Digisääntelyn uusi aalto on täällä

Monessa yrityksessä yritetään vielä ymmärtää, mitä tekoäly tarkalleen ottaen edes tarkoittaa. Lainsäätäjälläkin on ollut sama ongelma: tekoälyn määritelmästä ja siten EU-asetuksen soveltamisalasta on käyty paljon keskustelua. Laajimmillaan hyvin moni nykyisistä varsin arkisistakin ohjelmistoratkaisuista voitaisiin katsoa ”tekoälyksi”. Tämän hetken tiedon mukaan laintasoinen määritelmä tulee kuitenkin supistumaan jonkin verran ensimmäisen luonnoksen muotoiluista. Vaikka tekoälyasetus ei vielä olekaan laki, jokaisen teknologioita tuottavan ja käyttävän yrityksen tulisi jo nyt ymmärtää, missä määrin uusi sääntely voisi soveltua niihin. Ehdotus näet sisältää velvoitteita sekä tekoälyratkaisujen tuottajille että niiden käyttäjille.

Tekoälyasetuksessa on uutta sääntelytekniikkaa

Tekoälyasetus edustaa myös yleiselle IT-alalle jossain määrin uutta sääntelytekniikkaa. Asetuksen tarkat velvoitteet riippuvat tekoälyratkaisun asetuksenmukaisesta riskiluokituksesta, ja velvoitteiden konkreettista sisältöä ohjaavat myös lainsäädännöstä erilliset standardit samaan tapaan kuin esimerkiksi tuoteturvallisuuslainsäädännössä. Vaikka asetus sisältääkin joukon velvoitteita, monet niistä on itse säädöstekstissä ilmaistu suhteellisen yleisellä tasolla. Ajatus on, että velvoitteita vielä konkretisoidaan teknisissä standardeissa, joiden noudattaminen synnyttää olettaman lainsäädännön mukaisuudesta. Vaikka kyseessä on vain olettama, olemme jo aikoja sitten tuoteturvallisuussääntelyn puolella oppineet, että käytännössä standardit muodostavat olennaisen osan sääntelykokonaisuudesta.

Tekoälyratkaisujen valvonta herättää kysymyksiä

Myös asetukseen liittyvät valvontaratkaisut ovat herättäneet paljon keskustelua. Koska tekoälyratkaisut käytännössä usein perustuvat henkilötietojen käsittelyyn, monet tekoälyyn liittyvät kysymykset, kuten asiakastietojen käyttö itse palvelun kehittämiseen ja tietojen siirtäminen Euroopan ulkopuolisiin pilvipalveluihin, ovat tuttuja tietosuojasääntelyn puolelta. Usean valvontaviranomaisen ongelman välttämiseksi eräät ovatkin ehdottaneet, että tietosuojaviranomaiset olisivat luonnollinen valvontaviranomainen myös tekoälyn osalta. Tällainen ratkaisu ei kuitenkaan olisi ongelmaton.

Tekoälyasetuksen mukaan korkean riskin järjestelmiksi, ja siten ankarimman sääntelyn kohteeksi, luokiteltaisiin myös sellaisia järjestelmiä, joiden riskit eivät välttämättä niinkään liity henkilötietojen käsittelyyn. Esimerkiksi tieliikenteen ja sähkönhuollon järjestelmien ehdotettu korkea riskiluokitus perustunee muihin kuin henkilötietoihin liittyviin huoliin, vaikka niitä vähäisessä määrin järjestelmissä käsitelläänkin. Lisäksi on muistettava, että tuoteturvallisuuteen ja teknisiin standardeihin perustuva sääntelytekniikka olisi tietosuojaviranomaisille jossain määrin uutta. Jäämme mielenkiinnolla seuraamaan tekoälysetuksen ja sen valvontajärjestelyiden etenemistä. Jonkinlainen ennemerkki ehkä lienee, että EU:n datanhallintasäädöksen (Data Governance Act) kansalliseksi valvontaviranomaiseksi ehdotetaan Liikenne- ja viestintävirastoa.

Mielenkiinnolla seuraamme myös tekoälyyn liittyvien sopimuskäytäntöjen kehittymistä. Esimerkiksi Microsoft on jo julkaissut oman ehtopäivityksensä, jossa käsitellään tekoälyllä laadittuun sisältöön liittyvää vastuuta. Nyt on se hetki, kun markkina- ja sopimuskäytäntöjä ollaan luomassa, ja moni haluaakin olla ohjaamassa kehitystä.

Digisääntelyä uudistetaan nyt EU:ssa laajasti

Tekoäly ei suinkaan ole ainoa EU:n digisääntelyhanke, joka puhuttaa yritysmaailmaa. Sääntelyhankkeita on käynnissä useita, ja esimerkiksi EU:n tuleva datasäädös, Data Act, on keskeinen kohta monen yrityksen sääntelyagendalla. Säädös tulee muun muassa edellyttämään, että laitevalmistajat lisäävät laitteidensa keräämän datan avoimuutta ja jaettavuutta.

Olemme asiakkaidemme tukena digisääntelyn muutoksessa niin tekoälyn kuin muidenkin ratkaisujen osalta. Ota yhteyttä kirjoittajiin, jos haluat keskustella tarkemmin tekoälystä, sen sääntelystä tai muista tämän kirjoituksen teemoista.