Eurooppalainen lähestymistapa tekoälyyn ja tietosuojaan

Kuva: Christopher Burns / Unsplash

Kuva: Christopher Burns / Unsplash

Kansalliset tekoälystrategiat tukevat eurooppalaista tekoälystrategiaa, jonka tavoitteena on tehdä EU:sta maailman luokan tekoälykeskus. Viimeisen vuoden aikana kansallisissa tekoälystrategioissa ja -ohjeistuksissa on otettu etenevissä määrin huomioon erilaisia tietosuojanäkökohtia. Tämä käy ilmi Ecomlexin joulukuussa 2023 julkaisemasta tekoälyoppaasta (AI Regulatory Guidebook 2023), joka tarjoaa yleiskatsauksen 19 eurooppalaisen valtion kansallisiin lähestymistapoihin koskien tekoälyn ja tietosuojan suhdetta. Tässä artikkelissa nostamme esille keskeisimpiä tekoälyoppaassa esitettyjä havaintoja eri valtioiden julkaisemista ohjeistuksista.


Kansalliset tekoälystrategiat tekoälyasetuksen tukena

Vuosia valmisteilla olleen EU:n tekoälyasetuksen odotetaan tulevan voimaan tämän vuoden aikana. Tekoälyasetuksen tarkoituksena on luoda kattava ja tulevaisuuden vaatimukset huomioon ottava oikeudellinen kehys tekoälyn turvalliselle, vastuulliselle ja kestävälle kehittämiselle ja käyttöönotolle niin yksityisellä kuin julkisella sektorilla.

EU:n tekoälyasetus on osa eurooppalaista tekoälystrategiaa, jonka tavoitteena on tehdä EU:sta maailmanluokan tekoälykeskus yhteistyössä jäsenvaltioiden kanssa. Osana tätä tavoitetta jäsenvaltiot sitoutuivat vuonna 2018 laatimaan kansalliset tekoälystrategiat komission koordinoidun tekoälysuunnitelman täytäntöönpanon yhteydessä.

Kansalliset tekoälystrategiat rakentuvat neljän yhteisen tavoitteen ympärille, jotka vahvistettiin tekoälysuunnitelman uudelleentarkastelun yhteydessä vuonna 2021. Kansallisten strategioiden tavoitteena on 1) luoda edellytykset tekoälyn kehittämiselle ja käyttöönotolle EU:ssa ja jäsenvaltioissa 2) varmistaa, että tekoäly toimii ihmisten hyväksi 3) tehdä EU:sta paikka, jossa tekoälyn kehittämistä ja käyttöä koskeva huippuosaaminen kukoistaa sekä 4) edistää tekoälyn hyödyntämistä vaikutuksiltaan merkittävillä aloilla, kuten terveydenhuollossa, ilmasto- ja ympäristöasioissa, julkishallinnossa, lainvalvonnassa, liikenteessä, maataloudessa ja robotiikassa.

Vaikka kansallisten strategioiden pääpaino on tekoälyn kannalta merkittävissä aloissa, ovat useat valtiot suunnitelleet toimia myös merenkulkuun, sääennustukseen, taiteeseen ja kulttuuriin, biodiversiteettiin ja muotiin liittyen. Lisäksi useimmat valtiot tunnustavat vihreän siirtymän merkityksen osana EU:n teollisuusstrategiaa (2020) ja kiinnittävät erityistä huomiota tekoälyä ja kestävyyttä koskeviin näkökohtiin.

Kansalliset ohjeistukset koskien tekoälyn ja tietosuojan suhdetta

Tekoälyn kehittäminen edellyttää suuria, korkealaatuisia ja luotettavia data-aineistoja. Viimeisten vuosien aikana valtaosa valtioista on liittänyt kansallisen tekoälystrategiansa yhteyteen erillisen datastrategian, jonka tarkoituksena on mahdollistaa datan käyttö muun muassa tekoälyn ja erilaisten digitaalisten innovaatioiden kehittämiseen. Lisäksi suurin osa valtioista on suunnitellut kansallisten data-avaruuksien ja pilvipalveluiden perustamista, joilla mahdollistettaisiin datan turvallinen, luotettava ja reaaliaikainen jakaminen eri toimijoiden välillä. Datan jakamisen kääntöpuolena on kuitenkin yksilöiden yksityisyyden ja henkilötietojen suoja, joiden turvaaminen tulee ottaa huomioon erilaisten tekoälyteknologioiden kehityksessä ja käyttöönotossa.

