Euroopan tietosuojaneuvosto (EDPB) on 17.12.2024 julkaissut lausunnon tekoälymallien kehittämisen ja käyttämisen yhteydessä tapahtuvasta henkilötietojen käsittelystä (Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models). Lausunnon taustalla oli Irlannin valvontaviranomaisen pyyntö lausunnosta tietosuoja-asetuksen (GDPR) suhteesta tekoälymalleihin ja henkilötietojen käsittelyyn. Irlannin valvontaviranomaisen pyynnössä keskityttiin erityisesti tekoälymallien koulutukseen, päivityksiin, kehitykseen ja käyttöön silloin, kun henkilötiedot muodostavat osan käytettävää tietokokonaisuutta. Lausunnossaan tietosuojaneuvosto vastaa esitettyihin kysymyksiin, jaotellen vastauksen kolmeen osa-alueeseen kysymysten pohjalta:
- Milloin ja miten tekoälymallia voidaan pitää ”anonyyminä”?
- Miten rekisterinpitäjät voivat osoittaa oikeutetun edun asianmukaisuuden oikeusperustana kehitys- ja käyttöönottovaiheessa?
- Voiko henkilötietojen lainvastaisella käsittelyllä kehittämisvaiheessa olla vaikutuksia tekoälymallin myöhemmän käsittelyn tai toiminnan lainmukaisuuteen?
Lausunnossa korostetaan kansallisten valvontaviranomaisten vastuuta tietosuoja-asetuksen soveltamisen valvonnassa sekä todetaan, että valvontaviranomaisilla on toimivalta tutkia tekoälymalleja ja ottaa kantaa niiden toimintaan tapauskohtaisesti. Lausunnon tarkoituksena on toimia raameina kansallisten valvontaviranomaisten valvontatyössä. Lausunnossa otetaan kantaa erityisesti niihin kysymyksiin, jotka Irlannin tietosuojaviranomainen on lausuntopyynnössään esittänyt, ja näin ollen käsittelyn ulkopuolelle jää joitakin sellaisia olennaisia teemoja, jotka tulee huomioida, kun tekoälymalleja kehitetään ja niitä otetaan käyttöön. Lausunnon ulkopuolelle jäävät esimerkiksi erityiset henkilötietoryhmät ja automatisoitu päätöksenteko.
EU:n tekoälyasetuksessa ei ole määritelty erikseen sitä, mitä tekoälymalleilla tarkoitetaan. Malleihin ainoastaan viitataan olennaisena osana tekoälyjärjestelmiä, mutta niitä ei pidetä itsessään tekoälyjärjestelminä. Tekoälymalleja voidaan määritellä eri tavoin, mutta lausunnossa viitataan ainoastaan sellaisiin tekoälymalleihin, jotka ovat syntyneet kouluttamalla malleja henkilötietoja apuna käyttäen.
Milloin tekoälymallia voidaan pitää anonyyminä?
Lausunnossa otetaan kantaa siihen, millä edellytyksin tekoälymallia voidaan pitää anonyyminä. Kansallisten valvontaviranomaisten tulisi tapauskohtaisesti arvioida, täyttyvätkö anonyymin tekoälymallin edellytykset. Edellytykset täyttyvät, mikäli on erittäin epätodennäköistä tunnistaa ne henkilöt, joiden tietoja mallin luomisessa on käytetty, ja on epätodennäköistä, että kyseisen mallin avulla voidaan poimia tällaisia henkilötietoja. On tärkeää määrittää, onko kyseessä anonyymi tekoälymalli vai ei, sillä tietosuoja-asetuksen 26 resitaalin mukaan tietosuojaperiaatteita ei sovelleta anonyymiin tietoon eli sellaisiin tietoihin, jotka eivät suoraan liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Toisin sanoen tietosuoja-asetuksen säännökset tulevat sovellettavaksi, mikäli kyseessä ei ole anonyymi tekoälymalli. Tästä näkökulmasta selviä ovat sellaiset tilanteet, joissa tekoälymallien toiminnan tarkoituksena on kouluttamiseen käytettyjen henkilötietojen hyödyntäminen. Tällaisia ovat esimerkiksi sellaiset tekoälymallit, joiden tarkoituksena on äänitallenteita hyödyntäen jäljitellä henkilön ääntä. Tällöin tekoälymalli sisältää sellaisia henkilötietoja, jotka on mahdollista yhdistää tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, ja mallin käyttö on silloin henkilötietojen käsittelyä, eivätkä tällaiset mallit ole anonyymejä.
