Kiellettyjä tekoälykäytäntöjä koskevat määräykset astuvat voimaan.
Sisältö
Tapahtumat
Tekven asiantuntijat seuraavat tekoälysäädöksen kansallista täytäntöönpanoa Suomessa ja Euroopassa. Katso viikottaiset päivitykset blogistamme.
4.12.2024: Lausuntoaika päättynyt ja lausunnot luettavissa lausuntopalvelussa. Lausuntoja tuli yhteensä 110 eri organisaatioilta.
24.10.2024: Työ- ja elinkeinoministeriö pyytää lausuntoa luonnoksesta hallituksen esitykseksi tekoälyasetuksen toimeenpanoa koskevaksi lainsäädännöksi.
1.8.2024: Tekoälysäädös astui voimaan
12.7.2024: Tekoälysäädös julkaistiin EU:n virallisessa lehdessä.
Mikä on Tekoälysäädös (AI Act)?
Tekoälysäädös (AI Act) on maailman ensimmäinen tekoälyä koskeva kattava lainsäädäntökehys, jonka tavoitteena on yhdenmukaistaa tekoälyn käyttöön, markkinoille saattamiseen ja kehittämiseen liittyvät säännöt EU:ssa. Asetuksella pyritään turvaamaan perusoikeudet, turvallisuus ja ihmisten hyvinvointi sekä edistämään luotettavan tekoälyn kehitystä ja innovaatioita.
Tekoälysäädös on keskeinen osa Euroopan Unionin laajempaa digitaalista strategiaa, joka pyrkii tekemään Euroopasta digitaalisen aikakauden mukaisen.
Vaatimuksia pitää alkaa noudattamaan elokuussa 2026.
Keitä tekoälysäädös koskee?
Tekoälyasetusta sovelletaan seuraaviin toimijoihin toimialasta riippumatta:
Tekoälyjärjestelmien tarjoajat – Kaikki, jotka saattavat markkinoille tai ottavat käyttöön tekoälyjärjestelmiä EU:n alueella, riippumatta siitä, sijaitsevatko he EU:ssa tai sen ulkopuolella.
Tekoälyjärjestelmien käyttöönottajat – EU:ssa toimivat tai sinne sijoittautuneet käyttöönottajat, jotka hyödyntävät tekoälyjärjestelmiä.
Maahantuojat ja jakelijat – Asetusta sovelletaan myös tekoälyjärjestelmien maahantuojiin ja jakelijoihin, jotka tuovat järjestelmiä unionin markkinoille.
Kolmansien maiden toimijat – EU:n ulkopuoliset tarjoajat ja käyttöönottajat, jos heidän järjestelmiensä tuotoksia käytetään EU:ssa.
Tuotteiden valmistajat – Valmistajat, jotka integroivat tekoälyjärjestelmän tuotteeseensa ja saattavat sen markkinoille omalla nimellään tai tavaramerkillään.
Mitä järjestelmiä tekoälysäädös koskee?
Tekoälysäädös koskee kaikkia tekoälyjärjestelmiä, jotka on suunniteltu toimimaan itsenäisesti ja mukautuvasti erilaisten tehtävien suorittamiseksi.
Tekoälyjärjestelmät käyttävät koneoppimista, loogisia malleja tai tietämykseen perustuvia menetelmiä päätöksentekoon, suositusten antamiseen tai ennusteiden tekemiseen.
Säädöstä ei sovelleta tekoälyjärjestelmiin, jotka on tarkoitettu yksinomaan sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin. Rajaus koskee myös tapauksia, joissa tuotoksia käytetään unionissa pelkästään näihin tarkoituksiin. Säädös ei myöskään koske henkilökohtaisessa tai muussa kuin ammattimaisessa käytössä olevia tekoälyjärjestelmiä, eikä avoimeen lähdekoodiin perustuvia järjestelmiä, ellei niitä saateta markkinoille kiellettyinä tai suuririskisinä järjestelminä.
Järjestelmien riskitasot
Säädöksessä tekoälyjärjestelmät jaetaan riskiperusteisesti neljään luokkaan, jotka määrittävät niihin kohdistuvat vaatimukset. Riski tarkoittaa haitan esiintymisen todennäköisyyden ja haitan vakavuuden yhdistelmää.
