Kokoomuksen ehdokkaan Aura Sallan väite tekoälyasetuksen dokumentaatiovelvoitteista on vain osittain totta

Euroopan parlamentti äänesti EU:n tekoälyasetuksesta maaliskuussa, ja EU:n neuvosto hyväksyi asetuksen tekstin 21. toukokuuta 2024. Asetus on siten muodollista sinettiä vaille valmis. Se on tarkoitus antaa kesä-heinäkuussa, jonka jälkeen velvoitteet tekoälyn kehittäjille astuvat asteittain voimaan kolmen vuoden kuluessa.

Asetustekstistä on silti käyty vielä loppumetreillä poliittista keskustelua. Suomessa tekoälyasetusta on arvostellut yritysten liiallisesta sääntelystä EU-vaalikampanjan aikana etenkin Aura Salla, joka on ehdolla Euroopan parlamenttiin kokoomuksesta.Faktabaari tarttui väitteeseen saatuaan siitä vinkin lomakkeensa kautta.

Helsingin Sanomien vaalikoneessa Salla väitti, että “EU ylisääntelee tällä hetkellä digimarkkinaansa rankasti […] Esimerkiksi EU:n tekoälylainsäädännössä on samat dokumentaatiovelvollisuudet suurille globaaleille yrityksille kuin kolmen ihmisen yritykselle, joka toimii Lappeenrannassa. Tässä ei ole mitään järkeä.”

Salla perusteli vaalikoneessa väitettään sillä, että “EU ei saa tällä sääntelyllä ‘kuriin’ suuria globaaleja yrityksiä vaan kurittaa omiaan ja omaa markkinaansa.” Hän on esittänyt aiemmin samankaltaisen väitteen tekoälyn yhtäläisistä dokumentaatiovelvoitteista esimerkiksi A-Studiossa toukokuun alussa (kohdassa 13:10). Silloin Salla väitti, että kolmen naisen tekoäly-yritystä Lappeenrannassa ja Microsoftia koskisi jo “tällä hetkellä […] samanlainen dokumentaatiovelvollisuus ja raportointivelvollisuus EU:lle”.

Faktabaarin selvityksen perusteella Sallan ensiksi siteerattu väite tekoälyasetuksen dokumentaatiovelvoitteista on vain osittain totta. Jälkimmäinen väite ei pidä paikkaansa, koska tekoälyasetus ei ole vielä voimassa.

“Tekoälyasetuksen lähtökohta on samanlaiset velvollisuudet yrityksille niiden koosta riippumatta, mutta tästä on poikkeuksia pienempien yritysten hyväksi, myös dokumentaatiovelvollisuuksien osalta, koskien suuririskisiä tekoälyjärjestelmiä”, vahvistaa erityisasiantuntija Lasse Laitinen työ- ja elinkeinoministeriöstä.

Pienten yritysten ja startup-yritysten tarpeet on huomioitu asetuksen useissa artikloissa yksinkertaistamalla niiltä vaadittua dokumentointia. Lisäksi jäsenvaltioilta edellytetään viestinnällistä tukea pienyrityksiltä vaadittavien asiakirjojen laatimisessa. Pienyrityksiin kohdistuu myös pienempiä seuraamusmaksuja, jos ne laiminlyövät dokumentointivelvoitteensa.

Tekoälyasetuksessa näitä asioita käsitellään seuraavissa artikloissa:

  • 11 artiklan 1 kohdan mukaan ”Pk-yritykset, mukaan lukien startup-yritykset, voivat toimittaa liitteessä IV täsmennetyn teknisen dokumentaation osat yksinkertaistetulla tavalla. Tätä varten komissio laatii yksinkertaistetun teknisen dokumentaatiolomakkeen”.
  • 17 artiklan mukaan laadunhallintajärjestelmän toteutuksen on oltava oikeassa suhteessa tarjoajan organisaation kokoon, kunhan varmistetaan, että järjestelmä on asetuksen mukainen.
  • 62 artiklan 1 kohdan mukaan jäsenvaltioiden on järjestettävä tiedotustoimia ja ”perustettava tarvittaessa erityinen viestintäkanava pieniä tarjoajia ja käyttäjiä ja muita innovoijia varten tämän asetuksen täytäntöönpanoa koskevan ohjeistuksen antamiseksi ja kysymyksiin vastaamiseksi”. Saman artiklan 3 kohdan mukaan pienyrityksiltä peritään myös alempia maksuja asetuksen mukaisessa arvioinnissa, jossa tarkistetaan täyttävätkö ne tekoälyä koskevat velvoitteensa, eli niin kutsutussa vaatimustenmukaisuuden arvioinnissa.

