Pitääkö EU:n AI-asetusehdotuksesta olla huolissaan?
Blogipohdintaa EU:n komission ehdotuksesta tekoälyteknologioita sääntelevästä asetuksesta.
1 Eurooppalaisen tekoälysääntelyn
tulevaisuus on ehkä täällä
EU:n komissio julkaisi 21.4.2021 ehdotuksen tekoälyteknologioita sääntelevästä asetuksesta. Paketissa komissio esittää oman visionsa siitä, miten Euroopassa AI-teknologioita voitaisiin säännellä. Esitys on pitkä ja monimutkainen. Tekoälysääntely limittyy siinä tuoteturvallisuussääntelyn kanssa, kehitysprosesseille asetetaan lukemattomia vaatimuksia, uusia markkinavalvontajärjestelyjä kehitellään ja sanktioitakin näyttää olevan luvassa. Tässä kirjoituksessa pyrin vastaamaan kysymykseen: pitääkö paketista olla huolissaan, jos aikoo kehittää tai käyttää tekoälysovellusta?
Jotta kysymykseen voisi vastata perustellusti, pakettia ja sen sisältöä on syytä avata hiukan.
2 Minkälaisia AI-järjestelmiä on tarkoitus säännellä?
Ensimmäinen tärkeä kysymys on, mitä teknologioita uudella sääntelykehyksellä on tarkoitus säännellä. Määritelmä sääntelykohteelle rakentuu esityksessä kahdesta kerroksesta. Ensin määritellään,
- mikä on AI-järjestelmä
ja sitten todetaan, että
- vain korkean riskin AI-järjestelmiä on tarkoitus säännellä.
AI-järjestelmän määritelmä on asetusesityksessä erittäin laaja. Kaikki ohjelmistoratkaisut, joissa datasyötteet muuttuvat tulosteiksi, ovat AI-järjestelmiä, jos niissä käytetään jotakin esityksen liitteessä 1 mainittua teknologiaa. Liitteen teknologialista on laaja. Lista kattaa koneoppimisteknologiat, loogiset- ja tietoperusteiset menetelmät, eli käytännössä kaiken ohjelmoinnin ja symbolisen tietojenkäsittelyn, sekä tilastolliset menetelmät. Tarkoituksena on ilmiselvästi kattaa kaikki mahdollinen.
Jos määrittelytyö jäisi tähän, lopputulos olisi hurja. Näin ei kuitenkaan ole. Vaikka mikä tahansa digitaalinen järjestelmä on potentiaalisesti AI-järjestelmä, esityksen tarkoituksena ei suinkaan ole säännellä sitovilla instrumenteilla kaikkia tekoälyteknologioita.
Sääntely on riskiperusteista ja kohdistuu vain korkean riskin AI-järjestelmiin. Matalan riskin AI-järjestelmiin pyritään vaikuttamaan kevyellä Code of Conduct -instrumentilla, jota toimittajat voivat halutessaan hyödyntää.
Korkean riskin AI-järjestelmän määritelmä on erittäin monimutkainen ja vaikeaselkoinen. Järjestelmiä on neljää tyyppiä. Kaikille on yhteistä se, että järjestelmistä saattaa aiheutua merkittäviä riskejä hengelle ja terveydelle, omaisuudelle ja perusoikeuksien toteutumiselle.
Ensimmäiseen korkean riskin järjestelmien kategoriaan kuuluvat 5 artiklassa tarkoitetut kielletyt AI-järjestelmät. Näitä ovat
- eksploitatiiviset ja manipulatiiviset AI-järjestelmät, joilla voidaan vaikuttaa ihmisten käyttäytymiseen ja aiheuttaa merkittävää fyysistä ja psyykkistä haittaa,
- social scoring -järjestelmät ja
- poliisin kasvojentunnistusjärjestelmät eräin poikkeuksin.
