EU:n tekoälylaki (AI Act) tuli osittain voimaan 2. helmikuuta 2025, ja sen myötä erityisesti kiellot sekä tekoälylukutaitoa (AI literacy) koskevat velvoitteet astuivat voimaan. Laki kieltää tietyt tekoälyn käyttömuodot, jotka voivat aiheuttaa vakavia riskejä perusoikeuksille. Yritysten hallituksilla ja ylimmällä johdolla on velvollisuus varmistaa, ettei organisaation toiminnassa hyödynnetä tällaisia menetelmiä.
Vaikka moni yritys ei itse kehitä tai käytä riskialttiita tekoälyjärjestelmiä, riskit voivat silti syntyä organisaation sisältä. Tekoälytyökalut kehittyvät nopeasti, ne ovat helposti saatavilla ja tarjoavat merkittäviä tehokkuushyötyjä, niiden käyttö houkuttelee, kun asioita on saatava nopeasti aikaan. Tämä voi johtaa tilanteisiin, joissa yksittäiset työntekijät tai yhteistyökumppanit ottavat käyttöön järjestelmiä, jotka ovat ristiriidassa sääntelyn kanssa. Hallitusten onkin varmistettava, että yrityksen sisäiset valvontamekanismit ovat ajan tasalla.
Kielletyt tekoälyn sovellukset
EU:n tekoälylaki kieltää erityisesti seuraavat tekoälyn sovellukset:
- Biometriset luokitusjärjestelmät, jotka analysoivat tai päättelevät arkaluonteisia ominaisuuksia, kuten etnistä taustaa, poliittisia mielipiteitä tai seksuaalista suuntautumista.
- Reaaliaikainen biometrinen etätunnistus julkisilla paikoilla, ellei kyseessä ole erityinen poikkeustapaus, kuten vakavan rikoksen tutkinta.
- Tunteiden tunnistaminen työpaikoilla ja oppilaitoksissa, ellei sille ole lääketieteellistä tai turvallisuuteen liittyvää perustetta.
Suuret käyttäytymismallit – seuraava haaste tekoälysääntelyssä
Suurten kielimallien jälkeen tekoälyn seuraava merkittävä kehitysvaihe on suurten käyttäytymismallien (Large Behavior Models, LBM) kehittyminen. Kun biometrinen data yhdistetään suuriin käyttäytymismalleihin, voidaan mallintaa ja ennakoida ihmisten toimintaa entistä tarkemmin.
Vaikka suurten käyttäytymismallien kehitys on vasta alkuvaiheessa, jotkut tekoälypalvelut keräävät jo nyt käyttäjätietoja, kuten näppäilyn rytmiä ja painallusten voimakkuutta. Tämäkin on biometrinen tieto, jota voidaan hyödyntää esimerkiksi markkinoinnissa ja myynnissä – myös tavoilla, jotka saattavat rikkoa sääntelyä.
Yritysjohdon vastuu ja riskienhallinta
Vaikka yritys ei itse keräisi biometrisiä tietoja tai hyödyntäisi suuria käyttäytymismalleja, henkilöstö saattaa tietämättään käyttää työkaluja, jotka rikkovat sääntelyä. Tällaisessa tapauksessa vastuu on yrityksen hallituksella ja ylimmällä johdolla, vaikka toiminta ei olisikaan osa organisaation virallista strategiaa.
Elokuussa 2025 voimaan astuva korkean riskin tekoälyjärjestelmien sääntely laajentaa valvontaa myös biometrisiin järjestelmiin, jotka tunnistavat henkilöitä, vaikka ne eivät käsittelisikään arkaluonteisia tietoja. Tämä lisää hallitusten vastuuta varmistaa, että yritys noudattaa sääntelyä ja tunnistaa potentiaaliset riskit jo varhaisessa vaiheessa.
Hallituksen jäsenillä on oltava aktiivinen rooli tekoälyn valvonnassa ja sääntelyn noudattamisessa. Biometrisen datan ja käyttäytymistiedon väärinkäyttö voi johtaa vakaviin seuraamuksiin, kuten oikeudellisiin sanktioihin, mainehaittoihin ja liiketoimintariskien eskaloitumiseen. Tekoäly ei ole pelkästään teknologinen kysymys, vaan se on yhä vahvemmin liiketoimintariskien hallinnan ja oikeudellisen vastuun ytimessä.
Hallitusten ja ylimmän johdon on varmistettava, että organisaation tekoälystrategia, sisäiset ohjeistukset ja valvontamekanismit vastaavat uuden sääntelyn vaatimuksia. Vastuullinen tekoälyn käyttö edellyttää selkeää ohjeistusta, jatkuvaa valvontaa ja ennen kaikkea hallitusten tietoisuutta tekoälyn mukanaan tuomista riskeistä.
