Tekve Oy Logo
Regulaatio-ohjeistus

Mikä on Tekoälysäädös (AI Act)?

Euroopan unionin tekoälysäädös on maailman ensimmäinen kattava säädöskehys tekoälyn turvallisen ja eettisen käytön varmistamiseksi.

Mikä on Tekoälysäädös (AI Act)?

Tekoälysäädös (AI Act) on Euroopan unionin asetus, joka luo maailman ensimmäisen kattavan lainsäädäntökehyksen tekoälyjärjestelmille. Sen tavoitteena on yhdenmukaistaa tekoälyn käyttöön, markkinoille saattamiseen ja kehittämiseen liittyvät säännöt EU:n alueella.

Asetuksella pyritään turvaamaan yksilöiden perusoikeudet, turvallisuus ja eettisyys, samalla kun edistetään luotettavan tekoälyn kehitystä, investointeja ja innovaatioita. Säädös astui voimaan elokuussa 2024, ja sen eri velvoitteet astuvat voimaan vaiheittain vuosien 2025 ja 2026 aikana.

Keitä tekoälysäädös koskee?

Asetusta sovelletaan laajasti kaikkiin toimijoihin, joiden kehittämät tai käyttämät tekoälyratkaisut vaikuttavat EU:n alueella:

  • Tarjoajat (Providers): Organisaatiot, jotka kehittävät tekoälyjärjestelmän ja saattavat sen markkinoille tai ottavat sen käyttöön omalla nimellään.
  • Käyttöönotto-organisaatiot (Deployers): EU:ssa toimivat yritykset ja julkisyhteisöt, jotka käyttävät tekoälyjärjestelmiä osana toimintaansa.
  • Valmistajat, maahantuojat ja jakelijat: Toimijat, jotka tuovat tekoälyä sisältäviä tuotteita EU:n markkinoille tai jakelevat niitä.
  • Kolmansien maiden toimijat: EU:n ulkopuolelle sijoittautuneet kehittäjät, jos heidän tekoälyjärjestelmänsä tuottamaa dataa tai tuloksia käytetään EU:ssa.

Tekoälyjärjestelmien riskiluokat

Tekoälyasetus soveltaa riskiperusteista lähestymistapaa, jossa sääntelyn tiukkuus määräytyy järjestelmän aiheuttaman riskin mukaan:

Tekoälysäädöksen riskipyramidi

1. Hyväksymätön riski (Prohibited AI)

Tekoälyjärjestelmät, jotka muodostavat selvän uhan ihmisten turvallisuudelle, toimeentulolle ja oikeuksille, on kielletty kokonaan EU:ssa. Näitä ovat:

  • Ihmisen käyttäytymisen kognitiivinen manipulointi, joka voi aiheuttaa fyysistä tai henkistä haittaa.
  • Sosiaalinen pisteytys (yksilöiden luokittelu tai arviointi sosiaalisen käyttäytymisen perusteella).
  • Biometrinen etätunnistus julkisilla paikoilla reaaliaikaisesti (lukuun ottamatta erittäin tarkkaan rajattuja lainvalvontatilanteita).
  • Tunteidentunnistusjärjestelmät työpaikoilla tai oppilaitoksissa.
  • Ennakoiva poliisitoiminta, joka perustuu pelkkään profilointiin tai luonteenpiirteiden arviointiin.

2. Suuri riski (High-Risk AI)

Sallittuja, mutta edellyttävät tiukkojen velvoitteiden täyttämistä ennen käyttöönottoa ja koko elinkaaren ajan. Näitä ovat järjestelmät, joita käytetään:

  • Kriittisessä infrastruktuurissa (esim. liikenteen ja sähköverkkojen ohjaus).
  • Koulutuksessa ja ammatillisessa arvioinnissa (esim. automaattinen tenttien pisteytys).
  • Työelämässä (esim. CV-seulonta ja rekrytointityökalut).
  • Yksityisten ja julkisten peruspalveluiden saamisessa (esim. luottokelpoisuusarvioinnit ja lainapäätökset).
  • Lainvalvonnassa, rajaturvallisuudessa ja oikeudenkäytössä.
  • Lääkinnällisten laitteiden ja lelujen turvakomponentteina.

3. Rajoitettu riski (Limited Risk / Transparency)

Järjestelmät, joihin liittyy lievä riski (kuten yleiskäyttöiset tekoälymalleja, chatbotteja ja deepfake-sisältöä). Näitä koskee läpinäkyvyysvelvoite: käyttäjille on kerrottava selkeästi, että he asioivat tekoälyn kanssa tai että sisältö on tekoälyllä generoitu.

4. Vähäinen tai olematon riski (Minimal Risk)

Useimmat nykyisin käytössä olevat tekoälysovellukset (kuten roskapostisuodattimet ja tekoälypohjaiset pelit). Ei erityistä sääntelyä, mutta vastuullisen tekoälyn eettisten ohjeiden noudattaminen on suositeltavaa.

Mitä vaatimuksia asetetaan suuren riskin tekoälylle?

