EU:n tekoälyasetus (AI Act) on laaja lainsäädäntökehys, joka säätelee kaikkea tekoälyä määrittelemällä velvoitteet tekoälyn arvoketjun eri toimijarooleja varten järjestelmän riskiluokan perusteella.
Organisaatioille tämä tarkoittaa, että tekoälyä on ymmärrettävä ja hallittava sääntelykehyksen puitteissa.
Tässä artikkelissa avaan asetuksen keskeisiä osia sekä sen kontekstia laajemmassa EU:n sääntelykentässä.
Asetus rakentuu aiempien EU-tason toimien varaan, joilla on pyritty kohti "luotettavaa tekoälyä". Tällä tarkoitetaan tekoälyä, joka heijastaa oikeudenmukaisuuden, läpinäkyvyyden, yksityisyyden suojan, vastuuvelvollisuuden, tarkkuuden ja ihmisen toimijuuden kaltaisia periaatteita.
Aiempaan työhön kuuluu kaksi olennaista dokumenttia: vuonna 2019 julkaistut Luotettavaa tekoälyä koskevat eettiset ohjeet (Ethics Guidelines for Trustworthy AI) ja vuonna 2020 julkaistu Luotettavan tekoälyn arviointilista (Assessment List for Trustworthy AI). Nämä dokumentit artikuloivat tai määrittelivät vaatimuksia luotettavan tekoälyn kehittämiselle, käytölle ja hallinnalle sekä loivat käsitteellisen perustan tekoälyasetukselle.
Tekoälyasetus muuntaa nämä periaatteet sitovaksi lainsäädännöksi. Se luo sääntelykehyksen, joka jakaa velvoitteet tekoälyn arvoketjun eri toimijoille pääasiassa riskiluokituksen ja yleiskäyttöisen tekoälyn (GPAI) osallisuuden perusteella.
Tekoälyasetuksen sääntelykonteksti
Asetus säätelee tekoälyä sisältäviä tavaroita ja palveluita tuotteena, johon kohdistuu markkinavalvontaa. Asetuksella on kolme päätavoitetta:
-
Tuotteen (tekoälyjärjestelmän) vapaa liikkuvuus EU:n sisämarkkinoilla
-
Perusoikeuksien, terveyden ja turvallisuuden suojaaminen
-
Innovaation tukeminen
Tekoälyasetus toimii data- ja teknologiasääntelyn viitekehyksessä, kuten kaikki EU-asetukset. Tekoälyjärjestelmät eivät siis ole sääntelytyhjiössä ja muut asetukset, kuten yleinen tietosuoja-asetus (GDPR) sekä data-asetus (Data Act), on otettava huomioon aina, kun ne soveltuvat tekoälyjärjestelmään. Tekoälyjärjestelmien tarkastelu eri tavoitteiden ja muun sääntelyn näkökulmista tekee asetuksen tulkinnasta monimutkaista. On selvää, että tulkinta ei ole yksiselitteistä eikä tule olemaan sellaista moneen vuoteen.
Kehittyvä sääntelykehys
Monimutkaisuutta lisää se, että tekoälyasetus tukimateriaaleineen muodostaa valtavan asiakirjakokonaisuuden. Asetusta tulkittaessa ei riitä pelkkä itse asetuksen tarkastelu. Sitä täydentävät suuntaviivat (eng. guidelines) eli komission tulkinnat siitä, mitä asetus tarkoittaa käytännössä sekä käytännesäännöt (eng. Codes of Practice), jotka kuvaavat, miten asetuksen velvoitteiden noudattaminen voidaan konkreettisesti osoittaa.
Suuntaviivoja on tällä hetkellä 14, joko julkaistuna, luonnosvaiheessa tai kehitteillä. Niistä suurin osa liittyy korkean riskin tekoälyjärjestelmiin. Niillä tulee käytännössä olemaan huomattavaa painoarvoa tekoälyasetuksen tulkinnassa (Lindroos-Hovinheimo ym. 2025, Tekoälyn sääntely, s. 120). Käytännesääntöjä puolestaan on kaksi. Ne toimivat todennäköisesti virallisten standardien valmistumiseen asti pääasiallisena tapana osoittaa vaatimuksenmukaisuutta yleiskäyttöisten tekoälymallien kohdalla (Lindroos-Hovinheimo ym. 2025, Tekoälyn sääntely, s. 116-117).
Yhdenmukaisen vaatimustenmukaisuuden osoittamisen tueksi komissio on antanut CEN-CENELECille (European Committee for Electrotechnical Standardization) mandaatin kehittää yhdenmukaistettuja standardeja. Yksi esimerkki on tekoälyjärjestelmien riskienhallintaa koskeva standardi, jonka on tarkoitus ohjata tekoälyasetuksen velvoitteiden toimeenpanoa.
