesta.

Tekoälysäädöksen tavoitteena on edistää Euroopan sisämarkkinoiden toimintaa tukemalla luotettavan tekoälyn käyttöönottoa ja suojella eurooppalaisten kuluttajien perusoikeuksia tekoälyn epäasialliselta käytöltä. Laajoista periaatteista, säännöistä ja menettelyistä sekä uusista valvontarakenteista huolimatta lainsäädännön tarkoitus ei ole hidastaa innovaatioita EU:ssa. Tekoälysääntelyllä halutaan pikemminkin edistää tekoälyalan kehitystä erityisesti startup-yritysten ja pk-yritysten kautta tarjoamalla oikeusvarmuutta. Tämä tarkoittaa, että yritykset voivat investoida ja innovoida ilman pelkoa epäselvästä sääntelystä ja sanktioista.

AI-asetus astui voimaan 1. elokuuta 2024, ja sen täytäntöönpanon määräaikoja on porrastettu seuraavasti:

2. helmikuuta 2025: Tekoälyjärjestelmät, jotka aiheuttavat kohtuuttoman riskin, ovat kiellettyjä.

2. elokuuta 2025: Yleiskäyttöistä tekoälyä ja seuraamuksia koskevia vaatimuksia sovelletaan.

2. elokuuta 2026: Muita korkean riskin tekoälyjärjestelmiä (liite III) koskevia vaatimuksia sovelletaan.

2. elokuuta 2027: Yleiskäyttöisiä tekoälymalleja (GPAI) koskevia vaatimuksia sovelletaan.

Tekoälyjärjestelmien määrittely ja sääntelyn kohderyhmät


Miten tekoälyjärjestelmä määritellään? Tekoälyjärjestelmällä tarkoitetaan koneavusteista järjestelmää, joka on suunniteltu toimimaan vaihtelevalla autonomian asteella. Määritelmä on varsin laaja, mikä tarkoittaa, että suuri määrä järjestelmiä voisi kuulua asetuksen piiriin. EU:n lainsäädännön mukaiselle tekoälyjärjestelmälle on ominaista sen kyky tehdä johtopäätöksiä eli ennusteita tai ratkaisuehdotuksia. Kaikki automaattinen tietojenkäsittely tai päätöksenteko ei kuitenkaan ole tekoälyä. Tekoälysäädöksessä tekoälyn määritelmä on linjassa OECD:n kansainvälisesti tunnustetun tekoälymääritelmän kanssa.

Tekoälysääntelyn ulkopuolelle jäävät ne AI-järjestelmät, jotka sisältävät matemaattista optimointia, yksinkertaista tietojenkäsittelyä, klassisia heuristiikkoja tai yksinkertaisia ennusteita, esimerkiksi tilastollisten laskentasääntöjen perusteella.

Keitä EU:n tekoälysääntely koskee? Tekoälysääntely koskee niin Euroopan markkinoilla toimivia tekoälyjärjestelmien kehittäjiä kuin maahantuojia, jälleenmyyjiä ja varsinaisia käyttäjäorganisaatioita. Soveltamisalan ulkopuolelle jäävät ne tekoälyjärjestelmät, joita käytetään yksinomaan sotilaallisiin ja puolustustarkoituksiin tai joita käytetään avoimen lähdekoodin lisensseihin perustuvaan tutkimukseen ja innovointiin sekä puhtaasti yksityisiin tarkoituksiin.
 

Suuririskiset tekoälyjärjestelmät sääntelyn fokuksessa


Tekoälysäädöksessä noudatetaan tekoälyjärjestelmien luokittelussa riskiperusteista lähestymistapaa. Kaikkiin tekoälyjärjestelmiin ei siksi kohdistu samoja vaatimuksia. Riskiluokat vaihtelevat "ei-hyväksyttävästä" "korkeaan" ja "rajoitettuun tai vähäiseen".

Kielletyt tekoälyjärjestelmät ovat sellaisia, jotka hyödyntävät arkaluonteisia ominaisuuksia kuten poliittisia mielipiteitä, uskonnollisia vakaumuksia, seksuaalista suuntautumista tai etnistä alkuperää. Lisäksi kiellettyjä ovat järjestelmät, jotka manipuloivat ihmisten käyttäytymistä, tunnistavat tunteita työpaikalla ja koulutusympäristöissä tai arvioivat ihmisiä sosiaalisen pisteytyksen perusteella. Minimaalisen riskin järjestelmiksi puolestaan luokitellaan esimerkiksi hallinnolliset tai sisäiset tekoälyjärjestelmät, kuten roskapostisuodattimet tai ennakoivat kunnossapitojärjestelmät, jotka eivät kuulu asetuksen soveltamisalaan.

Tekoälysäädöksen pääpaino on selvästi korkean riskin tekoälyjärjestelmissä, joihin kohdistuu useita vaatimuksia. Suuririskisten tekoälyjärjestelmien tarjoajien on osoitettava, että ne noudattavat asetusta ennen järjestelmän markkinoille saattamista sekä tekoälyjärjestelmän koko elinkaaren ajan. Tällaisten järjestelmien tarjoajien on otettava käyttöön laadunhallinta- ja riskinhallintajärjestelmä, täytettävä tietojen laatua ja eheyttä koskevat vaatimukset ja suoritettava vaatimustenmukaisuuden arviointi ennen vaatimustenmukaisuusvakuutuksen antamista.