Tietosuojaa koskevat näkökohdat on huomioitu jo useiden valtioiden kansallisissa tekoälystrategioissa ja -ohjeistuksissa. Tämä käy ilmi Ecomlexin joulukuussa 2023 julkaisemasta tekoälyoppaasta (AI Regulatory Guidebook 2023), joka tarjoaa yleiskatsauksen 19 eurooppalaisen valtion kansallisiin lähestymistapoihin koskien tekoälyn ja tietosuojan suhdetta.

Osa kansallisista ohjeistuksista on suunnattu suoraan tekoälysovelluksia kehittäville organisaatioille. Esimerkiksi Ranskan tietosuojaviranomainen julkaisi lokakuussa 2023 ohjeistuksen henkilötietoja sisältävän data-aineiston käytöstä tekoälyn koulutukseen. Ohjeistuksen tarkoituksena on tarjota tekoälyä kehittäville organisaatioille käytännön ohjeita henkilötietojen käsittelyperusteen, käsittelyn tarkoituksen ja vaikutustenarvioinnin tarpeellisuuden määrittämiseen liittyen. Henkilötietojen käsittelyperustaan on kiinnitetty huomiota myös Tanskan tietosuojaviranomaisen ohjeistuksessa, jossa tietosuojaviranomainen on korostanut, että rekisteröidyllä on oikeus saada tieto henkilötietojensa käytöstä tekoälysovellusten kehittämisessä. Sen sijaan Unkarin tekoälystrategiassa pyritään edistämään erilaisten anonymisointiteknologioiden kehitystä, joilla helpotettaisiin henkilötietoja sisältävän datan käyttöä tekoälyn kouluttamiseen.

Tarkentavia ohjeistuksia on julkaistu myös tekoälyn käyttöönottoon liittyen. Esimerkiksi Alankomaiden tietosuojaviranomainen julkaisi heinäkuussa 2023 raportin algoritmeja sisältävien sovellusten käyttöön liittyvistä riskeistä ja vaikutuksista yksilöihin ja yhteiskuntaan. Raportin mukaan organisaatioiden tulisi noudattaa erityistä varovaisuutta uusien sovellusten käyttöönotossa, kunnes riittävät riskienhallintatoimenpiteet on toteutettu sen varmistamiseksi, etteivät algoritmit loukkaa yksityisyyden ja henkilötietojen suojaa taikka johda syrjintään tai epätasa-arvoiseen kohteluun.

Tekoälyn käyttöön liittyvät tietosuojakysymykset ovat nousseet esille myös automatisoidun päätöksenteon yhteydessä. Esimerkiksi Suomen tietosuojaviranomainen on julkaissut verkkosivuillaan ohjeistuksen automatisoituun päätöksentekoon ja profilointiin liittyen. EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia. Edellä mainitusta voidaan kuitenkin poiketa, mikäli 1) päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten, 2) päätös on hyväksytty rekisterinpitäjään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä, tai 3) päätös perustuu rekisteröidyn nimenomaiseen suostumukseen. Tietosuojavaltuutetun toimiston ohjeistuksen mukaan rekisterinpitäjän tulee kiinnittää erityistä huomiota henkilötietojen käsittelyn avoimuuteen automaattisen päätöksenteon yhteydessä. Rekisteröidylle tulee muun muassa ilmoittaa automaattisen päätöksenteon, mukaan lukien profiloinnin olemassaolosta, logiikasta, johon päätöksenteko perustuu, käsittelyn merkittävyydestä sekä mahdollisten seurausten merkityksestä rekisteröidylle. Sen sijaan Tanskan tietosuojaviranomainen on todennut, että sellaisten tekoälyratkaisujen kehittäminen ja käyttöönotto, jotka perustuvat automaattiselle päätöksenteolle on lähtökohtaisesti kiellettyä. Kuitenkin viranomaisilla olisi mahdollisuus käyttää automatisoitua päätöksentekoa silloin, kun kansallisessa lainsäädännössä annetaan siihen nimenomainen valtuutus.

