Riskiluokat

Johdanto

🎯 Oppimistavoitteet

• Ymmärrät, miten tekoälylaki luokittelee riskin – ja miksi “matala riski” ja “minimaalinen riski” eivät ole todellisia kategorioita
• Tiedät, mitkä tekoälyjärjestelmät ovat kiellettyjä ja mitkä korkean riskin järjestelmiä
• Ymmärrät avoimuusvaatimukset ja GPAIen systeemisen riskin
• Ymmärrät tarkoitetun käyttötarkoituksen ja kohtuudella ennakoitavan väärinkäytön roolin

Riskiperusteinen lähestymistapa perusoikeuksien suojaamiseen

EU:n tekoälylaki ottaa riskiperusteisen lähestymistavan, mikä on tärkeä ero moniin muihin säädöksiin verrattuna.

Tekoälylain tarkoitus ei ole luokitella kaikkia tekoälyjärjestelmiä – olisi mahdotonta sanoa mitään kaikista tekstin tuottamiseen liittyvistä sovelluksista tai kaikista koneoppimisalgoritmeista. Sen sijaan tarkoitus on säännellä järjestelmiä, jotka todennäköisimmin aiheuttavat riskejä ihmisten terveydelle, turvallisuudelle ja muille perusoikeuksille.

Terveys ja turvallisuus ovat helppoja ymmärtää. Lisäperusoikeudet on kirjattu Euroopan perusoikeuskirjaan. Ne sisältävät:

• Oikeuden hyvään julkiseen hallintoon, kuten oikeuden tulla kuulluksi omaa asiaa koskevissa asioissa
• Henkilötietojen suojan
• Oikeuden koulutukseen ja ammatilliseen koulutukseen
• Oikeuden tehdä työtä ja harjoittaa valitsemaansa ammattia
• Oikeuden syrjimättömyyteen
• Työntekijöiden oikeuden tiedonsaantiin ja kuulemiseen

Lain tarkoitus on näiden oikeuksien suojaaminen, ei tekoälyjärjestelmien luokittelu.

Laki on päättänyt, että tietyt tekoälyjärjestelmät aiheuttavat olennaisesti enemmän riskejä näille oikeuksille kuin muut, ja siksi niitä säännellään suoraan. Muissa tapauksissa laki viittaa nimenomaisesti olemassa olevaan sääntelyyn, jota on noudatettava lisäksi, kuten GDPR.

Olennaiselle tai ennalta määrätylle riskille on vain kaksi luokkaa: ne, joilla on hyväksymätön riski, ja ne, joilla on olennaisesti korkea riski.

Hyväksymätön riski – kielletyt järjestelmät

1. artiklan ensimmäinen lause kuuluu: “Ihmisarvo on loukkaamaton. Sitä on kunnioitettava ja suojeltava.” Perusoikeus on fyysisen ja henkisen koskemattomuuden kunnioittaminen. On vain kourallinen tekoälyjärjestelmiä, joiden katsotaan aiheuttavan hyväksymättömän korkean riskin ja jotka siksi ovat kiellettyjä – ja monet niistä liittyvät ihmisten manipulointiin tai valvontaan siten, etteivät he pysty tekemään päätöksiä, joita muuten tekisivät, tai rajoittamalla heidän pääsyään mahdollisuuksiin menestyä.

Useimmat kielletyt tekoälyjärjestelmät eivät ole relevantteja sille, miten asiakkaamme käyttävät Intricia. Mutta on syytä toistaa toiminnot, jotka tekisivät tekoälyjärjestelmästä kielletyn:

• Manipuloida tai pettää ihmisiä heidän päätöksentekonsa heikentämiseksi
• Hyödyntää haavoittuvuuksia
• Arviointi tai sosiaalinen pisteytys, joka johtaa tiettyjen ryhmien haitalliseen kohteluun
• Arvioida ihmisten riskiä syyllistyä rikokseen
• Luoda/laajentaa kasvojentunnistustietokantoja kohdentamattoman haravoinnin kautta
• Päätellä ihmisten tunteita työpaikoilla tai oppilaitoksissa
• Biometrinen luokittelu, jota käytetään päättelemään esimerkiksi rotua, poliittisia mielipiteitä, ammattiliiton jäsenyyttä, sukupuolta tai uskonnollisia vakaumuksia
• Jotkin reaaliaikaisen etäbiometrisen valvonnan käyttötavat lainvalvonnan toimesta

