Johdanto EU:n tekoälyasetukseen

Päivitys 11. heinäkuuta 2025: Yleiskäyttöisen tekoälyn käytännesääntöjen lopullisen tekstin julkaisemisen jälkeen jaamme yleiskatsauksen siitä, miten suhtaudumme yleiskäyttöisiin tekoälymalleihin sovellettavien säännösten voimaantuloon 2. elokuuta 2025. 

Viime vuonna julkaisimme tämän EU:n tekoälyasetusta käsittelevän johdanto-osan, jossa esittelimme alustavan käsityksen siitä, miten valmistauduimme näiden uusien lakisääteisten vaatimusten täytäntöönpanoon. 

Siitä lähtien olemme olleet aktiivisesti mukana tekstin täytäntöönpanossa osallistumalla yleiskäyttöisen tekoälyn käytännesääntöjen laatimiseen. Nämä ohjeet tarjoavat tekoälyn palveluntarjoajille viitekehyksen EU:n tekoälyasetuksen noudattamiseksi. Lopullinen säännöstö on julkaistu useita kuukausia kestäneen yhteistyön jälkeen asiantuntijoiden, kansalaisyhteiskunnan ja teollisuuden kanssa. Tänään ilmoitamme päätöksestämme allekirjoittaa käytännesäännöt ja käyttää niitä osoittaaksemme noudattavamme EU:n tekoälyasetuksen mukaisia velvoitteitamme.  

Allekirjoittamalla säännöstön otamme konkreettisen askeleen aikomuksessamme noudattaa EU:n tekoälyasetusta laajemmin. Se heijastaa sitoutumistamme jatkuvuuden, luotettavuuden ja luottamuksen varmistamiseen säännösten tullessa voimaan. Samalla jatkamme yhteistyötä eurooppalaisten yritysten ja kansalaisten kanssa tarjoten heille yhä kyvykkäämpiä, turvallisempia ja varmempia tekoälymalleja, jotta he voivat nauttia tekoälyvallankumouksen hyödyistä.

Säännöstön allekirjoittaminen vahvistaa monia toimialan johtavia turvallisuus- ja läpinäkyvyystoimenpiteitä, joissa olemme olleet edelläkävijöitä viime vuosina. Olimme yksi ensimmäisistä yrityksistä, joka julkaisi kattavan turvallisuusprotokollan eli valmiusviitekehyksemme (2023), jossa esitetään lähestymistapamme edistyneimpien tekoälymallien turvalliseen käyttöönottoon.

Sisäisten vastuuvelvollisuus- ja hallintomallien jatkuvaan tarkasteluun ja parantamiseen sitoutuneena julkaisimme⁠ päivitetyn valmiusviitekehyksen huhtikuussa 2025.

Jatkaessamme yhä tehokkaamman teknologian kehittämistä ja käyttöönottoa seuraamme ja lievennämme aktiivisesti monenlaisia uusia riskejä ja todellisia turvallisuusongelmia pitääksemme mallimme luotettavina ja turvallisina. Jatkamme edelleen näiden prosessien hiomista ja parantamista. 

• Olemme jo pitkään julkaisseet yksityiskohtaisia järjestelmäkortteja ja teknistä dokumentaatiota tärkeimpien julkaisujemme yhteydessä. Niissä kerrotaan, mitä mallimme voivat ja eivät voi tehdä, mitä riskejä olemme testanneet ja missä asioissa meillä on vielä opittavaa. 
• Malliemme turvallisuusarviointitulokset ovat julkisesti saatavilla turvallisuuskeskuksessa.
• Red Teaming -verkostomme tuo mukaan ulkopuolisia asiantuntijoita testaamaan mallejamme
• Mallimääritykset tarjoavat näkymän siihen, miten muokkaamme mallien käyttäytymistä vastaamaan ihmisarvoja ja demokraattisia normeja.

Yhdessä tämä työ on ollut keskeisessä asemassa toimialan turvallisuus- ja suojausstandardien asettamisessa ja toimivan käytännesäännöstön kehittämisen tukemisessa toimialan parhaiden käytäntöjen pohjalta. Turvallisen ja vastuullisen tekoälyn rakentaminen ei ole koskaan valmis. Parannamme edelleen iteratiivisesti lähestymistapamme turvallisuuteen varmistaaksemme, että teknologiaamme käytetään vastuullisesti kaikkien hyödyksi, missä päin maailmaa he ovatkin.

Teemme tiivistä yhteistyötä EU:n tekoälyviraston, asiaankuuluvien viranomaisten ja asiakkaidemme kanssa tekoälyasetuksen täytäntöönpanon yhteydessä tulevina kuukausina ja vuosina, jotta voimme yhdessä varmistaa tekoälyn hyödyt Euroopan yhteiskunnalle ja taloudelle.

