AI Act — uusi sääntely-ympäristö
Euroopan unioni loi ensimmäisenä maailmassa kattavan tekoälysääntelyn. AI Act -asetus (Regulation (EU) 2024/1689) tuli voimaan 1. elokuuta 2024 ja sitä sovelletaan vaiheittain: ensimmäiset velvoitteet ovat voimassa 2. helmikuuta 2025 alkaen, pääosa 2. elokuuta 2026 alkaen, täysi soveltaminen 2. elokuuta 2027 alkaen. Jokaisen EU:ssa toiminnassaan tekoälyjärjestelmiä käyttöönottavan yrityksen on tutustuttava niihin.
AI Act ei kiellä tekoälyä — se sääntelee sitä riskiperusteisen lähestymistavan mukaisesti. Mitä korkeampi riski, sitä tiukemmat vaatimukset. Suurin osa tekoälyn liiketoimintakäyttötapauksista kuuluu matalan tai rajoitetun riskin luokkiin, mikä tarkoittaa suhteellisen kevyitä velvoitteita. Mutta on alueita, joilla vaatimukset ovat hyvin tiukat.
Voimaantuloaikataulu (Art. 113)
- 1. elokuuta 2024 — asetuksen voimaantulo
- 2. helmikuuta 2025 — vaarallisten käytäntöjen kiellot (II luku, Art. 5) ja tekoälylukutaidon velvoite (Art. 4) ovat voimassa
- 2. elokuuta 2025 — velvoitteet yleiskäyttöisten tekoälymallien tarjoajille (V luku) sekä säännökset valvontaviranomaisista ja seuraamuksista
- 2. elokuuta 2026 — korkean riskin järjestelmien velvoitteita sovelletaan (III luku), chatbottien ja deepfake-sisältöjen läpinäkyvyys (Art. 50), sääntelytestialustat
- 2. elokuuta 2027 — täysi soveltaminen, mukaan lukien velvoitteet korkean riskin järjestelmille, jotka on sulautettu tuotteisiin, jotka kuuluvat jo olemassa olevan EU:n yhdenmukaistamislainsäädännön piiriin (Liite I)
Tekoälyjärjestelmien riskiluokitus
AI Act jakaa tekoälyjärjestelmät neljään riskiluokkaan:
- Ei-hyväksyttävä riski (kielletty, Art. 5) — järjestelmät, jotka manipuloivat ihmisten käyttäytymistä tietoisuuden alapuolella, viranomaisten tekemä sosiaalinen pisteytys, reaaliaikainen biometrinen valvonta (poikkeuksin), tunteiden tunnistaminen työpaikalla ja koulutuksessa, ennustava rikollinen profilointi. Nämä järjestelmät ovat kiellettyjä.
- Korkea riski (III luku, Art. 6-27) — tekoäly, jota käytetään rekrytoinnissa, luotonannossa, terveydenhuollossa, koulutuksessa, oikeudenhoidossa, kriittisessä infrastruktuurissa. Tiukimmat vaatimukset: dokumentaatio, testaus, läpinäkyvyys, ihmisen valvonta, rekisteröinti EU:n tietokantaan.
- Rajoitettu riski (Art. 50) — chatbotit, deepfaket, sisältöä tuottavat järjestelmät. Läpinäkyvyysvelvoite: käyttäjän on tiedettävä keskustelevansa tekoälyn kanssa, ja tekoälyn tuottama sisältö on merkittävä koneellisesti luettavalla tavalla.
- Minimaalinen riski — suurin osa tekoälyn liiketoimintasovelluksista: roskapostisuodattimet, tuotesuositukset, sisäisten prosessien automatisointi. Minimaaliset tai ei lainkaan velvoitteita.
Kuka on tarjoaja ja kuka on tekoälyjärjestelmän käyttöönottaja?
AI Act erottaa kaksi keskeistä roolia. Tarjoaja (provider) on taho, joka luo ja saattaa tekoälyjärjestelmän markkinoille. Käyttöönottaja (deployer) on taho, joka käyttää tekoälyjärjestelmää taloudellisessa toiminnassa. Velvoitteet ovat erilaisia kullekin roolille — tarjoajilla on tiukemmat vaatimukset teknisen dokumentaation ja sertifioinnin osalta.
Yritys, joka ostaa valmiin tekoälyratkaisun tarjoajalta ja käyttää sitä omiin prosesseihinsa, on käyttöönottaja. Yritys, joka mukauttaa tai hienosäätää mallia omiin sovelluksiinsa, voi tulla tarjoajaksi kaikkine seurauksineen.
Korkean riskin järjestelmien käyttöönottajien velvoitteet (Art. 26)
Jos yrityksesi käyttää korkean riskin tekoälyjärjestelmää (esim. pisteytysjärjestelmä luottoprosessissa, CV-esikarsinan työkalu, lääketieteellisen diagnostiikan tukijärjestelmä), sinun on:
- Varmistettava ihmisen valvonta tekoälyjärjestelmän päätösten yli
- Pidettävä toimintalokeja vähintään 6 kuukauden ajan
- Suoritettava perusoikeuksien vaikutustenarviointi (FRIA, Art. 27)
- Tiedotettava työntekijöille heihin vaikuttavista tekoälyjärjestelmistä
- Ilmoitettava vakavista vaaratilanteista ja vioista asianomaiselle valvontaviranomaiselle
Sääntelytestialustat (Art. 57-63)
AI Act säätää sääntelytestialustoista — mekanismi, jonka avulla yritykset voivat testata innovatiivisia tekoälyjärjestelmiä valvontaviranomaisen valvonnassa valvotussa ympäristössä. Jokaisen jäsenvaltion on käynnistettävä vähintään yksi testialusta 2. elokuuta 2026 mennessä. Yrityksille, jotka kehittävät tekoälyratkaisuja korkean riskin alueilla, tämä on käytännöllinen polku sääntelyviranomaisten palautteen saamiseen jo ennen täyttä sertifiointia.
Seuraamukset (Art. 99)
AI Actin rikkomisesta määrättävät seuraamukset on porrastettu rikkomuksen tyypin mukaan:
- enintään 35 miljoonaa euroa tai 7% maailmanlaajuisesta vuotuisesta liikevaihdosta (kumpi on korkeampi) kiellettyjen käytäntöjen käytöstä (Art. 5)
- enintään 15 miljoonaa euroa tai 3% maailmanlaajuisesta vuotuisesta liikevaihdosta asetuksen muiden velvoitteiden rikkomisesta
- enintään 7,5 miljoonaa euroa tai 1% maailmanlaajuisesta vuotuisesta liikevaihdosta väärien, epätäydellisten tai harhaanjohtavien tietojen toimittamisesta valvontaviranomaisille
Pk-yrityksiin ja startup-yrityksiin sovelletaan pienempää näistä kahdesta summasta, jotta vältetään kohtuuton rasitus.
Miten ESKOM.AI tukee AI Actin noudattamista
ESKOM.AI auttaa organisaatioita valmistautumaan AI Actin vaatimuksiin. Tarjoamme olemassa olevien tekoälyjärjestelmien auditointia riskiluokituksen näkökulmasta, teknisen dokumentaation laatimista, ihmisen valvonnan ja lokituksen mekanismien käyttöönottoa sekä koulutusta complianceista vastaaville tiimeille. Jokainen uusi toteuttamamme tekoälykäyttöönotto on suunniteltu AI Actin noudattamisen näkökulmasta ensimmäisestä päivästä lähtien.