Olennaisesti korkean riskin tekoälyjärjestelmät

Tämän riskiluokan logiikka eroaa hyväksymättömän riskin luokasta. Edellä mainitut tekoälyjärjestelmät ovat kiellettyjä niiden suorittamien toimintojen perusteella. Tässä tekoälyjärjestelmät luokitellaan korkean riskin järjestelmiksi sen alueen mukaan, jolla ne toimivat.

Kolme ensimmäistä ovat Intric-asiakkaille kaikkein relevanteimpia.

Pääsy keskeisiin yksityisiin palveluihin ja keskeisiin julkisiin palveluihin ja etuuksiin sekä niiden käyttäminen (korkean riskin alue 1)

Kaikki tärkeissä yksityisissä tai julkisissa palveluissa käytettävät tekoälyjärjestelmät eivät ole korkean riskin – painopiste on siinä, vaikuttaako tekoälyjärjestelmä ihmisten kykyyn käyttää näitä palveluja.

Korkean riskin käyttötapoja ovat:

1. Kun tekoälyjärjestelmät osallistuvat ihmisten kelpoisuuden arviointiin näihin palveluihin tai myöntävät/muuttavat/poistavat näitä palveluja. Terveydenhuolto mainitaan nimenomaisesti.
2. Luottokelpoisuuden tai luottoluokituksen vahvistaminen
3. Henki- tai sairausvakuutukseen liittyvä riskiarviointi tai hinnoittelu
4. Käyttö hätäpuheluissa tai hätäensiapupalveluissa, mukaan lukien poliisi, palokunta, lääkintäapu ja hätätriage

Esimerkki: Tekoälyjärjestelmä, joka tuottaa narratiivisen yhteenvedon tapaustyöntekijöille työttömyysetuushakemuksista, olisi korkean riskin järjestelmä.

Työllistyminen, työntekijöiden hallinta ja pääsy itsenäiseen ammatinharjoittamiseen (korkean riskin alue 2)

Kaikki tällä alueella käytettävät tekoälyjärjestelmät eivät ole korkean riskin. Vain ne, joita käytetään rekrytoinnissa tai työpaikkojen valinnassa, kohdennettujen ilmoitusten sijoittamiseen, hakemusten analysointiin ja suodattamiseen, ehdokkaiden arviointiin. Toinen kategoria on käyttö tehtäessä päätöksiä, jotka vaikuttavat työsuhteiden ehtoihin, kuten ylennyksiin tai irtisanomisiin, tehtävien jakamiseen käyttäytymisen tai ominaisuuksien perusteella, tai suorituksen seurantaan ja arviointiin työpaikalla.

Esimerkki: Tekoälyjärjestelmä, joka sijoittaa työnhakijat numeerisen “työnantajasopivuuspisteytyksensä” mukaan, olisi korkean riskin. Meillä on vahva näyttöpohja siitä, miten rekrytoijat ovat helposti harhaanjohdettavissa ehdokassijoituksista digitaalisissa työkaluissa.

Koulutus ja ammatillinen koulutus (korkean riskin alue 3)

Kaikki tällä alueella käytettävät tekoälyjärjestelmät eivät ole korkean riskin. Vain ne, joita käytetään:

1. pääsyn tai hakemuksen määrittämiseen,
2. oppimistulosten arviointiin, mukaan lukien silloin kun tuloksia käytetään oppimisprosessin ohjaamiseen,
3. arvioimaan koulutustasoa, jonka joku tulee saamaan, tai
4. seuraamaan tai havaitsemaan kiellettyjä opiskelijakäyttäytymisiä kokeiden aikana.