1. Hyväksymättömän riskin tekoälyjärjestelmät ja toiminnot
Tietyt tekoälyjärjestelmät ovat niin tehokkaita ja ihmisoikeuksien vastaisia, että niiden käyttö Euroopassa on kielletty. Kiellot on asetettu suojelemaan yksilöiden perusoikeuksia ja estämään tekoälyn väärinkäyttöä, joka voisi johtaa syrjintään, manipulointiin tai muihin haitallisiin vaikutuksiin yhteiskunnassa.
Esimerkkejä tekoälysäädöksen kielletyistä järjestelmistä ja niiden toiminnoista:
- Tekoälyjärjestelmät, jotka manipuloivat ihmisten käyttäytymistä tavalla, joka voi aiheuttaa heille tai muille haittaa.
- Tekoälyärjestelmät, jotka arvioivat tai luokittelevat yksilöitä heidän sosiaalisen käyttäytymisensä, henkilökohtaisten ominaisuuksiensa tai muiden tekijöiden perusteella, ja käyttävät näitä arvioita päätöksenteossa.
- Tekoälyn käyttö ennakoivassa poliisitoiminnassa, joka perustuu yksinomaan henkilön profilointiin tai heidän ominaisuuksiensa arviointiin.
- Tekoälyjärjestelmät, jotka käyttävät biometrisiä tietoja henkilöiden luokittelemiseksi tiettyjen ominaisuuksien, kuten rodun, uskonnon tai seksuaalisen suuntautumisen mukaan.
- Tekoälyjärjestelmät, jotka tunnistavat tunteita kouluissa ja työpaikoilla.
2. Suuren riskin tekoälyjärjestelmät
Suuren riskin tekoälyjärjestelmät ovat sallittuja, mutta niiden laatuun, valvontaan ja tietoturvallisuuteen kohdistuu merkittäviä vaatimuksia (alhaalla lisää).
Esimerkkejä suuririskisistä tekoälyjärjestelmistä:
- Liikenteen ohjauksessa käytetyt järjestelmät, jossa mahdolliset viat voivat vaarantaa kansalaisen terveyden ja hengen.
- Järjestelmät, jotka vaikuttavat yksilön pääsyyn koulutukseen tai ammatilliseen koulutukseen, kuten automaattiset tenttien pisteytysjärjestelmät.
Robottiavusteisessa kirurgiassa käytettävät tekoälysovellukset, joissa virheet voivat johtaa vakaviin terveysriskeihin.
Järjestelmät, jotka osallistuvat rekrytointiprosesseihin (esim. ansioluetteloiden lajitteluun) ja voivat siten vaikuttaa yksilöiden työllistymismahdollisuuksiin.
Tekoälyjärjestelmät, kuten luottopisteytysohjelmat, jotka voivat estää kansalaisia saamasta esimerkiksi lainaa tai muita tärkeitä palveluita.
Järjestelmät, jotka arvioivat todisteiden luotettavuutta tai muutoin vaikuttavat ihmisten perusoikeuksiin lainvalvonnan yhteydessä.
Viisumihakemusten automaattiseen käsittelyyn käytettävät tekoälysovellukset, jotka voivat vaikuttaa yksilöiden liikkumisvapauteen.
Tekoälyratkaisut, joita käytetään oikeudellisten päätösten tekemisessä tai demokraattisten prosessien tukena, kuten vaalien järjestämisessä.
3. Rajoitetun riskin tekoälyjärjestelmät
Yleiskäyttöiset tekoälyjärjestelmät, joihin kohtuvat riskit ovat kohtuullisia. Esimerkiksi Open AI:n suosittu Chat GPT ja Deep Fake -teknologiat kuuluvat tähän luokkaan.
4. Vähäisen riskin tekoälyjärjestelmät
Tekoälyjärjestelmät, joihin ei kuulu merkittäviä riskejä. Niitä voidaan käyttää vapaasti ilman erityisiä vaatimuksia.
Hyväksymättömän riskin tekoälyjärjestelmät
Tietyt tekoälyjärjestelmät ovat niin suuririskisiä ja ihmisoikeuksien vastaisia, että niiden käyttö Euroopassa on kielletty. Kiellot on asetettu suojelemaan yksilöiden perusoikeuksia ja estämään tekoälyn väärinkäyttöä, joka voisi johtaa syrjintään, manipulointiin tai muihin haitallisiin vaikutuksiin yhteiskunnassa.
