Tekoälyasetus – tekoälyjärjestelmien ja yleiskäyttöisten tekoälymallien turvallisuussäädös
EU:n tekoälyasetus vaikuttaa tekoälyjärjestelmien ja yleiskäyttöisten tekoälymallien kehittämiseen ja käyttöön EU-alueella. Asetusta astui voimaan elokuussa 2024, ja sitä ryhdytään soveltamaan vaiheittain helmikuusta 2025 alkaen.
Säädöksen tavoitteena on suojata terveyttä, turvallisuutta ja perusoikeuksia tekoälyjärjestelmien ja yleiskäyttöisten mallien käytöstä aiheutuvilta riskeiltä sekä lisätä yleistä luottamusta tekoälyyn.
Tekoälyjärjestelmät ja yleiskäyttöiset mallit jaetaan riskiperusteisesti eri luokkiin, ja niihin liittyvät vaatimukset vaihtelevat riskiluokan mukaan. Teknologiateollisuuden yritysten on tärkeää tietää kehittämiensä ja käyttämiensä järjestelmien ja mallien riskiluokka.
Tekoälyjärjestelmän ja yleiskäyttöisen tekoälymallin määritelmät
Tekoälyjärjestelmä
Konepohjainen järjestelmä, joka on suunniteltu toimimaan vaihtelevilla autonomian tasoilla ja voi mukautua käyttöönoton jälkeen. Päättelee vastaanottamastaan syötteestä, kuinka luodaan tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa fyysisiin tai virtuaalisiin ympäristöihin.
- Yksinkertaiset ohjelmistot ja ihmisen asettamia sääntöjä suoraviivaisesti seuraavat päätöksentekojärjestelmät eivät tule asetuksen piiriin.
Yleiskäyttöinen tekoälymalli
Tekoälymalli, joka on tyypillisesti koulutettu suurella määrällä dataa, joka on hyvin yleisluonteinen ja joka kykenee suorittamaan monenlaisia erillisiä tehtäviä. Yleiskäyttöiset mallit, kuten suuret kielimallit, ovat laaja-alaisesti sovellettavissa erilaisiin järjestelmiin tai sovelluksiin.
Keskeiset toimijat
Tarjoaja
- Tarjoaja kehittää tai kehityttää tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin ja saattaa sen EU-markkinoille tai ottaa sen käyttöön omalla nimellä tai tavaramerkillä, joko maksua vastaan tai ilmaiseksi.
- Riippumaton sijoittautumispaikasta
- Yritys tai muu oikeushenkilö, viranomainen, virasto, luonnollinen henkilö
Käyttöönottaja
- Käyttöönottaja käyttää tekoälyjärjestelmää omassa liiketoiminnassaan tai palveluissaan.
- Sijoittautunut EU-alueelle tai käytetyn järjestelmän tuotos kohdistuu EU-alueelle.
- Yritys tai muu oikeushenkilö, viranomainen, virasto, luonnollinen henkilö
- Luonnollisen henkilön henkilökohtainen, muu kuin ammattitoiminnassa tapahtuva käyttö ei lukeudu soveltamisalaan.
Asetuksen piiriin eivät tule:
- Tieteelliseen tutkimus- ja kehityskäyttöön tarkoitetut tekoälyjärjestelmät ja -mallit.
- Tutkimus- ja kehitysvaiheessa olevat järjestelmät ja mallit, joita ei ole vielä saatettu markkinoille tai otettu käyttöön. Tämä poikkeus ei kata järjestelmän tai mallin testausta tosielämän olosuhteissa.
- Yksinomaan sotilaalliseen, puolustukselliseen tai kansallisen turvallisuuden käyttöön tarkoitetut järjestelmät.
- Luonnolliset henkilöt, jotka käyttävät järjestelmää pelkästään henkilökohtaisessa muussa kuin ammattitoiminnassa.
HUOM! Maksuttomat, avoimen lähdekoodin järjestelmät ja mallit tulevat pääosin säädöksen piiriin.
Tekoälyjärjestelmien riskiluokittelu
- Kestämättömiä riskejä sisältävien järjestelmien käyttö kielletään. Esimerkkinä voidaan mainita sosiaalinen pisteytys. Joidenkin kiellettyjen järjestelmien käyttö on sallittua tietyissä tarkkaan rajatuissa tapauksissa.