Tällaisten tekoälymallien lisäksi on kuitenkin paljon sellaisia malleja, joiden tarkoitus ei ole tuottaa tunnistettavissa oleviin henkilötietoihin liittyvää tietoa, mutta joiden taustatiedoissa voi silti olla jäämiä kouluttamiseen käytetyistä henkilötiedoista, jotka voivat olla saatavissa vielä valmiista tekoälymallistakin. Mikäli tietoja on mahdollista tällä tavalla saada, ei tekoälymallia voida pitää anonyyminä. Koska henkilötiedoilla koulutettuihin tekoälymalleihin liittyy mahdollisuus siitä, että myös valmiissa mallissa on tunnistettavia henkilötietoja, ei kaikkia tällaisia tekoälymalleja voida neuvoston mukaan pitää aina anonyymeinä, vaan arviointi tulisi tehdä tapauskohtaisesti. Lausunnossaan tietosuojaneuvosto määrittelee kriteerejä, joiden avulla tätä arviointia voidaan tehdä.
Kysymys siitä, voidaanko tekoälymallia pitää anonyyminä, tulee arvioida tapauskohtaisesti. Tätä arviointia varten valvontaviranomaisen tulisi tarkistaa ainakin se, että mallista ei ole mahdollista saada tunnistettavia henkilötietoja, ja että mallin tuotokset eivät liity mitenkään niihin luonnollisiin henkilöihin, joiden henkilötietoja käytettiin mallin kouluttamisessa. Näiden edellytysten täyttymisen arvioinnissa valvontaviranomaisten tulee lausunnon mukaan pitää mielessä se, että mallien anonyymiyden todennäköisyyden arviointi edellyttää perusteellista tutkintaa. Tässä arvioinnissa tulisi ottaa huomioon kaikki kohtuullisesti keinot, joita rekisterinpitäjä tai muu henkilö saattaa käyttää yksilöiden tunnistamiseen. Tällä tarkoitetaan sitä, miten henkilötietoja, joita voidaan liittää tunnistettuun tai tunnistettavissa olevaan henkilöön, saattaa käydä ilmi tekoälymallista, ottaen huomioon myös tahattoman tietojen uudelleenkäytön tai luovuttamisen.
Näiden lisäksi valvontaviranomaisten tulee varmistaa, että rekisterinpitäjän toteuttamat toimenpiteet, joilla varmistetaan ja todistetaan, että tekoälymalli on anonyymi, ovat asianmukaisia ja tehokkaita. Tässä arvioitavia seikkoja ovat esimerkiksi kehitysvaiheessa tietolähteiden valinta, tietojen valmistelu, koulutusmenetelmien valinnat sekä tekoälymallin tuotoksia koskevat toimenpiteet. Lisäksi valvontaviranomaisten tulisi arvioida itse tekoälymallin kestävyyttä, rekisterinpitäjän mallille suorittamia testejä ja mallin hyökkäystensietokykyä sekä riskinarvioinnin dokumentaatiota.
Koska valvontaviranomaiset arvioivat tekoälymallin anonyymiyden rekisterinpitäjän toimittaman aineiston perusteella, asettaa se tekoälymallien käyttäjille ja rekisterinpitäjille laajan velvollisuuden varmistaa toimintansa vaatimustenmukaisuus, mikä on pystyttävä tarvittaessa osoittamaan erilaisin dokumentein. Tekoälymallin anonyymiys tietosuoja-asetuksen kannalta ei siis ole yksiselitteinen, ja kansalliset valvontaviranomaiset valvovat tilannetta tapauskohtaisesti, ottaen huomioon tietosuojaneuvoston ohjeet.