Esimerkki: Tekoälyjärjestelmä, joka käyttää historiallisia koeaineistoja ennustamaan onko yksittäinen opiskelija huijannut uusissa kokeissa, olisi korkean riskin. Samoin tekoälyjärjestelmä, joka käyttää kannettavien tietokoneiden kameroita skannaamaan opiskelijoiden kehonkieltä kotikokeiden aikana ja arvioimaan huijaako opiskelija.

Muut korkean riskin alueet

Intricille vähemmän relevantteja ovat nämä lisäalueet. Tekoälylaki täsmentää, että edellytyksenä on, jos tällaiset järjestelmät ovat jo EU-lainsäädännön sallimia:

• Lainvalvonta
• Kriittisen infrastruktuurin, tieliikenteen tai veden, kaasun, lämmityksen tai sähkön toimitusten turvallisuuskomponentit
• Biometriikka
• Maahanmuutto, turvapaikka ja rajavalvonta
• Tuomioistuinviranomaisten tai heidän puolestaan käyttämä, riitojenratkaisu
• Äänestys- tai vaalituloksiin vaikuttamiseen käyttäminen

Jo säännellyt tuotteet ja järjestelmät

Toinen kategoria korkean riskin järjestelmiä ovat ne, joita jo sääntelee erilaiset eurooppalaiset lait: tuotteiden turvallisuuskomponentit, lelut, lääkinnälliset laitteet, hissit, henkilönsuojaimet, ajoneuvot, rautatiejärjestelmät ja niin edelleen.

Esimerkki: Vuoden 2025 lopulla nalle, joka käytti GPT-4o:ta ja puheentunnistusteknologiaa jutellakseen lasten kanssa, vedettiin pois Amerikan markkinoilta sen jälkeen, kun kuluttajavalvontaryhmä suoritti turvallisuustestejä ja sai nallen onnistuneesti puhumaan seksuaalisista aiheista ja väkivallasta. EU:ssa tätä lelua olisi säännellyt alakohtainen sääntely tekoälylain lisäksi.

Poikkeuksen vaatiminen korkean riskin luokitukseen

On neljä selkeää poikkeusta, mikä tarkoittaa, että jos tekoälyjärjestelmäsi luokitellaan olennaisesti korkean riskin järjestelmäksi, voit väittää, ettei se todellisuudessa aiheuta riskiä terveydelle, turvallisuudelle tai perusoikeuksille.

Jotta voit vaatia tätä poikkeusta, järjestelmäsi on täytettävä yksi seuraavista kriteereistä – ja tässä kopioimme lain tarkan sanamuodon:

• tarkoitettu suorittamaan kapea menettelyllinen tehtävä;
• tarkoitettu parantamaan aiemmin suoritetun inhimillisen toiminnan tulosta;
• tarkoitettu havaitsemaan päätöksentekomalleja tai poikkeamia aiemmista päätöksentekomalleista eikä ole tarkoitettu korvaamaan tai vaikuttamaan aiemmin tehtyyn inhimilliseen arviointiin ilman asianmukaista inhimillistä tarkastelua; tai
• tarkoitettu suorittamaan valmistelevaa tehtävää korkean riskin järjestelmälle relevantin arvioinnin osalta, lukuun ottamatta järjestelmiä, jotka jo ovat sääntelykohteena.

Monet koneoppimisalgoritmit, joita käytetään poikkeamien havaitsemiseen valtavissa tietojoukoissa (inhimillisen virheen tai petoksen vuoksi), luokitellaan tähän. Itse asiassa nämä poikkeukset koskevat ensisijaisesti tekoälyjärjestelmiä, jotka eivät ole generatiivisia.

Poikkeuksen vaatimiseksi sinun on yksinkertaisesti ilmoitettava tästä EU:n tietokantaan. Sen lisäksi sinulla ei ole muita korkean riskin järjestelmän käyttäjätahojen tai tarjoajien vaatimuksia. Jos vaadit poikkeusta väärin perustein, sakkosi on 750 000 euroa.