Toiseen kategoriaan kuuluvat tietyt tuoteturvallisuussääntelyyn piiriin kuuluvat tuotteet ja niiden AI-komponentit sekä kolmanneksi pakollista ennakollista tyyppihyväksyntää edellyttävät tuotteet kuten esimerkiksi ajoneuvot, lentokoneet ja meriturvallisuuslaitteet. Jälkimmäisiin asetusta ei kuitenkaan sovellettaisi. Asetuksen sääntelytavan on kuitenkin tarkoitus ohjata tapaa, jolla EU aikoo säännellä näitä tuotteita.
Neljäs kategoria määriteltäisiin asetuksessa itsessään. Siihen kuuluvat AI-järjestelmät, joita käytetään tietyillä sektoreilla tai elämänalueilla. Korkean riskin järjestelmiä ovat AI-sovellukset, joita käytetään
- biometriseen tunnistamiseen,
- koulutuksessa koulutuksen ottamiseen ja oppimisen arviointiin,
- kriittisen infrastruktuurin operointiin ja hallintaan,
- välttämättömyys- ja julkisten palveluiden tuotannossa ja allokoinnissa,
- työsuhdekontekstissa esimerkiksi rekrytoinnissa ja työsuhteen ehdoista päättämisessä,
- poliisi- ja muuta lainvalvontatoiminnassa,
- maahantulo- ja maahanmuuttokontrollissa ja turvapaikkapäätöksenteossa, sekä
- oikeuslaitoksessa kun normien sisältöä selvitetään ja niitä sovelletaan yksittäistapauksiin.
Tiivistäen, esityksen soveltamisala, ensivaikutelmasta huolimatta, on suhteellisen rajattu. Sääntelykohteet vaikuttavat myös perustelluilta. Tällaisissa järjestelmissä riskit ovat eittämättä suuria ja sääntely tarpeellista.
3 Miten AI-järjestelmiä on tarkoitus säännellä?
Jos suhteellisen rajattu soveltamisala jo hälvensi pahimpia pelkoja, valittu sääntelytapa on sekin rauhoittava. Sääntely on nimittäin suhteellisen pehmeää.
Ehdotetussa sääntelytavassa on kuusi kerrosta.
3.1 Kieltosääntely
Ensimmäinen kerros on kerroksista kovin. Kuten edellä mainitsin tietyt AI-järjestelmät ehdotetaan 5 artiklassa kiellettäviksi kokonaan. Lista on kuitenkin lyhyt. Tarkoituksena on kieltää manipulatiiviset järjestelmät, joissa yksilöiden käyttäytymiseen pyritään vaikuttamaan ”subliminaalisilla tekniikoilla”, sekä eksploitatiiviset järjestelmät, joissa hyväksikäytetään yksilöiden haavoittuvuuksia. Lisäksi ehdotetaan, että eräät yleiset sosiaalisen pisteytyksen ja biometrisen tunnistamisen järjestelmät kielletään.
Kiellot vaikuttavat perustelluilta. Järjestelmistä, joita ehdotetaan kiellettäviksi, aiheutuu merkittäviä riskejä. Puuttumiskynnys on lisäksi asetettu korkealle. Esimerkiksi manipulatiiviset järjestelmät kielletään vain, jos niistä aiheutuu yksilöille fyysistä tai psykologista haittaa. Mikä tahansa kyseenalainen järjestelmä ei siis päädy kiellettyjen listalle.
3.2 Johtamisjärjestelmäsääntely
Toinen sääntelykerros on ehdotuksen tärkein. Se koostuu johtamisjärjestelmäsääntelystä. Johtamisjärjestelmäsääntelyssä toimijoiden käyttäytymistä pyritään ohjaamaan vaikuttamalla toimijoiden liikkeenjohdollisiin menettelyihin. Ehdotetun asetuksen 2 luvussa edellytettäisiin esimerkiksi, että AI-järjestelmätoimittajilla olisi käytössä laadunvarmistus- ja riskienhallintajärjestelmä sekä datan hallintamenettelyjä. Näiden järjestelmien ja prosessien rakenne ja sisältö kuvataan osin hyvin tarkasti.