- Suuren riskin järjestelmien käyttö on sallittua, kunhan järjestelmä täyttää sille asetetut vaatimukset. Suuren riskin piiri kattaa tuotteita ja niiden turvakomponentteja, jotka ovat EU:n tuoteturvallisuuslainsäädännön piirissä, kuten koneet. Lisäksi suuren riskin piiriin luetaan muita määriteltyjä käyttötapauksia, kuten rekrytointi ja kriittisen digitaalisen infrastruktuurin hallinnointi. Suuren riskin vaatimuksista on mahdollisuus poiketa tietyissä määritellyissä tapauksissa.
- Rajoittuneita riskejä käsittävien generatiivisten ja muiden järjestelmien tarjoamiselle ja käytölle asetetaan tiettyjä avoimuusvaatimuksia. Ihmisen on esimerkiksi saatava tieto siitä, että hän kommunikoi tekoälyjärjestelmän kanssa.
- Vähäisen riskin järjestelmille ei aseteta vaatimuksia. Suurin osa järjestelmistä, mukaan lukien valtaosa teollisuustuotannon käyttötapauksista, lukeutuu tähän luokkaan.
Suuren riskin tekoälyjärjestelmien määritelmä
Suuren riskin tekoälyjärjestelmät ovat järjestelmiä, jotka vaikuttavat merkittävästi ihmisten terveyteen, turvallisuuteen tai perusoikeuksiin. Suuririskisiä tekoälyjärjestelmiä ovat:
- Tekoälyjärjestelmät, jotka ovat tuotteita tai niiden turvakomponentteja, jotka kuuluvat EU:n tuoteturvallisuuslainsäädännön piiriin (esim. koneet, lääkinnälliset laitteet) ja joille on tuon sääntelyn nojalla tehtävä kolmannen osapuolen vaatimustenmukaisuuden arviointi.
- Tekoälyjärjestelmät, jotka on tarkoitettu toimimaan seuraavilla kriittisillä alueilla:
- Biometrinen etätunnistaminen ja luokittelu sekä tunteiden tunnistaminen
- Kriittinen infrastruktuuri
- Yleissivistävä ja ammatillinen koulutus
- Työllistäminen, henkilöstöhallinto ja itsenäisen ammatinharjoittamisen mahdollistaminen
- Välttämättömien yksityisten palvelujen ja välttämättömien julkisten palvelujen ja etuuksien saatavuus ja käyttö
- Lainvalvonta
- Muuttoliikkeen hallinta, turvapaikka-asiat ja rajavalvonta
- Oikeudenhoito ja demokraattiset prosessit
Suuririskisen tekoälyjärjestelmän tarjoajan on varmistettava, että järjestelmä täyttää vaatimukset, joita on asetettu seuraaville osa-alueille:
- Riskienhallintajärjestelmä
- Data ja datanhallinta
- Tekninen dokumentaatio
- Tietojen säilyttäminen
- Avoimuus ja tietojen antaminen käyttöönottajille
- Ihmisen suorittama valvonta
- Tarkkuus, vakaus ja kyberturvallisuus
Ennen kuin suuririskinen tekoälyjärjestelmä saatetaan EU:n markkinoille tai muulla tavoin otetaan käyttöön, järjestelmän tarjoajan on tehtävä sille vaatimustenmukaisuuden arviointi.
Arviointi on toistettava, jos järjestelmää tai sen tarkoitusta muutetaan olennaisesti. Joissain käyttötapauksissa arviointi on toteutettava kolmannen osapuolen eli arviointilaitoksen toimesta.
Yleiskäyttöisten tekoälymallien riskiluokittelu ja vaatimukset
Yleiskäyttöiset tekoälymallit, kuten suuret kielimallit, kuuluvat erityisen sääntelyn piiriin, koska ne voivat soveltua monenlaisiin käyttötarkoituksiin ja siten aiheuttaa riskejä. Yleiskäyttöiset tekoälymallit luokitellaan asetuksessa kahteen riskitasoon:
- Tavalliset yleiskäyttöiset mallit: Näitä koskevat perustason vaatimukset, joita ovat muun muassa mallin dokumentaatio ja arviointi, tekoälyjärjestelmäänsä integroivien jatkokehittäjien informoiminen mallin ominaisuuksista sekä riittävän yksityiskohtaisen tiivistelmän laatiminen mallin koulutukseen käytetyistä sisällöistä.