Esimerkkejä tekoälysäädöksen kielletyistä järjestelmistä ja niiden toiminnoista:
- Tekoälyjärjestelmät, jotka manipuloivat ihmisten käyttäytymistä tavalla, joka voi aiheuttaa heille tai muille haittaa.
- Tekoälyärjestelmät, jotka arvioivat tai luokittelevat yksilöitä heidän sosiaalisen käyttäytymisensä, henkilökohtaisten ominaisuuksiensa tai muiden tekijöiden perusteella, ja käyttävät näitä arvioita päätöksenteossa.
- Tekoälyn käyttö ennakoivassa poliisitoiminnassa, joka perustuu yksinomaan henkilön profilointiin tai heidän ominaisuuksiensa arviointiin.
- Tekoälyjärjestelmät, jotka käyttävät biometrisiä tietoja henkilöiden luokittelemiseksi tiettyjen ominaisuuksien, kuten rodun, uskonnon tai seksuaalisen suuntautumisen mukaan.
- Tekoälyjärjestelmät, jotka tunnistavat tunteita kouluissa ja työpaikoilla.
Suuren riskin tekoälyjärjestelmät
Suuren riskin tekoälyjärjestelmät ovat sallittuja, mutta niiden laatuun, valvontaan ja tietoturvallisuuteen kohdistuu merkittäviä vaatimuksia (alhaalla lisää).
Esimerkkejä suuririskisistä tekoälyjärjestelmistä:
- Liikenteen ohjauksessa käytetyt järjestelmät, jossa mahdolliset viat voivat vaarantaa kansalaisen terveyden ja hengen.
- Järjestelmät, jotka vaikuttavat yksilön pääsyyn koulutukseen tai ammatilliseen koulutukseen, kuten automaattiset tenttien pisteytysjärjestelmät.
Robottiavusteisessa kirurgiassa käytettävät tekoälysovellukset, joissa virheet voivat johtaa vakaviin terveysriskeihin.
Järjestelmät, jotka osallistuvat rekrytointiprosesseihin (esim. ansioluetteloiden lajitteluun) ja voivat siten vaikuttaa yksilöiden työllistymismahdollisuuksiin.
Tekoälyjärjestelmät, kuten luottopisteytysohjelmat, jotka voivat estää kansalaisia saamasta esimerkiksi lainaa tai muita tärkeitä palveluita.
Järjestelmät, jotka arvioivat todisteiden luotettavuutta tai muutoin vaikuttavat ihmisten perusoikeuksiin lainvalvonnan yhteydessä.
Viisumihakemusten automaattiseen käsittelyyn käytettävät tekoälysovellukset, jotka voivat vaikuttaa yksilöiden liikkumisvapauteen.
Tekoälyratkaisut, joita käytetään oikeudellisten päätösten tekemisessä tai demokraattisten prosessien tukena, kuten vaalien järjestämisessä.
Rajoitetun riskin tekoälyjärjestelmät
Yleiskäyttöiset tekoälyjärjestelmät, joihin kohtuvat riskit ovat kohtuullisia. Esimerkiksi Open AI:n suosittu Chat GPT, Microsoftin Copilot ja Deep Fake -teknologiat kuuluvat tähän luokkaan.
Vähäisen riskin tekoälyjärjestelmät
Tekoälyjärjestelmät, joihin ei kuulu merkittäviä riskejä. Niitä voidaan käyttää vapaasti ilman erityisiä vaatimuksia.
Kaikki etäbiometrinen tunnistus, kuten kasvojentunnistus, luokitellaan korkean riskin teknologioiksi. Niiden käyttäminen julkisissa tiloissa viranomaistoiminnassa on pääsääntöisesti kielletty.
Poikkeukset, kuten kadonneen lapsen etsintä tai terroriuhan torjunta, ovat tarkoin rajattuja ja edellyttävät tuomioistuimen tai muun riippumattoman tahon lupaa.
Käytölle on asetettava ajalliset, alueelliset ja tietokantakohtaiset rajoitukset.
Mitä vaatimuksia tekoälysäädös sisältää?
Tekoälyjärjestelmille on säädöksessä määritelty vaatimukset, jotka on täytettävä ennen niiden markkinoille saattamista ja käyttöönottoa.
Järjestelmien vaatimukset määräytyvät sen riskitason mukaan (katso ylhäältä). Korkeamman riskin omaaville järjestelmille on luonnollisesti korkeammat vaatimukset.