Sääntelyssä on kyse sinällään normatiivisesti pääosin neutraalista prosessisääntelystä, jonka tarkoituksena on ensisijaisesti varmistaa, että AI-järjestelmiä kehittävät organisaatiot tietävät, mitä tekevät, dokumentoivat valintansa ja miettivät tarkkaan, että valitut ratkaisut ovat asianmukaisia. Tiivistetysti, sääntelyn tarkoituksena on luoda toimijoita, jotka eivät tee ainakaan tietämättömyyttään kovin epätoivottavia ratkaisuja.
Prosessivaatimuksissa on kuitenkin myös normatiivisesti merkityksellisiä ulottuvuuksia. Tämä näkyy ensi sijassa riskienhallintajärjestelmissä. Jos riskienhallintajärjestelmät viritetään kuten ehdotuksessa esitetään, säännöt ohjaavat toimittajia väistämättä kehittämään tietynlaisia AI-järjestelmiä.
Jotta tämän teknologiasääntelyulottuvuuden voi tunnistaa, täytyy pitää mielessä se, että esityksen 9 artiklassa, jossa riskienhallinnasta säädetään, määritetään riskienhallintatoimille tavoitteisto. Tarkoituksena on, että toimittajat minimoisivat järjestelmiä kehittäessään riskit ja kehittäisivät erilaisia menetelmiä, joilla residuaaliriskejä voidaan hallita.
Asetusesityksen 9 artiklassa ei määritellä, mitä riskeillä siinä tarkoitetaan. Artikla 7(1)(a):ssa sen sijaan määritellään koko sääntelykokonaisuuden tarkoitus. Tarkoitus on säännellä AI-järjestelmiä, joista aiheutuu riski terveys- tai turvallisuushaitasta tai riski perusoikeuksien toteutumisen vaarantumisesta. Tässä valossa ei liene mahdollista ajatella muuta kuin, että minimoinnin kohteena ovat juuri terveys-, turvallisuus- ja perusoikeusriskit.
Normatiiviset vaikutukset syntyvät juuri tämän tavoitekehyksen välityksellä. Riskienhallinnan tavoitekehys ohjaa sitä, minkälaista riskitietoa toimijoiden on oman päätöksentekonsa tueksi tuotettava. Samalla sillä luodaan luovat mittaristo käytettäviksi, kun kehitystyön onnistumista arvioidaan. Karrikoiden, kehittäjien on tunnistettava järjestelmistä aiheutuvat perusoikeusriskit ja sitten minimoitava ne. Kehittäjät on siis viritetty tuottamaan ihmisoikeusmyönteisiä järjestelmiä.
3.3 Sitova teknologiasääntely
Kolmas sääntelykerros on ”kovaa” teknologiasääntelyä. Siinä määrätään, minkälaisia teknisiä ratkaisuja AI-järjestelmissä on käytettävä.
Kuvio on kuitenkin monimutkainen. Asetuksessa itsessään ei ole kovin laajaa vaikutukseltaan sitovaa teknologiasääntelykokonaisuutta. Ehdotetun asetuksen 2 luvussa asetetaan tapahtumatietojärjestelmiä, läpinäkyvyyttä ja tietojen antamista, ihmisvalvontaa ja AI-järjestelmiltä vaadittavaa tarkkuutta, robustiutta ja kyberturvallisuutta koskevia vaatimuksia. Säännöt jäävät kuitenkin hyvin yleiselle tasolle, epämääräisiksi julkilausumiksi. Minkälaisia teknisiä vaatimuksia niistä täsmälleen seuraa, jää epäselväksi.
Sääntely ei kuitenkin jää asetuksen sääntöjen epämääräiselle tasolle. Yleistasoinen teknologiasääntely täydentyy ja täsmentyy kahdella mekanismilla.