Riskiluokat ja tekoälyn arvoketju: kaksi keskeistä osaa velvoitteiden jakamisessa
Kuten mainittu, asetus säätelee tekoälyä luokittelemalla sen johonkin riskiluokkaan. Nämä ovat:
-
minimaalinen riski (kuten roskapostisuodattimet), joka on sääntelemätön riskiluokka
-
rajallinen riski (kuten chatbotit), johon kohdistuu kevyitä velvoitteita
-
korkea riski, jota säännellään tiukasti
- kielletyt tekoälykäytännöt tai kohtuuton riski, joka on ehdottomasti kiellettyä.
Tekoälyn arvoketjun toimijoille määritellään myös roolit, joihin kuuluvat muun muassa:
- tarjoaja: toimija, joka kehittää tai teettää toisella osapuolella tekoälyjärjestelmän ja saattaa sen markkinoille tai käyttöön omalla tavaramerkillään
-
käyttöönottaja: toimija, joka käyttää tekoälyjärjestelmää omalla vastuullaan
Joissakin tapauksissa yksi rooli voidaan jakaa useammalle osapuolelle, ja yhdelle osapuolelle voidaan jakaa useita rooleja. Tarjoajan rooli voidaan esimerkiksi jakaa eri osapuolten kesken, tai tekoälyjärjestelmän maahantuoja voidaan luokitella uudelleen tarjoajaksi, jos se esimerkiksi asettaa oman tavaramerkkinsä jo markkinoilla olevaan korkean riskin järjestelmään. Tällöin osapuoli tulee molempien roolien velvoitteiden alaiseksi (maahantuoja ja tarjoaja).
Näiden luokitusten lisäksi yleiskäyttöisen tekoälyn sisältyminen tekoälyjärjestelmään tuo mukanaan useita lisävelvoitteita tietyille arvoketjun toimijoille. Nämä velvoitteet kasautuvat riskiluokitukseen perustuvien velvoitteiden päälle. Tämä tarkoittaa, että yleiskäyttöistä tekoälyä sisältävä minimaalisen riskinkään järjestelmä ei vältä yleiskäyttöistä tekoälyä koskevia vaatimuksia.
Lisäksi on läpileikkaava tekoälylukutaitovaatimus. Se velvoittaa kaikki tekoälyn tarjoajat ja käyttöönottajat varmistamaan riittävän tekoälylukutaidon henkilöstölleen sekä kaikille, jotka osallistuvat tekoälyjärjestelmien toimintaan ja käyttöön.
Korkean riskin järjestelmät
Suurin osa sääntelystä kohdistuu korkean riskin tekoälyjärjestelmiin, ja suurin osa velvoitteista kohdistuu näiden järjestelmien tarjoajille tai kehittäjille.
Korkean riskin käyttötapauksia ovat esimerkiksi rekrytointi, lainvalvonta, rajavalvonta ja opiskelijavalinnat. Tällaisen tekoälyjärjestelmän tarjoaminen tai käyttöönotto edellyttää muun muassa riskienhallinta- ja laadunhallintajärjestelmien perustamista, tiedonhallintaa, kattavan teknisen dokumentaation ylläpitämistä sekä järjestelmän rekisteröimistä EU:n laajuiseen tietokantaan.
Rajallisen riskin järjestelmät
Rajallisen riskin järjestelmiin kohdistuu kevyempiä velvoitteita, kuten asianmukainen läpinäkyvyys käyttäjiä kohtaan ja sisällön merkitseminen. Tähän liittyy kuitenkin huomionarvoinen poikkeus: jos järjestelmä luokitellaan rajatun riskin järjestelmäksi luonteensa vuoksi, esimerkiksi koska se suorittaa vain kapean, ennalta määritellyn tehtävän, mutta se otetaan käyttöön muuten korkean riskin alueella, se on silti arvioitava perusteellisesti ja rekisteröitävä korkean riskin tietokantaan.
Sanktiot noudattamatta jättämisestä
Velvoitteiden laiminlyönti korkean riskin tapauksissa sekä tietyissä rajatun riskin skenaarioissa, tarkemmin ottaen läpinäkyvyysvaatimusten osalta, voi johtaa sakkoon, joka on enintään 15 miljoonaa euroa tai 3 % vuotuisesta liikevaihdosta näistä suuremman mukaan. On myös syytä huomata, että kiellettyjen tekoälykäytäntöjen laiminlyönti voi johtaa sakkoon, joka on enintään 35 miljoonaa euroa tai 7 % vuotuisesta liikevaihdosta suuremman mukaan.
Seuraavassa artikkelissani käyn läpi, miten asetus vaikuttaa organisaatioiden käytännön arkeen, mitkä ovat konkreettiset keinot tekoälyasetuksen riskien hallintaan ja mitkä ovat tekoälyvaatimustenmukaisuuden toimeenpanon suurimmat haasteet.
Lähteenä on käytetty myös tekoälyasetusta niin, ettei sitä tekstissä erikseen mainita: Euroopan Parlamentin ja Neuvoston asetus (EU) 2024/1689