Hyväksymättömän riskin tekoälyjärjestelmät ovat kiellettyjä EU:n sisämarkkinoilla, jonka takia niille ei ole erikseen määritelty vaatimuksia.
Suuren riskin tekoälyjärjestelmät
Riskien arviointi ja niiden vähentäminen
Järjestelmästä on tehtävä perusteellinen riskianalyysi ennen sen markkinoille tuomista.
On määriteltävä ja toteutettava toimet, joilla ehkäistään tai lievennetään mahdolliset haitat.
Laadukas opetusdata
Järjestelmän käyttämä data on oltava korkealaatuista, jotta virheelliset tai syrjivät päätelmät vältetään.
Datankäsittelyprosessien on oltava selkeitä ja dokumentoituja.
Jäljitettävyys ja lokitiedot
Jokaisen toiminnon tai päätöksen jäljittäminen on tehtävä mahdolliseksi.
Lokitietojen avulla järjestelmän toimintaa voidaan tarvittaessa arvioida, valvoa ja korjata.
Yksityiskohtainen dokumentointi
Viranomaisia varten on laadittava yksityiskohtainen kuvaus järjestelmän tarkoituksesta, toiminnasta ja teknisistä ratkaisuista.
Dokumentaation avulla voidaan arvioida järjestelmän lainmukaisuus ja vaatimustenmukaisuus.
Selkeä käyttäjätieto
Käyttäjien on saatava riittävästi tietoa järjestelmän toiminnasta, rajoituksista ja riskeistä.
Tämä varmistaa, että järjestelmä otetaan käyttöön ymmärtäen sen vaikutukset ja mahdolliset ongelmatilanteet.
Ihmisen kontrolli
Käytössä on oltava järjestelyt, joilla varmistetaan, ettei järjestelmä toimi täysin automaattisesti ilman ihmisen mahdollisuutta puuttua tarvittaessa.
Ihminen välissä lisää luottamusta järjestelmään ja ehkäisee väärinkäytöksiä.
Korkea turvallisuus- ja tarkkuustaso
Tekoälyjärjestelmän on oltava riittävän luotettava ja suojattu ulkoisia uhkia vastaan.
On varmistettava teknisten ratkaisujen tarkka ja virheetön toiminta.
Rajoitetun riskin tekoälyjärjestelmät
Läpinäkyvyys
Rajoitetun riskin tekoälyjärjestelmille asetetaan erityisiä läpinäkyvyysvaatimuksia, joiden tarkoituksena on varmistaa, että käyttäjät ovat tietoisia vuorovaikutuksestaan tekoälyn kanssa.
Vähäisen riskin järjestelmille ei aseteta juurikaan vaatimuksia. On kuitenkin suositeltavaa noudattaa hyviä käytäntöjä tekoälyn vastuullisuuden ja eettisen käytön varmistamiseksi.
Aikataulu
1.8.2024
Tekoälysäädös tuli voimaan.
2.2.2025
Kiellettyjä tekoälykäytäntöjä koskevat määräykset sekä tekoälylukutaitoa edistävät säännökset astuvat voimaan.
2.5.2025
Komission julkaisee käytännesäännöt tähän päivämäärään mennessä.
Käytännesäännöt ohjeistavat tekoälyjärjestelmien kehittäjiä muun muassa riskien hallinnassa, datan kuvauksessa ja tekoälyn ajan tasalla pitämisessä. Niiden tavoitteena on yhdenmukaistaa käytäntöjä ja tukea itsesääntelyä, mutta niiden noudattaminen ei ole pakollista.
2.8.2025
- Yleiskäyttöisiä tekoälymalleja koskevat erityiset hallintosäännöt astuvat voimaan. (luku V)
Tekoälymallien tarjoajien mallit noudattavat vaatimuksia ennen markkinoille saattamista.
Suuririskisten tekoälyjärjestelmien tarjoajien ja käyttöönottajien velvoitteet voimaan
Tekoälyjärjestelmän hallintoon liittyvät velvoitteet astuvat voimaan. (luku VII)
Säädöksendöksen rikkomisesta seuraavia sanktioita ja luottamuksellisuuden ylläpitoa koskevat määräykset astuvat voimaan. (luku XII)
Ilmoitetut laitokset (Luku III, Jakso 4)
Jäsenvaltioiden on raportoitava komissiolle nimetyistä kansallisista valvontaviranomaisista ja niiden vastuualueista.