Jos AI-järjestelmä on tuote, josta on annettu sitovia standardeja, näitä standardeja on noudatettava siltä osin kuin ne ovat relevantteja. Komissiolle annetaan myös oikeus antaa ns. yhteisiä spesifikaatioita AI-järjestelmien teknisistä vaatimuksista, jos yksityiskohtaisia standardeja ei ole.
Näiden kahden mekanismin myötä asetuksen ympärille kutoutunee tulevaisuudessa yksityiskohtainen sitovan teknologiasääntelyn verkko. Tärkeää on myös huomata, että komissio ilmoittaa, että se sitoutuu asetuksen periaatteisiin tulevassa lainsäädäntötyössään myös niissä järjestelmissä, joiden riskitaso on korkea mutta joihin asetusta ei sovelleta. Tällaisia järjestelmiä ovat esimerkiksi autonomiset ajoneuvot.
3.4 Etukäteinen valvonta
Neljäs sääntelykerros koostuu AI-järjestelmille asetettujen vaatimusten etukäteisistä valvontamenettelyistä. Tämä kerros on monimutkainen mutta myös varsin heikon oloinen.
Lähestymistapa on tuttu tuoteturvallisuussääntelystä. Korkean riskin AI-järjestelmä voidaan laskea markkinoille tai saatavilla tai ottaa käyttöön vain, jos sen vaatimustenmukaisuus on arvioitu, ja järjestelmä on saanut CE-merkinnän.
Äkkiseltään näyttäisi siltä, että etukäteiseen valvontaan on luotu erittäin raskas byrokraattinen rakennelma, jonka ytimessä ovat erilliset notifioidut laitokset eli notifikaatio-viranomaisten erikseen hyväksymät vaatimustenmukaisuuden arviointilaitokset. Näiden laitosten tarkoitus on ulkopuolisina, riippumattomina toimijoina varmistaa, että järjestelmätoimittajat noudattavat asetuksessa asetettuja vaatimuksia.
Ensivaikutelma on kuitenkin väärä. Useimmissa tapauksissa järjestelmätoimittaja voi itse arvioida, vastaako sen järjestelmä asetettuja vaatimuksia. Vaikka hyväksyntäbyrokratian rakentamiseen kulutetaan melkoisesti palstatilaa asetusehdotuksen 30–38 artikloissa, rakennelma lässähtää kasaan 43 artiklassa. Jos artiklan lukee tarkkaan, huomaa, että Liitteen III kohdissa 2–8 tarkoitettujen AI-järjestelmien vaatimuksenmukaisuudesta saa varmistua ns. sisäisellä vaatimustenmukaisuuden arviointimenettelyllä, jossa vaatimuksenmukaisuuden arviointilaitosta ei tarvitse käyttää. Toimittaja arvioi itse, onko se noudattanut asetuksessa asetettuja vaatimuksia. Tuotteissa, joihin kohdistuu tuoteturvallisuussääntelyä, vaatimustenmukaisuuden arviointi järjestetään siten kuin erityislainsäädännössä määrätään.
Lopputulos on, että käytännössä vaatimustenmukaisuuden arviointilaitoksille on käyttöä vain silloin, kun tarkastetaan biometrisen tunnistamisen AI-järjestelmiä. Silloinkin on mahdollista käyttää sisäistä vaatimustenmukaisuuden arviointimenettelyä siltä osin kuin järjestelmistä on annettu relevantti sitova standardi tai yhteiset spesifikaatiot.
Tiivistetysti, etukäteinen valvonta on pääasiassa itsevalvontaa. Siksi sen tehosta ja erityisesti kyvystä varmistaa, että järjestelmäkehityksessä päädytään mielekkäisiin riskiarvioihin, voi olla montaa mieltä.
3.5 Jälkikäteinen valvonta
Viides sääntelykerros koostuu jälkikäteisestä valvonnasta. Jälkikäteinen valvonta kiinnitetään EU:n yleisiin, markkinavalvonta-asetuksen (2019/1020/EU) mukaisiin mekanismeihin.