- Systeemisen riskin mallit: Mallit, joiden koulutukseen on käytetty vähintään 10^25 FLOP laskentatehoa tai jotka muutoin komissio katsoo systeemisen riskin malleiksi (esim. käyttäjämäärän, autonomisuuden tai parametrien perusteella). Näiden mallien on täytettävä tietyt lisävaatimukset, mukaan lukien mallin vastatestaus ja systeemisten riskien arviointi ja lieventäminen.
Tekoälyasetuksen rikkominen ja sakot
- Kiellettyjen käytäntöjen rikkominen: Sakko enintään 35 miljoonaa euroa tai 7 % liikevaihdosta.
- Yleiskäyttöisten tekoälymallien ja asetuksen muiden vaatimusten rikkominen: Sakko enintään 15 miljoonaa euroa tai 3 % liikevaihdosta.
- Virheellisten tietojen toimittaminen viranomaisille: Sakko enintään 7,5 miljoonaa euroa tai 1,5 % liikevaihdosta.
Muistilista teknologiateollisuuden yrityksille
- Tekoälyjärjestelmiä kehittävien ja markkinoille saattavien yritysten on syytä varmistaa yhdessä asiakkaansa kanssa, mikä on järjestelmän käyttötapaus ja siihen perustuva riskiluokitus, ja varmistettava tarvittaessa järjestelmän vaatimuksenmukaisuus.
- Useimmat valmistavan teollisuuden tuotantoprosesseihin liittyvät tekoälyjärjestelmät (esim. suunnittelutyökalut, prosessioptimointi, ennakoiva huolto tai laadunvarmistus) ovat tekoälyasetuksen näkökulmasta vähäriskisiä, eikä niihin sovelleta suuririskisten järjestelmien vaatimuksia. Tästä huolimatta yrityksen on syytä varmistaa käyttämiensä järjestelmien riskiluokka ja vaatimustenmukaisuus yhdessä järjestelmätoimittajansa kanssa.
- Yritysten käyttämät henkilöstöhallinnon tekoälyjärjestelmät saattavat olla käyttötapauksiltaan suuririskisiä, jolloin yrityksen on tärkeätä varmistua siitä, että käytetty järjestelmä on vaatimustenmukainen.
- Mikäli valmistavan teollisuuden yritys hyödyntää tekoälyjärjestelmää tuoteturvasäännellyn tuotteensa turvakomponenttina, saatetaan järjestelmä luokitella tekoälyasetuksen suuririskiseksi, jolloin sen on oltava vaatimustenmukainen.
- Yleiskäyttöisiin tekoälymalleihin tekoälyjärjestelmänsä integroivien yritysten on syytä varmistaa mallitoimittajansa kanssa mallin riskiluokka ja vaatimustenmukaisuus.
- Mikäli yritys hienosäätää toisen toimijan markkinoille saattamaa yleiskäyttöistä tekoälymallia (esim. jatkokehittääkseen omalla nimellään varustetun yleiskäyttöisen mallinsa), tulee yrityksestä mallin tarjoaja, johon sovelletaan tekoälysäädöksen velvoitteita. Tässä tapauksessa velvoitteet rajautuvat kyseiseen muutokseen tai hienosäätöön esimerkiksi täydentämällä jo olemassa olevia teknisiä asiakirjoja muutoksia koskevilla tiedoilla.
Tekoälyasetuksen soveltamisaikataulu
8/2024
Asetus voimaan ja siirtymäaika alkaa
2/2025
Kielletyt käyttötapaukset
8/2025
Yleiskäyttöisten tekoälymallien vaatimukset
8/2026
Suuren riskin vaatimukset: listatut käyttötapaukset
+
Rajoittuneen riskin avoimuusvaatimukset
8/2027
Suuren riskin vaatimukset: EU:n harmonisoitujen tuoteturvasäädösten käyttötapaukset
Entries-työkalu asetuksen navigointiin
Hyödynnä selainpohjaista Entries-työkalua, joka on suunniteltu auttamaan yrityksiä ymmärtämään ja noudattamaan tekoälyasetusta. Sen avulla yritykset voivat navigoida säädöstä ja tuottaa personoidun koosteen heitä koskettavista säädöksen vaatimuksista. Työkalu on yritysten käytössä maksutta vuoden 2025 ajan.
Videoinfot
Lisätietoja