Suuren riskin tekoälyjärjestelmän tarjoajien ja käyttöönottajien on täytettävä seuraavat tekniset ja hallinnolliset vaatimukset:

  • Riskienhallintajärjestelmä: Jatkuva ja dokumentoitu prosessi riskien tunnistamiseksi ja lieventämiseksi tuotteen koko elinkaaren ajan.
  • Laadukas opetusdata: Opetus-, validointi- ja testausaineiston on oltava edustavaa, virheetöntä ja syrjimätöntä.
  • Tekninen dokumentaatio: Yksityiskohtainen kuvaus tekoälyjärjestelmän toiminnasta, arkkitehtuurista ja kehityksestä viranomaisten valvontaa varten.
  • Jäljitettävyys ja lokitus: Automaattinen lokitietojen tallentaminen järjestelmän toiminnasta mahdollisten poikkeamien jäljittämiseksi.
  • Läpinäkyvyys ja käyttäjäohjeet: Selkeät ja riittävät tiedot käyttöönottajille järjestelmän rajoituksista, tarkkuudesta ja toiminnasta.
  • Ihmisen suorittama valvonta: Järjestelmää on voitava valvoa ja ohjata ihmisen toimesta (human-in-the-loop), jotta automaattinen päätöksenteko voidaan tarvittaessa keskeyttää.
  • Tietoturva ja tarkkuus: Korkea tekninen toimintavarmuus, häiriönsietokyky ja suojaus kyberhyökkäyksiä tai manipulointiyrityksiä (kuten data-myrkytystä) vastaan.

AI Act -aikataulu ja siirtymäajat

Asetuksen voimaantulo ja soveltaminen tapahtuvat vaiheittain:

  • 1.8.2024: Asetus tuli virallisesti voimaan.
  • 2.2.2025: Hyväksymättömän riskin tekoälyjärjestelmien kiellot ja tekoälylukutaitoa koskevat säännökset tulevat voimaan.
  • 2.8.2025: Yleiskäyttöisiä tekoälymalleja (General Purpose AI, GPAI) koskevat säännöt ja valvontarakenteet astuvat voimaan.
  • 2.8.2026: Asetusta sovelletaan täysimääräisesti. Suuren riskin tekoälyjärjestelmien velvoitteiden noudattamisen ja kansallisten testiympäristöjen (regulatory sandboxes) on oltava valmiina.

Laiminlyönneistä määrättävät seuraamukset

Säädöksen rikkomisesta voidaan määrätä erittäin kovat hallinnolliset sakot:

  • Kiellettyjen tekoälykäytäntöjen noudattaminen: Enintään 35 000 000 € tai 7 % maailmanlaajuisesta liikevaihdosta (kumpi tahansa on suurempi).
  • Muiden velvoitteiden rikkominen (kuten suuren riskin järjestelmän laiminlyönnit): Enintään 15 000 000 € tai 3 % liikevaihdosta.
  • Virheellisten tietojen antaminen viranomaisille: Enintään 7 500 000 € tai 1,5 % liikevaihdosta.

[!NOTE] Pk-yrityksille ja startupeille seuraamusmaksujen laskennassa sovelletaan suhteellisuusperiaatetta ja kevyempiä enimmäisrajoja, jotta sääntely ei vaaranna niiden taloudellista elinkelpoisuutta.

Miten Tekve voi auttaa tekoälyn haltuunotossa?

Autamme organisaatiotasi ymmärtämään tekoälyyn liittyvät riskit, noudattamaan EU-sääntelyä ja rakentamaan vastuullisia tekoälyratkaisuja:

  1. Tekoälyjärjestelmien kartoitus ja riskiluokittelu: Tunnistamme käytössänne tai kehitteillänne olevat tekoälyjärjestelmät ja määritämme niiden virallisen riskiluokan.
  2. ISO/IEC 42001 -tekoälyhallintajärjestelmä: Autamme rakentamaan ja sertifioimaan kansainvälisen ISO 42001 -standardin mukaisen hallintajärjestelmän, joka toimii parhaana pohjana AI Act -vaatimusten täyttämiselle.
  3. Teknisen dokumentaation laadinta: Valmistamme suuren riskin järjestelmiltä edellytettävät riskinhallintasuunnitelmat, opetusdatan laatukuvaukset ja lokitusperiaatteet.
  4. Tekoälypolitiikat ja -ohjeet: Laadimme yrityksellesi selkeät ja turvalliset sisäiset pelisäännöt tekoälytyökalujen (kuten Copilotin tai ChatGPT:n) käyttöön.
  5. Henkilöstön tekoälylukutaitokoulutukset: Järjestämme koulutusta, joka parantaa henkilöstönne valmiuksia ymmärtää tekoälyn riskejä ja mahdollisuuksia säädöksen edellyttämällä tavalla.
Yhteydenotto

Ota yhteyttä asiantuntijoihimme

Keskustellaanko yrityksenne tietoturvatarpeista? Täytä oheinen lomake ja olemme teihin yhteydessä mahdollisimman pian.