Jälkikäteisen valvonnan keskeisin ulottuvuus on, että toimivaltainen markkinavalvontaviranomainen voi tietyin edellytyksin määrätä, että AI-järjestelmä on korjattava tai vedettävä markkinoilta kahdessa eri tilanteessa.
Valvontaprosessi monimutkainen. Markkinavalvontaviranomaisten on tarkkailtava AI-järjestelmiä. Jos markkinavalvonnassa käy ilmi, että jostakin AI-järjestelmästä aiheutuu vaaraa hengelle ja terveydelle tai perusoikeuksien toteutumiselle, viranomaisen on tutkittava, vastaako AI-järjestelmä asetettuja vaatimuksia. Jos järjestelmä ei vastaa vaatimuksia, viranomainen voi määrätä, että se on saatettava vaatimustenmukaiseksi tai vedettävä markkinoilta. Jos järjestelmä taas on vaatimustenmukainen, viranomainen voi silti ryhtyä toimenpiteisiin. Toimenpiteisiin voidaan ryhtyä, jos järjestelmästä aiheutuu 1) henkilöiden terveydelle tai turvallisuudelle, 2) sille, että Unionin tai kansallisen lainsäädännön mukaisia perusoikeuksia turvaavia velvollisuuksia ei noudateta tai 3) siitä, että muu tärkeän julkisen edun suojaksi annetun säännöksen toteutuminen vaarantuu.
Mitkä näiden kahden puuttumiskynnyksen erot tarkalleen ottaen ovat ja mitä Unionin tai kansallisen lainsäädännön perusoikeuksia turvaavilla velvollisuuksilla tarkoitetaan, jää epäselväksi. Kansallisille markkinavalvontaviranomaisille ehdotettu toimivalta merkitsee joka tapauksessa sitä, että sinällään vaatimustenmukainen AI-järjestelmä voidaan viranomaisen päätöksellä vetää pois markkinoilta.
3.6 Sanktiot
Sanktiot tulevat esille kuudennessa sääntelykerroksessa. Sanktiosääntely näyttää GDPR:n tapaan rajulta.
Suurimmillaan hallinnolliset sakot voivat olla kuusi prosenttia vuotuisesta liikevaihdosta, jos asetuksen 5 ja 10 artikloissa säädettyjä velvollisuuksia on rikottu. Muiden vaatimusten rikkomisesta voi seurata korkeintaan sakko, joka on korkeintaan neljä prosenttia liikevaihdosta. Kahden prosentin sakot voivat seurata, jos toimija ei anna viranomaisille tietoja tai se antaa epätäydellisiä tai harhaanjohtavia tietoja.
Samoin kuin GDPR:ssä sanktiosääntelyn merkitys jää pitkälti riippumaan toimivaltaisten viranomaisten päätöksistä.
4 Onko syytä olla huolissaan?
Kootusti voisi ehkä sanoa, että asetusehdotuksesta vaikuttaisi tulevan paljon enemmän savua kuin tulta. Vaikka asetusehdotus on pitkä, monimutkainen, vaikeaselkoinen ja näyttää ajoittain asettavan hyvinkin rankkoja rajoituksia, siinä ei tosi asiassa aseta erityisen rankkoja rajoituksia AI-järjestelmien kehittämiselle tai käytölle.
Kun asetusehdotusta lukee, on ensimmäiseksi syytä pitää mielessä, että se koskee vain korkean riskin AI-järjestelmiä. Esimerkiksi suurin osa internetpalveluista jää kokonaan asetuksessa ehdotetun sääntelyn ulkopuolelle. Ne ovat matalan riskin järjestelmiä. Netflixin, Spotifyn tai hakupalvelujen tarjoajien ei tarvitse olla huolissaan. Asetus ei koskisi heitä. Facebookin on ehkä syytä olla silti huolissaan. Ei ole täysin mahdotonta ajatella, että osa sosiaalisen median sisällönvalinta-algoritmeista tuottaisi psykologista haittaa.