2.2.2026
Komission määräaika määritellä suuren riskin järjestelmät ja myynnin jälkeistä seurantaa koskeva suunnitelma.
2.8.2026
Asetusta sovellettava kokonaisuudessaan, paitsi artikla 6(1) (Artikla 113).
Jäsenvaltioiden on varmistettava, että niiden toimivaltaiset viranomaiset ovat perustaneet vähintään yhden kansallisen testiympäristön (Artikla 57(1)).
Seuraamusmaksut
Seuraamusmaksuja voidaan määrätä esimerkiksi suuririskisten tekoälyjärjestelmien toimijoille, jos ne rikkovat asetuksen velvoitteita.
Maksun suuruus voi olla jopa 30 miljoonaa euroa tai 6 % maailmanlaajuisesta liikevaihdosta, riippuen siitä, kumpi on suurempi.
Pienille ja keskisuurille yrityksille sakkojen määräämisessä voidaan soveltaa kevyempää laskentakaavaa, ottaen huomioon niiden taloudellinen elinkelpoisuus ja toiminnan mittakaava.
Suuremmista seuraamusmaksuista (300 000 euroa tai enemmän) päättää erityinen seuraamusmaksulautakunta yhteistyössä markkinavalvontaviranomaisten kanssa.
Jäsenvaltiot ovat velvollisia raportoimaan komissiolle vuosittain määräämistään seuraamuksista ja niiden soveltamisesta
Miten voit täyttää tekoälysäädöksen vaatimukset?
Tekven asiantuntijat auttavat organisaatiotasi navigoimaan ja täyttämään tekoälysäädöksen vaatimukset. Osaamisemme loistaa teknisten vaatimusten implementoimisessa ja hallinnollisen tietoturvan kehittämisessä. Olipa organisaatiosi halukas kouluttamaan henkilöstöä tekoälyjärjestelmien tietoturvasta tai viemään suuririskisen tekoälyjärjestelmän markkinoille, niin Tekve auttaa.
Tekoälysäädös haltuun:
Tekoälysäädöksen arviointi
Arvioimme yrityksesi tekoälyjärjestelmien vaatimustenmukaisuuden tekoälysäädöksen mukaisesti.
Tuloksena raportti tekoälyjärjestelmäänne liittyvistä riskeistä ja puutteista.
Riskipohjaiset vaatimukset
Autamme määrittelemään mitä vaatimuksia tekoälyjärjestelmänne tarvitsee täyttää ja kuinka ne toteutetaan.
Tuloksena dokumentointu tieto järjestelmienne riskiluokista tekoälysäädöksen mukaisesti.
Tekninen dokumentointi
Tuotamme ja ylläpidämme teknistä dokumentaatiota (esim. riskinhallintasuunnitelmat, tekniset spesifikaatiot), joka vastaa säädöksen vaatimuksia.
Dokumentaatio on pakollinen osa säädöksen noudattamista ja tärkeä vaatimustenmukaisuuden osoittamisessa.
Koulutukset ja tekoälylukutaito
Koulutukset yrityksesi henkilöstölle säädöksen vaatimuksista, tekoälylukutaidosta ja suuririskisten järjestelmien käyttöön liittyvistä velvollisuuksista.
Tekven koulutukset ovat osallistavia ja rentoja, mikä luo hyvän oppimisympäristön ja tukee oppimista.
Politiikat ja ohjeet
Yrityksen on luotava selkeät politiikat ja ohjeistukset tekoälyjärjestelmien käytölle, jotta henkilöstö tietää, miten niitä voi turvallisesti ja vastuullisesti hyödyntää.
Tekve auttaa kehittämään tekoälyn käyttöön liittyviä politiikkoja ja ohjeita, jotka noudattavat parhaita käytäntöjä ja takaavat korkean tietoturvan tason.
Tietoturvakonsultointi
Autamme tietoturvariskien hallinnassa ja siihen liittyvien strategioiden sekä toteutuksen valinnassa.
Tekoälysäädöksen edistyminen Suomessa
Tekven asiantuntijamme seuraavat aktiivisesti tekoälysäädöksen etenemistä ja julkaisee viikottaisia katsauksia verkkosivuillemme.
Muut regulaatiot & lainsäädännöt