Oikeutettu etu käsittelyperusteena
Lausunnossa käsiteltävä toinen aihealue liittyy oikeutettuun etuun perustuvaan henkilötietojen käsittelyyn tekoälymallien kehittämisessä ja käytössä. Irlannin valvontaviranomaisen kysymys liittyi siihen, miten rekisterinpitäjät voivat osoittaa oikeutetun edun olemassaolon henkilötietojen käsittelyperusteena, ja miten voidaan osoittaa, että oikeutettu etu on asianmukainen henkilötietojen käsittelyperuste. Myös tekoälymallien kohdalla oikeutetun edun olemassaoloa arvioidaan kolmen kohdan testillä. Valvontaviranomaisen tulee arvioida, onko käsillä jokin oikeutettu etu, onko henkilötietojen käsitteleminen tarpeen tämän oikeutetun edun kannalta, ja onko olemassa jokin rekisteröidyn etu tai perusoikeus, joka syrjäyttäisi rekisterinpitäjän oikeutetun edun.
Ensimmäisenä arvioitavana on siis se, onko käsillä oikeutettu etu, jonka perusteella henkilötietoja voidaan käsitellä. EDPB:n aikaisempien ohjeiden mukaisesti edun tulee olla laillinen, selkeästi ja täsmällisesti ilmaistu sekä todellinen ja ajankohtainen. Tekoälymallien kohdalla esimerkki tällaisesta voisi olla esimerkiksi keskustelumalli, jossa henkilötietojen käsittelyn perusteena on tekoälymallin kehittäminen, jotta se pystyy auttamaan käyttäjiä paremmin.
Toiseksi arvioitavaksi tulee se, onko henkilötietojen käsittely tarpeen käsillä olevan oikeutetun edun kannalta. Euroopan unionin tuomioistuimen ratkaisukäytännön ja EDPB:n aikaisempien ohjeistusten mukaisesti käsittelyn tarpeellisuutta tulee arvioida rekisteröityjen perusoikeuksien valossa, yhdessä tietojen minimoinnin periaatteen kanssa. Arvioinnissa on huomioitava, mahdollistaako henkilötietojen käsittely rekisterinpitäjän tavoitteen saavuttamisen, ja onko olemassa jotakin vähemmän tungettelevaa tapaa edistää tavoitetta. Valvontaviranomaisen tulee huomioida koko henkilötietojen käsittelyn konteksti, ja arvioinnissa tulisi kiinnittää erityisesti huomiota käsiteltävien henkilötietojen määrään sekä käsittelyn kohtuullisuuteen ja suhteellisuuteen.
Kolmantena kohtana testissä on niin kutsuttu tasapainotesti, millä tarkoitetaan rekisteröityjen ja rekisterinpitäjän vastakkaisten oikeuksien ja etujen tunnistamista ja niiden tasapainottamista. Tarkoituksena on arvioida sitä, syrjäyttävätkö rekisteröidyn oikeudet rekisterinpitäjän oikeutetun edun. Lausunnossaan tietosuojaneuvosto kiinnittää huomiota sellaisiin elementteihin, joita voidaan tasapainottelussa ottaa huomioon. Tasapainotestissä on otettava huomioon ne rekisteröidyn edut ja perusoikeudet, joihin henkilötietojen käsittelyllä voi olla vaikutusta, ja tasapainottelussa on otettava huomioon se, miten henkilötietojen käsittely vaikuttaa rekisteröityihin. Vaikutukset voivat riippua käsiteltävien tietojen laadusta, käsittelyn kontekstista ja mahdollisista tulevaisuuden seurauksista. Tasapainotestissä arvioitavaksi tulevat myös rekisteröidyn kohtuulliset odotukset henkilötietojensa käsittelystä. Kohtuullisiin odotuksiin voi vaikuttaa esimerkiksi tekoälymallin monimutkaisuus, sillä vaikeaselkoisemman mallin kohdalla rekisteröidyn voi olla vaikeampi ymmärtää, mihin hänen henkilötietojaan käytetään. Arvioinnissa henkilötietojen käsittelyä tulee katsoa kokonaisuutena, ja tässä vaikuttavia seikkoja ovat muun muassa tiedot, joita rekisteröitäville on annettu, se, mistä käsiteltävät tiedot ovat peräisin, miten tietoja käytetään ja mihin tekoälymallin ominaisuuksiin sekä kohteiden tietoisuus siitä, että heidän henkilötietojaan tullaan käsittelemään.