Toiseksi suuri osa ehdotetusta sääntelystä on johtamisjärjestelmäsääntelyä. Kun asetuksessa edellytetään, että toimittajalla on oltava jokin johtamisjärjestelmä, vaatimuksen voi täyttää siten, että luo tuollaisen johtamisjärjestelmän. Seuraako johtamisjärjestelmästä sitten esimerkiksi se, että ihmisoikeusriskit minimoituvat, ei ole vaatimusten täyttämisen kannalta olennaista. Kun asetusta lukee, onkin tärkeää aina miettiä, minkälaisia käytännön toimenpiteitä erilaiset ehdotuksessa asetetut vaatimukset toimittajilta käytännössä edellyttävät ja mitä asetettujen vaatimusten rikkomisesta voi seurata. Useimmista ongelmista selviää paperilla ja prosessityöryhmällä.
Huolenaiheita tietysti on, osa niistä legitiimejä.
Asetuksen sanamuodot ovat eittämättä omiaan herättämään huolta. Totta on, että sanamuodot ovat osittain erittäin epämääräisiä ja monitulkintaisia. Ne mahdollistavat hyvin laajoja tulkintoja. Jos tällaisista laajimmista mahdollisista tulkinnoista tulisi totta, esimerkiksi internetmarkkinointi saattaisi vaikeutua merkittävästi. Kun sanamuotoriskejä arvioi, kannattaa pitää mielessä, että sanamuodot ovat monissa muissakin säädöksissä väljiä ja epämääräisiä. Siitä huolimatta lainsäädännön kanssa pystytään elämään. Hyvä vertailukohta löytynee yleisestä tietosuoja-asetuksesta. Senkin sanamuodot ovat väljiä, eikä vakiintuneita tulkintakäytäntöjä ole. Silti yritykset pystyvät toimimaan, ja henkilötietoja käsitellään jatkuvasti.
Toinen usein esitetty huolenaihe on ollut, kuinka paljon ehdotettujen esitettyjen sääntöjen noudattaminen maksaa. AI-järjestelmätoimittajan on nimittäin laadittava merkittävä määrä erilaisia suunnitelmia, menettely- ja prosessikuvauksia sekä sisäisiä ohjeistuksia, jos mielii noudattaa 2 luvussa asetettuja vaatimuksia. Vaikuttaisi siltä, että compliance vaatii todennäköisesti myös melkoista asiantuntemusta. Compliance-kustannuksista onkin syytä olla huolissaan. Organisaatio- ja dokumentaatiovaatimukset ovat kieltämättä kovia.
Tässä kohtaa on syytä pitää mielessä kaksi asiaa. Asetusehdotus koskee vain korkean riskin järjestelmiä, ei kaikkia AI-järjestelmiä. Joka ikinen internetpalvelua koodaava yritys ei joudu noudattamaan näitä sääntöjä. Raskaat johtamisjärjestelmävaatimukset kohdistuvat lisäksi vain järjestelmätoimittajiin, eivät käyttäjiin. Toiseksi useimmilla softataloilla on jo muutenkin käytössään erilaisia toiminnan- ja laadunhallintajärjestelmiä. Kun compliance-kustannuksia pyrkii hahmottamaan, onkin syytä miettiä, kuinka merkittävästi jo olemassa olevia laadunhallintajärjestelmiä olisi modifioitava, jotta vaatimukset voitaisiin täyttää. Sinällään on selvää, että prosessivaatimukset tulevat olemaan vaikeita erityisesti pk-yrityksillä ja startupeille. Niiden kilpailuasetelma voi jäädä heikoksi ja kustannuksista tulla kilpailunesteitä. Toisaalta vaihtoehto esitetylle sääntelyratkaisulle on jokseenkin kylmäävä. Jos prosessivaatimuksia ei olisi, lopputulos voisi olla, että AI-järjestelmiä, joilla voi olla merkittäviä vaikutuksia yksilöiden oikeusasemaan ja terveyteenkin, kehitetään kaoottisissa organisaatioissa, ilman dokumentaatiota ja ilman, että järjestelmien laadusta pyritään mitenkään varmistumaan.