Lisäksi eurooppalaiset lainsäätäjät ovat päättäneet tukea tekoälyn kehittäjiä kaavailemalla uusien innovaatioiden testiympäristöjä (sandbox), joihin pienillä yrityksillä ja startupeilla on ensisijainen pääsy. Niihin osallistuminen on näille myös maksutonta.

Erityisasiantuntija Lasse Laitinen korostaa, että asetuksessa tekoälyjärjestelmien tarjoajien velvollisuudet, mukaan lukien dokumentaatiovelvollisuudet, ovat laajemmat kuin tekoälyjärjestelmien käyttöönottajien velvollisuudet. “Pk-yritykset ovat huomattavasti useammin käyttöönottajia kuin tarjoajia, kun taas tarjoajien joukossa on hyvinkin suuria tekoälyratkaisuja tarjoavia yrityksiä”, hän toteaa.

Lisäksi on olennaista, että yksityiskohtaiset dokumentaatiovelvoitteet kohdistuvat vain suuririskisiin tekoälysovelluksiin. Suurin osa käyttämistämme tekoälysovelluksista, kuten peleistä ja roskapostisuodattimista, luokitellaan EU:n digitaalisessa strategiassa vähäriskisiksi tai riskeiltään olemattomiksi. Niihin ei kohdistu tekoälyasetuksessa samanlaisia dokumentaatiovelvoitteita. Artiklan 95 mukaan niiden kehittäjiä tulee kannustaa käytännesäännöillä esimerkiksi lisäämään ymmärrystä tekoälyn toiminnasta ja huolehtimaan, että palvelut huomioivat erilaiset käyttäjät.

Lisäksi EU:n strategiassa luokitellaan riskeiltään rajoitetuksi esimerkiksi tekoälyllä tuotettu teksti tai kuva ja jopa tekoälyn luomat syväväärennökset (deepfakes) eli epäautenttiset tai manipuloidut kuvat, ääniraidat tai videot, jotka kuvaavat todellisia ihmisiä tai paikkoja. Asetuksen 50 artiklan mukaan niiden läpinäkyvyys tulee varmistaa merkitsemällä mukaan tekoälyn osuus työstä koneluettavassa muodossa ja lisäämällä julkaisuun tieto siitä, että ääni, kuva tai video on tuotettu tekoälyn avulla. Tällä on tarkoitus taata esimerkiksi taiteellisen vapauden säilyminen.

Asetus määrittelee suuririskiset tekoälysovellukset niihin liittyvien yhteiskunnallisten tai ympäristöön kohdistuvien riskien perusteella. Asetuksen 16 artiklan mukaan näiden kehittäjien on laadittava laadunhallintajärjestelmä, sovelluksen tekninen dokumentaatio, säilytettävä sovelluksen lokitiedot tarkastusta tai tutkimusta varten, käytävä läpi vaatimustenmukaisuuden arviointimenettely ja noudatettava viranomaisten määräämiä rekisteröintivelvollisuuksia. Suuririskiset sovellukset kohdistuvat seuraaviin aloihin tai toimiin:

  1. Luonnollisten henkilöiden biometrinen tunnistaminen ja luokittelu.
  2. Kriittisen infrastruktuurin hallinta ja toiminta.
  3. Yleissivistävässä ja ammatillisessa koulutuksessa pääsykokeiden järjestäminen ja oppilaiden arviointi.
  4. Työelämässä työntekijöiden rekrytointi ja valinta, suoritusten seuranta ja uralla eteneminen.
  5. Olennaisten yksityisten ja julkisten palvelujen etujen saatavuus sekä käyttö. Tähän ryhmään kuuluvat esimerkiksi luottokelpoisuuden arviointi sekä pelastus- ja hälytysjärjestelmien tärkeysjärjestyksen määrittely palonsammutuksessa ja sairaanhoidossa.
  6. Lainvalvonnassa ihmisten riskiarviointi rikoksentekijöinä sekä rikoksen uhriin kohdistuvan riskin arviointi; valheenpaljastus ja emotionaalisen tilan havaitseminen; syväväärennösten havaitseminen; rikostutkinnan todistusaineiston arviointi ja rikosoikeudelliset menettelyt; luonnollisten henkilöiden profilointi.
  7. Muuttoliikkeiden hallinnassa ja rajavalvonnassa valheenpaljastus ja emotionaalisen tilan havaitseminen; turvallisuusriskin ja terveysriskin arviointi; matkustusasiakirjojen aitouden tarkistaminen; turvapaikka-, viisumi- ja oleskelulupahakemusten käsittely.
  8. Oikeudenhoidossa ja demokraattisissa prosesseissa esimerkiksi oikeusviranomaisten tukeminen tosiseikkojen tulkitsemisessa sekä lainsäädännön soveltaminen.

Suuririskisten tekoälyjärjestelmien yläpuolella EU:n määrittelemässä hierarkiassa ovat vielä sovellukset, jotka vaarantavat selvästi ihmisten turvallisuuden tai oikeudet. Ne ovat kiellettyjen listalla. Tällaisiin luokitellaan esimerkiksi kansalaisten pisteyttäminen sosiaalisen toiminnan perusteella Kiinan tavoin sekä lelut, jotka kannustavat äänikomennoilla vaaralliseen käytökseen.

Kommentissaan Faktabaarille Aura Salla painotti, että Suomen tulee olla tarkka säädöksen implementoinnissa, mutta ei korjannut tai täsmentänyt väitettään. “Suomen on oltava tarkkana lainsäädännön implementoinnissa. Samoin kuin sääntelyhiekkalaatikko on otettava käyttöön Suomessa mahdollisimman ’mahdollistavana’ ja varmistaen, että innovaatioita ei sanktioida automaattisesti vaan kehitystä seurataan pitkin matkaa”, Salla arvioi.

Tekoälysääntelystä käydyssä keskustelussa on nostettu esiin, että turvallisuusnäkökulmasta on oikein, että pieniä yrityksiä säännellään samalla tavoin kuin suuria, mikäli niiden luomalla tekoälyllä on samanlaisia vaikutuksia. “Jos oletetaan, että kolmen hengen tekoälyfirma tuottaisi vaikutuksiltaan samanlaista tekoälyä kuin Microsoft, olisi hiukan pelottavaa, että tätä kolmen hengen tuotetta ei säänneltäisi samalla tavalla”, kirjoitti yksityisyyden ja datan suojeluun erikoistuneen Privacy Designer -yrityksen perustaja Heikki Tolvanen Linkedin-palvelussa Aura Sallan A-Studiossa esittämiin kommentteihin viitaten.

Myöhemmin Tolvanen jatkoi toisessa Linkedin-kirjoituksessaan, että pienen yrityksen kehittämän tekoälyn kielteiset vaikutukset voivat olla tietoturvanäkökulmasta jopa suuremmat kuin suuryrityksen, joka panostaa tietoturvaan. “Turvallisuuden näkökulmasta on ihan toivottavaa, että lentokoneen turvallisuuskomponentin tai ydinvoimalan kehittäjää koskee samat velvoitteet riippumatta kehittäjän työntekijämäärästä”, hän havainnollisti. ■

Pääkuva: Ruuttukaappaus artificialintelligenceact.eu-sivustolta.

Oletko törmännyt väitteeseen, jota Faktabaarin olisi syytä tarkastella? Lähetä vinkki lomakkeella.

Tämä julkaisu on osa European Media and Information Fundin (EMIF) rahoittamaa Faktabaarin faktantarkistushanketta.

toimitus@faktabaari.fi

Evästeet

Käytämme sivustollamme yksityisyyden suojaavaa analytiikkaa palveluidemme parantamiseksi.

Lue lisää tietosuoja käytännöistämme täältä.