Huomaa, että jos tekoälyjärjestelmäsi profiloi ihmisiä, et voi vaatia poikkeusta.

Esimerkki: Tekoälyjärjestelmäsi analysoi valmistuneita tapauksenhallinnan aikoja aiheen ja tapaustyöntekijän ominaisuuksien valikoiman mukaan. Yksittäisiä henkilöitä ei voida tunnistaa tässä prosessissa, joten järjestelmä ei ole tyypillinen henkilöstönhallinta. Käytät sitä selvittämään, saako tietyt kansalaisryhmät hitaampia päätöksiä tai näyttääkö tietyt aiheet olevan tapaustyöntekijöille vaikeampia, jotta voisit priorisoida tulevaa koulutusta. Mutta! Jos alat käyttää tätä järjestelmää ryhmitelläksesi tietyt työntekijät paremmiksi tai huonommiksi suoriutujiksi, se kuuluu korkean riskin alueelle.

Avoimuusvaatimukset

Erillään siitä, onko tekoälyjärjestelmäsi korkean riskin, on se, onko järjestelmällä erityisiä avoimuusvaatimuksia. Kun jollekin aiheutuisi riski jos avoimuus puuttuisi, avoimuus on pakollista. Tämä tarkoittaa käytännössä sitä, että käyttäjälle tehdään hyvin selväksi, että he näkevät, kuulevat tai ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa.

Jos järjestelmä tekee jotain seuraavista, avoimuusvaatimuksia on:

• On vuorovaikutuksessa henkilön kanssa
• Tuottaa tekstiä, ääntä, kuvia tai videoita
• Tuottaa tai manipuloi kuvia, ääntä tai videoita deepfaken muodostamiseksi. (Tekstiä ei sisällytetä tähän)
• Tunnistaa tunteita tai suorittaa biometrista luokittelua
• Tuottaa tekstiä, joka julkaistaan yleisön tiedoksi yleistä etua koskevissa asioissa

Käytännössä useimmilla GPAI:lla ja niitä käyttävillä järjestelmillä on automaattisesti avoimuusvaatimuksia.

Syvällisempi tarkastelu – chatbotit: Varhaisessa koulutusmateriaalissa “chatbotteja” listattiin esimerkkinä tekoälyjärjestelmästä, joka vaatii vain avoimuutta – tämä oli ennen GPAI-pohjaisten chatbottien yleistymistä. Nyt chatbotti vaatisi vain avoimuutta, jos se perustuisi yksinkertaisempaan kielimalliin. Ajattele, kun yrität ottaa yhteyttä asiakaspalveluun chat-ikkunan kautta; kirjoitat kysymyksesi ja sitten chatbotti vastaa: “Onko jokin näistä kuudesta aiheesta se, mistä kysyt?” Tämä on esimerkki ei-GPAI-chatbotista. Se ei pysty juttelemaan kanssasi kuten chatbotti voi, mutta sillä on rajallinen kyky analysoida kysymyksiäsi. Yrityksen täytyy vain olla sinulle avoin siitä, että se on tekoälyjärjestelmä.

GPAIen systeeminen riski

Sen sijaan että GPAI:t yritetäisiin sovittaa edellä mainittuun riskiluokitukseen, tekoälylaki päätti käyttää “systeemisten riskien” käsitettä. Laki toteaa, että joillakin GPAI:lla voisi olla systeemisiä riskejä jos:

• GPAI on erittäin kykenevä, mistä kertoo suuri laskentatehon käyttö koulutuksessa,
• GPAI on laajalti käytetty (kuten monet toivovat olevansa) ja sillä on siten suuri vaikutus markkinoihin, tai
• Komissio määrittää, että sillä on systeeminen riski.

Käytännössä useimmat suuret kielimallit luokitellaan systeemiseksi riskiksi.

Mallia ei luokitella ‘matalaksi’ tai ‘ei systeemiseksi’ riskiksi; laki viittaa vain GPAI:hin ja systeemisen riskin GPAI:hin.