Kyetäänkö sääntelyjärjestelmällä tosi asiassa tuottamaan siedettäviä AI-järjestelmiä, on kolmas tärkeä teema, johon on syytä kiinnittää huomiota. Ehdotuksen kiellot vievät helposti huomiota ja saattavat johtaa siihen, että järjestelmän ydin jää huomaamatta. Ydin on nimittäin toimittajien riskienhallintajärjestelmissä. Riskienhallintajärjestelmissä tuotetaan käsitys siitä, minkälaisia korkean riskin ei-kiellettyjä AI-järjestelmiä EU:ssa voi käyttää.
On syytä tehdä kaksi huomiota. Näyttää ensinnäkin siltä, että sääntelykokonaisuuden vaikutukset AI-järjestelmiin voivat jäädä vaatimattomiksi. Syy tähän on sääntelytavassa itsessään. Johtamisjärjestelmäsääntely on hyvin pehmeää sääntelyä. Se luo mahdollisuuden sille, että toivottuja muutoksia tapahtuu, kun organisaatiot viritetään toimimaan tietyllä tavalla. Kun varsinaiset kiellot ja käskyt puuttuvat, normatiivinen ohjaus jää vähäiseksi. Mikään ei ole varmaa. Jos prosessit eivät ole vahvoja eikä niitä saada viritettyä siten, että ne tuottavat toivottavia aineellisia lopputuloksia, lopputulokset jäävät laihoiksi tai jopa vasta-aiheisiksi. Sen sijaan, että sääntely ohjaisi oikeaan suuntaan, saatetaan päätyä tilaan, jossa säännöt toimivat kumileimasimena, jolla kyseenalaisiin lopputuloksiin lyödään hyväksyntäleima.
Vaikka valitussa sääntelytavassa sääntely näyttäytyy aineellisesti katsoen suhteellisen neutraalia ja sallivana, esityksessä otetaan kuitenkin kantaa siihen, minkälaista arvokäsitystä eurooppalaisten AI-järjestelmien tulisi ilmentää. Järjestely on kuitenkin varsin monimutkainen eikä erityisen läpinäkyvä. Riskienhallintajärjestelmät on viritetty tuottamaan AI-järjestelmiä, joissa yksilöiden henkeen ja terveyteen, psykologiseen hyvinvointiin sekä omaisuuteen, ympäristöön ja perusoikeuksien toteutumiseen kohdistuvat vaarat on minimoitu. Sinällään ratkaisu on perusteltu. Mutta mitä muuta pitäisi tehdä? Se, että yksityiset toimijat ohjataan ottamaan huomioon ja optimoimaan toiminnassaan perusoikeuksien toteutuminen on kuitenkin poikkeuksellista sääntelytaisteluissa. Taloudelliset toimijat ovat pitkään pyrkineet kaikin keinoin välttämään tällaista perusoikeuksien horisontaalivaikutusta, ja vakiintuneen doktriinin mukaan perusoikeuksien toteuttaminen on ennen kaikkea valtion ja julkisen vallan tehtävä. Yksityiset toimijat voivat sen sijaan keskittyä omien päämääriensä tavoitteluun lainsäädännöstä johtuvissa rajoissa. Siksi riskienhallintajärjestelmien riskikehys on teoreettisesti hätkähdyttävä.
Perusoikeuskytköksellä on myös käytännölliset seurauksensa. Ei ole triviaali tehtävä arvioida erilaisten järjestelmien perusoikeusvaikutuksia ja minimoida niitä. Jos perusoikeudet otetaan tosissaan, kehittämisprosessit saattavat kriisiytyä nopeasti, kun perusoikeudet ja liiketoimintatavoitteet asettuvat vastakkain ja kehittäjä joutuu tasapainoilemaan omien etujensa ja riskienhallintajärjestelmien riskinminimointitavoitteissa kuvastuvien yhteisön etujen välillä. On nimittäin todennäköistä, että kaupallisesti toimiva toimittaja saisi monissa tapauksissa investoinneilleen parhaan tuoton, jos se ei minimoisi vaaroja siten kuin asetusehdotuksen säännöissä edellytetään.