Saksan tietosuojaviranomainen on puolestaan julkaissut ohjeistuksen generatiivisen tekoälyn, kuten ChatGPT:n, käytöstä organisaatioissa. Ohjeistuksessa organisaatioita kehotetaan muun muassa varmistamaan, ettei 1) henkilötietoja sisältäviä aineistoja syötetä tekoälysovellukseen, mikäli palveluntarjoaja käsittelee tietoja omiin tarkoituksiin ja 2) ettei tekoälysovelluksen avulla luoda sisältöä, joka sisältää henkilötietoja. Lisäksi organisaatioiden on suositeltavaa ottaa käyttöön organisaatiotilit tekoälysovellusten käyttöä varten sekä määrittää, mitä käyttötarkoituksia varten tekoälysovelluksia on sallittua käyttää.

Uusi tekoälyasetus ja yleinen tietosuoja-asetus

Varsinaisten tekoälykysymysten lisäksi EU:n tekoälyasetuksessa on otettu huomioon myös tekoälyjärjestelmien vaikutus henkilötietojen suojaan. Valmisteilla olevan asetuksen tarkoituksena on täydentää EU:n yleistä tietosuoja-asetusta säännöillä, joita sovelletaan, kun henkilötietoja käytetään tekoälyjärjestelmien suunnitteluun tai kehittämiseen tai kun niitä käsitellään tekoälyjärjestelmien käytön yhteydessä.

Tekoälyasetuksen valmistelun yhteydessä on käyty runsaasti keskustelua erityisesti biometrisiin tietoihin perustuvasta kasvojentunnistuksesta sekä biometrisistä luokittelujärjestelmistä. Viimeisimmän ehdotuksen mukaan kasvojentunnistusjärjestelmien käyttö olisi sallittua vain julkisilla paikoilla tiettyjä ennalta hyväksyttyjä lainvalvontatarkoituksia, kuten rikoksen uhrin etsimistä tai terrorismiuhan estämistä, varten. Sen sijaan biometriset luokittelujärjestelmät, joiden avulla voidaan tehdä päätelmiä luonnollisten henkilöiden poliittisesta suuntautumisesta, uskonnollisesta tai filosofisesta vakaumuksesta, rodusta tai seksuaalisesta suuntautumisesta olisivat lähtökohtaisesti kokonaan kiellettyjä.

Vaikka tekoälyasetuksessa otetaan huomioon erilaisia tietosuojakysymyksiä, on säännösten tarkoituksena ainoastaan täydentää olemassa olevaa oikeudellista kehystä koskien henkilötietojen käsittelyä. Tulevan tekoälyasetuksen rinnalla tulee siten aina huomioida yleisen tietosuoja-asetuksen ja kansallisen tietosuojasääntelyn asettamat vaatimukset. On myös huomattava, että tekoälyasetuksen sisältö voi vielä muuttua, sillä Euroopan parlamentti ja neuvosto eivät ole vielä virallisesti hyväksyneet asetuksen lopullista versiota.

Nea Nordman

Artikkeli on tekoälyn vastuulliseen käyttöön keskittyvän artikkelisarjamme toinen osa.


HH Partners hoitaa laaja-alaisesti erilaisia tekoälyyn liittyviä toimeksiantoja: selvitämme asiakkaillemme tekoälysäädöstä koskevien erityiskysymyksiä sekä  avustamme tekoälystrategian ja muun eettistä tekoälyn käyttämistä koskevan dokumentaation laatimisessa. 


Kirjoittaja:

Legal Trainee Nea Nordman avustaa HH Partnersilla juristejamme, tehtävänään erityisesti tiedon hakeminen ja alustava analysointi. Maisterivaiheen opintoja suorittava Nea on kiinnostunut laaja-alaisesti erilaisista immateriaalioikeuteen ja tietosuojaan liittyvistä kysymyksistä.