Mikäli tasapainotestin tuloksena päädytään siihen, että rekisteröitävien edut syrjäyttävät rekisterinpitäjän oikeutetun edun, on rekisterinpitäjän mahdollista ottaa käyttöön erilaisia lieventäviä toimia, joiden avulla käsittelyn vaikutukset rekisteröidyille pienenisivät. Näitä toimia ei tule sekoittaa niihin toimiin, joita rekisterinpitäjän on lain nojalla tehtävä, jotta se toimisi tietosuoja-asetuksen säännösten mukaisesti. Valittavat keinot tulee sovittaa käsillä olevaan tilanteeseen ja tekoälymallin erityispiirteisiin, eivätkä samat keinot toimi kaikissa tilanteissa. Lieventävät keinot voivat olla esimerkiksi teknisiä suojakeinoja, käsittelyn läpinäkyvyyttä edistäviä keinoja tai keinoja, joiden avulla yksilöt voivat helpommin käyttää heille kuuluvia oikeuksia. Valvova viranomainen arvioi tällaisten keinojen sopivuutta ja tehokkuutta.
Lainvastaisen henkilötietojen käsittelyn vaikutukset
Viimeinen eli kolmas kysymys liittyy siihen, millaisia vaikutuksia mahdollisella tekoälymallin kehittämisvaiheen lainvastaisella henkilötietojen käsittelyllä on myöhempään tekoälymallin käytön lainmukaisuuteen. Tietosuojaloukkauksia havaitessaan kansalliset valvontaviranomaiset voivat määrätä rekisterinpitäjille erilaisia korjaavia toimenpiteitä, kuten asettaa väliaikaisen tai pysyvän rajoituksen henkilötietojen käsittelylle tai määrätä hallinnollisen sakon. Näitä määrätessään valvontaviranomaisten on otettava huomioon jokaisen tilanteen yksityiskohdat ja varmistuttava siitä, että määrätyt toimet ovat asianmukaisia, tarpeellisia ja oikeasuhteisia.
Lausunnossa esitellään kolme erilaista esimerkkitilannetta, joiden avulla vastataan Irlannin viranomaisen viimeiseen kysymykseen.
Ensimmäisessä esimerkkitilanteessa rekisterinpitäjä käsittelee henkilötietoja laittomasti tekoälymallin käsittelyvaiheessa, ja myöhemmin sama rekisterinpitäjä käsittelee näitä henkilötietoja tekoälymallin käytön yhteydessä. Tällaisissa tilanteissa valvontaviranomaisten tulee arvioida, käsitelläänkö henkilötietoja kehitys- ja käyttövaiheissa eri tarkoituksia varten, jolloin kyse on kahdesta erillisestä ja erikseen arvioitavasta henkilötietojen käsittelytilanteesta. Lisäksi on arvioitava, missä määrin asianmukaisen oikeusperusteen puuttuminen kehitysvaiheessa vaikuttaa myöhemmän käsittelyn laillisuuteen. Tällaisissa tilanteissa kyse on siis aina tapauskohtaisesta harkinnasta, jossa on otettava kunkin tilanteen erityispiirteet huomioon.