Jos sääntelyvaatimukset näyttävät normatiivisesti ja vaikutusmekanismeiltaan epämääräisiltä, valvontamenettelyt eivät muuta kuvaa radikaalisti. Ne vaikuttavat suhteellisen kevyiltä ja tehottomilta. Erityisesti etukäteisen itsevalvonnan tehokkuutta on syytä epäillä. Järjestelmätoimittajat eivät välttämättä ole sitoutuneet kovinkaan tiukasti asetuksen taustalla vaikuttaviin tavoitteisiin. Siksi itsesääntelymenetelmille rakentuva sääntelytapa voi olla haavoittuvainen. Riskienhallintajärjestelmistä ja vaatimustenmukaisuuden arvioinnista huolimatta markkinoille saattaa päätyä hyvin ikäviä AI-järjestelmiä.
Jos etukäteinen valvonta pettää, jälkikäteinen viranomaisvalvonta voi tuottaa ikäviä yllätyksiä toimijoille. Muistetaan, että viranomaiset voivat edellyttää, että toimittaja ryhtyy korjaaviin toimenpiteisiin tai pahimmillaan vetää järjestelmän markkinoilta, vaikka toimittaja voisikin osoittaa noudattaneensa kaikkia sääntelyssä asetettuja vaatimuksia. Tässä tulee esille komission omaksuman sääntelytavan heikkous. Suoraa normatiivista ohjausta, jossa artikuloitaisiin millaiset järjestelmät ja lopputulokset ovat hyväksyttäviä, ei pääasiassa ole kuin 5 artiklassa. Sen sijaan sääntelytavassa toivotaan, että toimittajat itse pystyvät määrittämään riskienhallintaprosesseissaan, mitkä lopputulokset eivät ole hyväksyttäviä. Jos toimittajan ja valvontaviranomaisen näkemykset eivät kohtaa, toimittaja häviää. Tämä merkitsee sen, että toimittaja kantaa riskin siitä, että sen riskienhallintajärjestelmässä epäonnistutaan minimoimaan riskit. On epäselvää, kuinka huolissaan tästä sääntelytavan ominaisuudesta pitäisi olla. Jälkikäteisen markkinavalvonnan puuttumiskynnys on asetusehdotuksessa asetettu korkealle. Jos viranomaiset joutuvat puuttumaan AI-järjestelmään, riskienhallinta on epäonnistunut pahasti, todennäköisesti niin pahasti, että useimmilla myötätunto toimittajaa kohtaan jäänee vähäiseksi.
Sanktiosäännökset tarjoaisivat valvontaviranomaisille potentiaalisesti vahvan vipuvarren. Jos sanktiosäännöksiä käytettäisiin aggressiivisesti, sääntelyn pelotevaikutus voi olla merkittävä. Samalla sanktioriski voi olla omiaan rajoittamaan yritysten investointihalukkuutta.
Onko ehdotuksesta sitten syytä olla huolissaan, jos aikoo kehittää korkean AI-järjestelmän? Ehkä ei. Siihen kannattaa kuitenkin varautua, että laatukäsikirja on laadittava, paperin ja kahvin hankintajärjestelyt joutuvat laatukäsikirjaponnistuksessa koetukselle ja EU:n perusoikeuskirjankin joutuu lataamaan netistä ja lukemaan.
Blogin kirjoittaja Mika Viljanen toimii yksityisoikeuden apulaisprofessorina Turun yliopistossa. Tällä hetkellä Mika pohtii oikeuden, tekoälyn ja robotiikan suhdetta sekä sääntelykäytäntöjen ja -teorian näkökulmia mm. ETAIROS-tutkimushankkeessa.
Kuva: Unplash