Päätöksenteko ei liity riskiluokkaan

Monet organisaatiot toivovat, että ihminen silmukassa -menettelyt, eli vain tekoälypäätöksen tuki eikä täysi päätöksenteko, voisivat alentaa riskiluokkaa. Näin lain logiikka ei toimi. Korkea riskiluokitus ei itse asiassa liity millään tavalla päätöksentekoon ja siihen, onko ihminen mukana vai ei. Tärkeämpää on se, onko tekoälyjärjestelmäsi alueella, jonka katsotaan olevan olennaisesti korkean riskin terveydelle, turvallisuudelle tai perusoikeuksille.

Mutta jos olet korkean riskin järjestelmän tarjoaja, sinun on varmistettava, että ihmisillä on kyky ymmärtää tuotos, puuttua tilanteeseen tai pysäyttää järjestelmä – tätä tarkoitetaan “ihmisten valvonnalla”.

Lisäksi, jos olet julkisen sektorin käyttäjätaho korkean riskin järjestelmälle ja tekoälyjärjestelmäsi on mukana päätöstuen tai ihmisiin vaikuttavan päätöksenteon prosessissa, sinun on ilmoitettava asiasta asianomaisille henkilöille.

Mitkä riskit sinun täytyy tunnistaa?

Ei. Tekoälylaki ei edellytä loputonta kaikkien mahdollisten riskien ideointia – niitä voisi olla satoja, kuten se, johtaako assistenttisi käyttö Amazonin sademetsien hakkuisiin. MIT:n Risk Atlas sisältää tällä hetkellä lähes 2 000 tekoälyriskiä: airisk.mit.edu

Itse asiassa tekoälylaki nimenomaisesti toteaa, ettei se saa olla este julkiselle sektorille käyttää tekoälyä innovoimiseen!

Sen sijaan tarjoajien ja käyttäjätahojen on tunnistettava riskit liittyen:

• Tekoälyjärjestelmän käyttöön sen tarkoitetun käyttötarkoituksen mukaisesti
• Tekoälyjärjestelmän kohtuudella ennakoitavaan väärinkäyttöön
• Alaikäisiin tai muihin haavoittuviin ryhmiin.

Niiden on otettava huomioon sekä tarkoitetun käytön tai väärinkäytön konteksti että käyttäjät itse: heidän tekninen osaamisensa, kokemuksensa ja odotuksensa, kykynsä lukea ja ymmärtää ohjeita.

Korkean riskin järjestelmille on erityinen ohjeistus tätä riskienhallintaprosessia varten. Jälleen kerran painopiste on terveyttä, turvallisuutta ja perusoikeuksia koskevissa riskeissä.

Tarkoitettu käyttötarkoitus

Tarkoitettu käyttötarkoitus on tärkeä käsite tekoäylaissa. Tarjoajilla on vastuu tehdä tekoälyjärjestelmiensä tarkoitettu käyttötarkoitus selväksi käyttäjätahoille. Mitä riskialttiimpi järjestelmä on, sitä yksityiskohtaisemmat käyttöohjeet on oltava.

Kuten olemme nähneet, GPAI:t aiheuttavat komplikaatioita tässä, koska niillä ei ole vain yhtä tarkoitettua käyttötarkoitusta. Mutta on silti tarjoajan vastuulla selkeästi ilmoittaa tekoälyjärjestelmän tai GPAIn käyttötarkoitusten valikoima ja mihin se ei ole tarkoitettu.

Kohtuudella ennakoitava väärinkäyttö

Tämä viittaa tekoälyjärjestelmän käyttöön, joka ei ole tarkoitetun mukaista, mutta joka voi johtua kohtuudella ennakoitavasta inhimillisestä käyttäytymisestä tai kohtuudella ennakoitavasta vuorovaikutuksesta muiden järjestelmien kanssa. Vuorovaikutus muiden tekoälyjärjestelmien tai agenttipohjaisten järjestelmien kanssa on myös mukana tässä.

