29.8.2022

Tekoälyasetus ja kuluttajansuoja – oletko valmis?

Tekoäly on nykypäivänä merkittävässä roolissa ihmisten ja yritysten arjessa. Erinäiset automatisaatiot ja algoritmit ohjaavat verkossa tarjottavia palveluita, verkkokauppaa sekä digitaalista markkinointia. Tällä on merkittäviä vaikutuksia kuluttajien käyttäytymiseen. Kuluttajansuojan näkökulmasta uudella sääntelyllä pyritään lisäämään kuluttajien luottamusta tekoälyyn sekä lisäämään vastuullisuuden ja turvallisuuden toteutumista osana markkinoiden tietoteknistä kehitystä. Euroopan komissio on 21.4.2021 antanut ehdotuksen asetuksesta tekoälyn harmonisoiduksi sääntelyksi. Kyseinen tekoälyasetus voisi astua arvioiden mukaan voimaan jo kuluvan vuoden lopussa, jolloin asetuksen soveltaminen alkaisi kahden vuoden siirtymäajan jälkeen vuoden 2024 loppupuolella.

Tekoälyn määritelmä ja tekoälyasetus kuluttajansuojan näkökulmasta

Perinteisenä ongelmana on pidetty sitä, että tekoälyä on vaikea määritellä – ainakaan tyhjentävästi. Asetuksessa määritelty tekoäly on ohjelmisto, joka voi tuottaa tiettyjen ihmisen määrittelemien tavoitteiden saavuttamiseksi tuloksia, kuten sisältöjä, ennusteita, suosituksia tai päätöksiä, jotka vaikuttavat ympäristöihin, joiden kanssa järjestelmät ovat vuorovaikutuksessa. Tekoälyä ei sellaisenaan kuitenkaan tarjota kuluttajalle, vaan kyseessä on tuote, tavara tai palvelu, jota ohjaavat kehittyneet algoritmit ja ohjelmistot.

Asetusehdotus ei sinällään luo uusia oikeuksia kuluttajille eikä muodosta uusia valitusmenettelyitä. Ehdotuksen mukaan esimerkiksi haitalliset menettelyt ja järjestelmät, jotka eivät istu säädösehdotuksessa määriteltyjen kiellettyjen menetelmien alaan, kuuluisivat yleisen tietosuoja- ja kuluttajansuojasääntelyn alaan. Ehdotuksessa keskitytäänkin lähinnä määrittelemään tietyt kielletyt menettelyt (prohibited practices) ja tiukemman sääntelyn kohteena olevat järjestelmät (high-risk systems). Menettelyjä tarkastellaan sekä toimiala- että sektoripohjaisesti.

Kielletyt menettelyt

Ehdotuksen mukaisiin kiellettyihin menettelyihin lukeutuvat sellaiset tekoälyjärjestelmät, joiden käytöstä aiheutuvaa riskiä ei voida hyväksyä. Tällaiset järjestelmät aiheuttavat niin selvää uhkaa ihmisten turvallisuudelle, oikeuksille ja toimeentulolle, että niiden käyttö kielletään ehdotuksessa kokonaan. Kiellettyjä järjestelmiä olisivatkin esimerkiksi henkilön käyttäytymiseen vaikuttavat manipuloivat subliminaaliset tekniikat, joita henkilö ei havaitse tietoisesti ja jotka aiheuttavat tai todennäköisesti aiheuttavat fyysistä tai psyykkistä haittaa. Kiellettyjä olisivat myös eräät sosiaalista pisteytystä käyttävät järjestelmät, sillä niiden katsotaan olevan EU:n perusarvojen vastaisia ja voivan johtaa syrjintään.

Tiukemman sääntelyn järjestelmät

Asetusehdotuksessa suuren riskin kategoriaan luokitellaan sellaiset tekoälyjärjestelmät, jotka on tarkoitettu toimimaan esimerkiksi tuotteen turvakomponenttina tai joita tietyillä aloilla käytetään ja joihin liittyy esimerkiksi terveys- ja turvallisuushaitan riski. Ehdotuksessa lueteltuja suuririskisiä tekoälyjärjestelmiä ovat muun muassa sellaiset järjestelmät, joita käytetään turvakomponentteina esimerkiksi vesi-, kaasu-, lämmitys- ja sähköhuollon hallinnassa ja toiminnassa sekä olennaisten yksityisten ja julkisten palveluiden yhteydessä yksityishenkilöiden luottokelpoisuuden arvioinnissa.

Tiukemman sääntelyn piiriin kuuluvien suuririskisten tekoälyjärjestelmien tarjoajien velvollisuuksista säädetään asetusehdotuksen 16 artiklassa. Tällaisia tekoälyjärjestelmiä tarjoavien yritysten on esimerkiksi:

Tiedonantovelvollisuus

Tiedonantovelvoite on jo itsessään keskeinen osa kuluttajansuojan yleisiä periaatteita. Tiedonantovelvollisuus tekoälyn hyödyntämisen yhteydessä on näin ollen myös yleinen periaate kaikkien kuluttajiin vaikuttavien tekoälyjärjestelmien kohdalla. Kuluttajien saatavilla on siis oltava riittävissä määrin selkeää, oikea-aikaista ja helposti saatavilla olevaa tietoa tekoälyjärjestelmän olemassaolosta, sen päättelyprosesseista, mahdollisista lopputuloksista ja vaikutuksista kuluttajiin. Kuluttajia tulee informoida lisäksi siitä, miten järjestelmän toimintaa on mahdollista pyytää tarkistettavaksi tai korjattavaksi ja miten on mahdollista saada yhteyttä päätösvaltaiseen ihmiseen. Kuluttajia tulee myös ohjeistaa siitä, miten asian voi riitauttaa.