Toinen esimerkkitapaus vastaa muilta osin ensimmäistä, mutta siinä henkilötietojen myöhempi tekoälymallin käyttövaiheen käsittelijä on eri kuin ensimmäinen. Tällaisten tilanteiden arvioinnissa valvontaviranomaisten tulisi ensinnäkin huomioida se, että jokainen rekisterinpitäjä vastaa tekemänsä käsittelyn lainmukaisuudesta, ja siksi valvontaviranomaisen tulee arvioida sekä tekoälymallin kehittäjän käsittelyn lainmukaisuutta, että sen rekisterinpitäjän, jolle tekoälymalli on luovutettu, ja joka sen kautta käsittelee henkilötietoja. Lisäksi tapauskohtaisesti tulisi arvioida muun muassa sitä, mikä on kehittämisvaiheessa tapahtuneen laittoman henkilötietojen käsittelyn vaikutus myöhempään käsittelyyn. Tässä valvontaviranomaisen arvioinnissa vaikuttavana tekijänä on muun muassa rekisterinpitäjän tietosuoja-asetuksen 5 artiklan mukaisen osoitusvelvollisuuden toteutuminen ja se, onko rekisterinpitäjä arvioinut riittävästi sitä, mistä sen käsittelemät henkilötiedot ovat peräisin. Arvioinnilta edellytettävä laajuus ja yksityiskohtaisuus vaihtelee tapauskohtaisesta ja voi riippua esimerkiksi siitä, minkälaisia riskejä henkilötietojen käsittelystä tekoälymallin kehitysvaiheessa on voinut aiheutua rekisteröidyille. Tässä kohtaa on syytä huomata, että EDPB:n mukaan EU:n tekoälyasetuksen edellyttämä suuren riskin tekoälyjärjestelmien vaatimustenmukaisuusvakuutus ei itsessään ole riittävä tietosuoja-asetuksen edellyttämä selvitys, mutta kansalliset viranomaiset voivat ottaa sen olemassaolon huomioon. Tekoälymallin kehitysvaiheessa tapahtunut laiton henkilötietojen käsittely tulee ottaa huomioon erityisesti arvioitaessa rekisterinpitäjän oikeutetun edun asianmukaisuutta käsittelyperusteena.
Kolmannessa esimerkissä on kyse tilanteesta, jossa tekoälymallin kehittämisvaiheessa henkilötietoja on saatettu käsitellä laittomasti, mutta henkilötietojen rekisterinpitäjä on huolehtinut henkilötietojen anonymisoinnista, ennen kuin sama tai toinen rekisterinpitäjä käsittelee henkilötietoja tekoälymallin käytön yhteydessä. Jos voidaan osoittaa, että myöhempään tekoälymallin käyttöön ei liity enää henkilötietojen käsittelyä, EDPB katsoo, että tietosuoja-asetus ei enää soveltuisi, eikä alkuvaiheen laittomalla henkilötietojen käsittelyllä siten olisi myöskään vaikutusta mallin myöhempään käyttöön. Kuitenkin, mikäli rekisterinpitäjä myöhemmin käsittelee käyttövaiheessa kerättyjä henkilötietoja, tietosuoja-asetus tulisi taas sovellettavaksi, mutta kehitysvaiheen laiton henkilötietojen käsittely ei kuitenkaan vaikuttaisi tähän uuteen käsittelyyn.
Artikkeli on tekoälyn vastuulliseen käyttöön keskittyvän artikkelisarjamme kuudes osa.
Sanni Saru
Kirjoittaja:
Lakimiesharjoittelija Sanni Saru avustaa HH Partnersilla juristejamme, tehtävänään erityisesti oikeudellinen tiedonhaku ja analysointi. Maisterivaiheen opintoja suorittava Sanni on kiinnostunut laaja-alaisesti erilaisista immateriaalioikeuteen ja tietosuojaan liittyvistä kysymyksistä.