“Ennakoitava” tarkoittaa, että ei pelkästään tunnettuja riskejä tarvitse käsitellä – sinun on kuviteltava uusia. Ja “kohtuullinen” tarkoittaa, ettei sinun tarvitse pohtia kaikkia mahdollisia pitkän aikavälin riskejä.

Esimerkki: Kunta on hiljattain supistanut viestintäosastoaan neljästä henkilöstä yhteen. He luovat assistentin jäljelle jäävälle neuvonantajalle käytettäväksi. Olisi kohtuudella ennakoitavaa kuvitella, että tämä yksi henkilö käyttää assistenttia kansalaisille suunnatun tekstin luomiseen ja lopettaa tulosteen tarkistamisen ennen sen julkaisemista verkossa, yksinkertaisesti siksi, että hän yrittää tehdä neljän ihmisen työn.

Katso dokumentaatiomme assistenttisi riskiluokan arvioimisesta: help.intric.ai/en/docs/security-compliance/ai-act/risk-class/

Soveltamisalan ulkopuolella olevat tekoälyjärjestelmät

Tämän osion lukemisen jälkeen, jos voit ajatella tekoälyjärjestelmää, joka ei täytä mitään olennaisista riskiluokituksista, jolla ei ole avoimuusvaatimuksia, joka ei ole GPAI, eikä sinulla ole mitään tapaa, jolla tarkoitettu käyttö tai väärinkäyttö voisi uhata terveyttä, turvallisuutta tai perusoikeuksia – sitten kyseinen järjestelmä voi olla tekoälylain soveltamisalan ulkopuolella. Tarjoajalla eikä käyttäjätaholla ole mitään vaatimuksia.

Muista, että Euroopan komissio ei aio esittää tyhjentävää luetteloa kaikista tekoälyjärjestelmistä. Komissio odottaa kaikkien toimijoiden käyttävän omaa harkintaansa.

Monet esimerkit soveltamisalan ulkopuolisista järjestelmistä ovat “perinteisiä” koneoppimisalgoritmeja:

• Suosittelualgoritmit suoratoistoalustalla. Tuotos on järjestys, jossa sisältö esitetään sinulle.
• Tekoälyjärjestelmä, jota käytetään ei-pelaajahahmon ohjaamiseen pelissä tai dynaamisen pelikäyttäytymisen luomiseen.
• Sähköpostipalveluntarjoajasi käyttämä roskapostisuodatin on klassinen esimerkki luonnollisen kielen käsittelyä käyttävästä koneoppimisalgoritmista. Se ei kuulu mihinkään hyväksymättömän tai korkean riskin alueista. Se ei myöskään tuota tekstiä, vain päätöksen siitä, lähetetäänkö sähköposti roskapostikansioon vai saapuneet-kansioon, eikä kukaan ole vuorovaikutuksessa sen kanssa, joten avoimuusvaatimuksia ei ole.

Keskeiset opit

• Laissa on vain kaksi ennalta määrättyä riskiluokkaa: hyväksymätön riski (kielletty) ja olennaisesti korkea riski. “Matala riski” ja “minimaalinen riski” eivät ole laissa olevia kategorioita.
• Korkean riskin luokitus perustuu toiminta-alueeseen, ei suoritettuun toimintoon tai siihen, onko ihminen silmukassa.
• Useimmilla GPAI:lla ja niistä rakennetuilla järjestelmillä on automaattisesti avoimuusvaatimuksia.
• Tarjoajien ja käyttäjätahojen on tunnistettava riskit liittyen tarkoitettuun käyttötarkoitukseen, kohtuudella ennakoitavaan väärinkäyttöön ja haavoittuviin ryhmiin – mutta ei kaikkiin mahdollisiin riskeihin.
• Jos järjestelmä on soveltamisalan ulkopuolella, tarjoajalla eikä käyttäjätaholla ole mitään vaatimuksia.

Testaa tietosi

6 kysymystä · 100 % oikein läpäistäksesi · Tarkista vastaukset lopussa

Aloita tietovisa →