Tekoälysääntely täydentyy vielä

Tekoälyasetuksen on tarkoitus olla osa uutta suurempaa kokonaisuutta, jonka kaikki osat eivät vielä ole tiedossa. Esimerkiksi tekoälyn vastuukysymyksistä tullaan antamaan erillinen ehdotus, joka oletettavasti omalta osaltaan on sovellettavissa kuluttajansuojaan. Ehdotuksessa on myös useita liittymäkohtia voimassa olevaan EU-sääntelyyn, kuten tietosuoja- ja markkinavalvontasääntelyyn sekä yleiseen elinkeinoharjoittajia velvoittavaan EU:n kuluttajansuojaoikeudelliseen sääntelyyn.

Lähteet:

KKV Lausunto U 28/2021

Euroopan komission tekoälysäädösehdotus 

Uusimmat referenssit

Avustimme WithSecure Oyj:tä sen myydessä kyberturvallisuuskonsultointiliiketoimintansa Neqstille. WithSecure Oyj on listattu NASDAQ OMX Helsingissä. Neqst on ruotsalainen sijoitusyhtiö, joka keskittyy teknologiayrityksiin. Kaupan toteutuminen edellyttää vielä tavanomaisten ehtojen täyttymistä ja viranomaishyväksyntöjä.
Julkaistu 24.1.2025
Avustimme Smarter Contracts Ltd:tä prosessissa, jossa Liikenne- ja viestintävirasto Traficom vahvisti sen EU:n tunnustamaksi datan välityspalveluksi. EU:n ulkopuolisten yritysten on nimettävä laillinen edustaja johonkin EU-maahan, jotta ne voivat tarjota datan välityspalveluja datanhallinta-asetuksen mukaisesti. Smarter Contracts sijaitsee Isossa-Britanniassa ja valitsi tehtävään Suomen. Smarter Contracts on ensimmäinen Traficomin rekisteröimä EU:n ulkopuolinen datan välityspalvelu. Smarter Contractsin perustaja ja toimitusjohtaja Wayne Lloyd:  Castrénin tiimin tuki oli poikkeuksellista alusta loppuun. Uuden alueen valloitus on aina haastavaa, ja ensimmäisenä EU:n ulkopuolisena datan välityspalvelun tarjoajana kohtasimme merkittäviä oikeudellisia epävarmuuksia. Näistä haasteista huolimatta Castrénin tiimi ohjasi meitä asiantuntevasti jokaisessa vaiheessa huomattavalla tehokkuudella, tarjoten meille tarvittavaa varmuutta. Smarter Contracts tarjoaa kehittyneitä suostumus- ja käyttöoikeuksien hallintapalveluita kehittämänsä Pulse Permissions Protocol® -työkalun avulla. Tämä merkkipaalu on osoitus Castrén & Snellmanin taidosta hallita monimutkaisia sääntely-ympäristöjä ja Smarter Contractsin innovatiivisesta lähestymistavasta turvalliseen ja vaatimustenmukaiseen tietojen hallintaan.
Julkaistu 11.12.2024
Avustimme Pharmaca Health Intelligencea sen ostaessa Mediaattori Oy:n PODIUM Connect®- ja PODIUM Vierailut -liiketoiminnat. Liiketoimintakaupan myötä Pharmaca Health Intelligence vahvistaa palvelutarjontaansa sekä terveydenhuollon edustajille että lääkeyrityksille. Palvelutarjontaan kuuluu laajasti lääketiedon, tiedolla johtamisen ja koulutuksen palveluita. Pharmaca Health Intelligence on digitaalisen lääketiedon edelläkävijä sekä hyvinvointialueiden, yksityisen terveyspalvelusektorin ja apteekkien luotettava yhteistyötahona. Yhtiö panostaa lääkeinformaatioon liittyvien teknologia- ja palveluratkaisujen kehittämiseen myös kansainvälisesti.
Julkaistu 5.12.2024
Korkein hallinto-oikeus on antanut päätöksen KHO 2024:115, joka koskee tasapainoilua tietosuojan ja kansallisen turvallisuuden etujen välillä kyberturvallisuustapauksissa. Edustimme Suomen ulkoministeriötä tässä ennakkotapauksessa, jossa korkein hallinto-oikeus hyväksyi asiakkaamme keskeiset väitteet ja päätti kumota tietosuojaviranomaisen päätöksen keskeiset osat asiakkaamme hyväksi. Tuomioistuin totesi, että ministeriö oli toiminut laillisesti diplomaatteja kohtaan tehdyn kyberhyökkäyksen yhteydessä, vaikka kaikille henkilöille, joita hyökkäys saattoi koskettaa, ei ilmoitettu heti. Asiakkaamme kannalta keskeinen periaate oli, missä määrin GDPR:n 34 artikla edellyttää tällaisia (käytännössä julkisia) ilmoituksia ulkopolitiikan ja kansallisen turvallisuuden vaatiessa usein hienovaraista lähestymistapaa. Lue päätös kokonaisuudessaan KHO:n sivuilta .
Julkaistu 15.11.2024