Vuosi lähenee loppuaan ja keskustelu tekoälystä käy kiivaana. Tiedotteessamme, Tekoäly on hyvä renki mutta huono isäntä, kävimme laajemmin läpi tekoälyä ja sen käyttöön liittyviä riskejä yleisellä tasolla. Tähän asti yleinen tietosuoja-asetus, GDPR, on tuntunut pitävän huolta EU:n kansalaisten yksityisyyden suojasta. Erityisesti generatiivisten tekoälyjen räjähdysmäinen käyttö sekä niiden mahdollistamat innovaatiot ja käyttötarkoitukset saavat kuitenkin pohtimaan: onko GDPR enää riittävä?
Vastauksena tähän on EU:n tekoälysäädös (AI Act), joka on maailman mittakaavalla ensimmäinen laatuaan. Sen tarkoituksena on luoda tekoälyjärjestelmien kehittäjille innovaatiolähtöinen viitekehys sekä taata loppukäyttäjille turvalliset, perusoikeuksien ja EU:n arvojen mukaiset järjestelmät.
Lyhykäisyydessään tekoälysäädös on riskilähtöinen asetus. Konkreettisin esimerkki on sen luokitus tekoälyjärjestelmien riskitasoista:
Säädöksen oli määrä jo tulla täytäntöön, mutta ChatGPT:n mullistava julkaisu vuoden 2022 syksyllä laittoi asiat uusiksi. Asetuksen sisällöstä on käyty kiivaita keskusteluja, kunnes 8. joulukuuta EU:ssa päästiin vihdoin yhteisymmärrykseen, ja lainsäädäntötyö voi jatkua. Seuraavaksi EU:n sidosryhmien on päivitettävä ja hyväksyttävä uudistettu teksti, ja saamme näillä näkymin kuulla uutisia ennen vuoden 2024 EU-vaaleja uunituoreesta tekoälysäädöksestä.
Euroopan tietosuojavaltuutettu (European Data Protection Supervisor, EDPS) on kommentoinut tietosuojaviranomaisten olevan oiva taho tekoälysäädöksen kansalliseen valvontaan. Säädöksen tullessa voimaan, organisaatioilla on kaksi vuotta aikaa toteuttaa asetuksen vaatimukset. Kulisseissa kuitenkin huhutaan poikkeuksista, jotka toisivat organisaatioille velvoitteita jo 6–12 kuukauden sisällä asetuksen voimaantulosta. Uusi säädös tarkoittaa joka tapauksessa GDPR:n kaltaista projektia tietosuoja-ammattilaisten pöydälle. Kutsutaanko tonttupartio paikalle?
Tekoälysäädös tulee vaatimaan organisaatioissa eri tiimien rajat ylittävää yhteistyötä. Tietosuojatiimit eivät voi yksinään tehdä päätöksiä tekoälyn käyttöönotoista, vaan teknologian monimuotoisuus ja kompleksisuus vaatii muun muassa laajaa tietoturvaosaamista.
Vaikka säädös ei olekaan valmis, siihen kannattaa alkaa jo varautua. Tässä tärkeimmät vinkit onnistuneeseen vuoden aloitukseen ja vaatimustenmukaisuuden valmistautumiseen:
Tämän tekoälysääntelyyn keskittyvän blogisarjan seuraavassa osiossa perehdymme tarkemmin itse säädökseen. Pysy siis kuulolla!