Korkean riskin tekoälyjärjestelmät ovat järjestelmiä, jotka voivat merkittävästi vaikuttaa ihmisten turvallisuuteen, oikeuksiin tai hyvinvointiin. Näihin kuuluvat esimerkiksi kriittisiin infrastruktuureihin, lainvalvontaan, maahanmuuttoon, demokraattisiin prosesseihin, koulutukseen, työllisyyteen sekä peruspalveluihin liittyvät järjestelmät. Lisäksi EU:n turvallisuusmääräysten alaisissa tuotteissa, kuten koneissa, leluissa, ilmailu- ja ajoneuvoteknologiassa, lääkinnällisissä laitteissa tai hisseissä käytettävät tekoälyjärjestelmät luokitellaan korkean riskin järjestelmiksi.

Tekoälysääntelyn täytäntöönpano ja valvonta


EU:n jäsenvaltioiden on perustettava tai nimettävä toimivaltaiset kansalliset viranomaiset — niin kutsutut markkinavalvontaviranomaiset — jotka vastaavat lainsäädännön täytäntöönpanosta. Niiden on myös varmistettava, että kaikki tekoälyjärjestelmät ovat asiaankuuluvien standardien ja määräysten mukaisia. EU-jäsenmaissa on joissakin tapauksissa perustettu kokonaan uusia viranomaisia valvomaan säädösten noudattamista, kun taas toisissa maissa valvonta on annettu esimerkiksi olemassa olevien tietosuojaviranomaisten vastuulle. Suomessa ei ole vielä päätetty, minkä viranomaisen tehtäväksi valvonta tulee.

Tekoälysääntelyn rikkomuksista voidaan määrätä sakkoja, jotka vaihtelevat 7,5 miljoonasta eurosta 35 miljoonaan euroon tai 1–7 prosenttiin vuotuisesta liikevaihdosta rikkomuksen vakavuuden mukaan. Lisäksi kansalliset valvontaviranomaiset voivat pakottaa palveluntarjoajat poistamaan vaatimustenvastaiset tekoälyjärjestelmät markkinoilta.

Tekoälyn lainmukainen käyttöönotto


Suosittelemme organisaatioita edistämään tekoälyjärjestelmien käyttöönottoa toiminnassaan. Vaikka kaikkia teknisiä yksityiskohtia ei ole vielä täysin selvitetty, tekoälysäädös tarjoaa riittävän käsityksen tulevan asetuksen soveltamisalasta ja tavoitteista. Ensimmäiseksi kannattaa panostaa työntekijöiden tietoisuuden lisäämiseen, kartoittaa käytössä olevat tekoälyjärjestelmät ja varmistaa asianmukaiset hallintatoimet riskiluokat huomioiden. Säädöksen käyttöönotossa organisaatiot voivat hyödyntää olemassa olevia prosessejaan ja soveltaa oppeja aiemman lainsäädännön, kuten tietosuoja-asetuksen, vaatimista toimenpiteistä.

Deloitte auttaa asiakkaitaan ennakoimaan ja sopeutumaan sääntely-ympäristön muutoksiin. Meillä on laaja asiantuntemus tekoälypohjaisten ratkaisujen käyttöönotoista ja tekoälysääntelyn soveltamisesta eri toimialojen erikoispiirteet huomioiden.

Ota yhteyttä!

Jouni Viljanen

Technology & Transformation.
+358 (0)40 733 8888

Antti-Veikko Vuorikoski

AI & Data
+358 (0)50 506 5021

Oona Matinpalo

Tietosuojapalvelut, Cyber Risk
+358 (0)40 578 6237

Did you find this useful?

Yes
No

Thanks for your feedback

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?

Näkemyksemme

Tekoälysäädös pähkinänkuoressa – mitä AI Act tarkoittaa finanssialalle?

EU:ssa päästiin perjantaina 8.12.2023 yhteisymmärrykseen tekoälyä koskevista yhdenmukaistetuista säännöistä (EU Artificial Intelligence Act). Seuraavaksi tekoälysäädös kulkee läpi EU:n lainsäädännön hyväksymisprosessin. Tässä artikkelissa keskitymme tekoälysäädökseen erityisesti finanssialan näkökulmasta.
Näkemys

Tekoälysäädös ja HR-ammattilaisten uusi arki

EU:n tekoälysäädös (AI Act) tuli ja laukaisi asteittaisen parin vuoden siirtymäajan. Nyt kun viimeistelty versio on julkaistu, on organisaatioiden mahdollista tunnistaa ja luokitella käytössä olevat tekoälyjärjestelmät, ja lopulta vielä varmistaa, että ne täyttävät säädöksen riskiluokkien vaatimukset. Tunnistamisessa ja luokittelussa on omat haasteensa, sillä myös käyttökontekstilla on väliä.
Näkemys
2 minuutin lukuaika

Joulu 2.0 – tonttupartio ja tekoälysääntelyä

EU:n tekoälysäädös (AI Act) on maailman mittakaavalla ensimmäinen laatuaan. Sen tarkoituksena on luoda tekoälyjärjestelmien kehittäjille innovaatiolähtöinen viitekehys sekä taata loppukäyttäjille turvalliset, perusoikeuksien ja EU:n arvojen mukaiset järjestelmät.
Näkemys
2 minuutin lukuaika

Teloälysäädös tuli, oletko valmis?

EU:n tekoälysäädös astui voimaan elokuun alussa. Asetusta aletaan soveltamaan täysimääräisesti kahden vuoden kuluttua, mutta vaatimuksia on tulossa jo ennen sitä. Mitä organisaatioiden tuleekaan tehdä ja mihin mennessä?
Näkemys
2 minuutin lukuaika