Päivitys: Allekirjoitimme 25. syyskuuta 2024 EU:n tekoälysopimuksen kolme keskeistä sitoumusta.

1. Hyväksymme tekoälyn hallintastrategian tekoälyn käyttöönoton edistämiseksi organisaatiossa ja pyrimme tekoälyasetuksen noudattamiseen tulevaisuudessa;
2. toteutamme siinä määrin kuin se on mahdollista kartoituksen tekoälyjärjestelmistä, joita tarjotaan tai otetaan käyttöön alueilla, joita tekoälyasetuksen nojalla pidetään korkean riskin alueina;
3. edistämme henkilöstömme ja muiden tekoälyjärjestelmien kanssa heidän puolestaan työskentelevien henkilöiden tietoisuutta ja tekoälyn lukutaitoa ottaen huomioon heidän teknisen tietämyksensä, kokemuksensa, koulutuksensa ja tekoälyjärjestelmien käyttöympäristön sekä ottaen huomioon henkilöt tai henkilöryhmät, joihin tekoälyjärjestelmien käyttö vaikuttaa.

uskomme, että tekoälysopimuksen ydinpainotus tekoälyosaamisessa, käyttöönotossa ja hallinnassa kohdistuu oikeisiin prioriteetteihin sen varmistamiseksi, että tekoälyn hyödyt jakautuvat laajalti. Lisäksi ne ovat linjassa missiomme kanssa tarjota turvallista huipputeknologiaa, joka hyödyttää kaikkia.

EU:n tekoälyasetus⁠(avautuu uudessa ikkunassa) on merkittävä sääntelykehys, jonka tarkoituksena on hallita tekoälyn kehittämistä, käyttöönottoa ja käyttöä kaikkialla Euroopassa. Se keskittyy merkittävästi turvallisuuteen edistääkseen tekoälyn luotettavaa käyttöönottoa Euroopassa suojaten samalla terveyttä, turvallisuutta ja perusoikeuksia. Siinä esitetään uusia vaatimuksia, jotka perustuvat tekoälyjärjestelmiin liittyviin riskeihin, keskittyen erityisesti korkean riskin ja sopimattomiin käyttötapauksiin, sekä erityisvelvoitteita yleiskäyttöisille tekoälymalleille ja -järjestelmille. 

Vaikka säädäntöprosessi on valmis ja asetus tulee voimaan elokuussa 2024, tarvitaan vielä lisäohjeistusta ja täytäntöönpanoa koskevaa lainsäädäntöä asetuksen soveltamisalan määrittelemiseksi, erityisesti siltä osin kuin se koskee GPAI-malleja, kuten OpenAI:ta. 

Olemme OpenAI:lla sitoutuneet noudattamaan asetusta paitsi siksi, että se on lakisääteinen velvoitteemme, myös siksi, että asetuksen tavoite on linjassa tehtävämme kanssa kehittää ja ottaa käyttöön turvallista tekoälyä koko ihmiskunnan hyödyksi. Olemme ylpeitä voidessamme julkaista malleja, jotka ovat alan johtavia sekä ominaisuuksien että turvallisuuden suhteen. Uskomme tasapainoiseen ja tieteelliseen lähestymistapaan, jossa turvallisuustoimenpiteet⁠ on integroitu kehitysprosessiin alusta alkaen. Tiimimme kattavat laajan kirjon teknisiä toimia tekoälyn turvallisuushaasteiden ratkaisemiseksi, mukaan lukien mallien arvioinnit valmiusviitekehyksemme⁠ mukaisesti ennen niiden käyttöönottoa, sisäinen ja ulkoinen red teaming -toiminta⁠, käyttöönoton jälkeinen väärinkäytösten seuranta⁠, Bug Bounty⁠- ja kyberturvallisuuden apurahaohjelmat⁠ sekä osallistuminen aitousstandardien⁠ kehittämiseen. 

Teemme tiivistä yhteistyötä EU:n tekoälyviraston ja muiden asiaankuuluvien viranomaisten kanssa uuden asetuksen täytäntöönpanon myötä tulevina kuukausina, ja toivomme, että rakentamamme asiantuntemus auttaa edistämään asetuksen tavoitteita turvallisen ja hyödyllisen tekoälyn käyttöönotossa.  

Tässä viestissä tarjoamme yleiskatsauksen tekoälyasetuksen keskeisistä aiheista, keskittyen erityisesti kiellettyihin ja korkean riskin käyttötapauksiin.

Tekoälyasetus tulee voimaan 1. elokuuta 2024 20 päivää sen jälkeen, kun se on julkaistu EU:n virallisessa lehdessä. Vaikka useimmat asetuksen säännökset tulevat voimaan vasta 24 kuukauden kuluttua voimaantulosta, on pidettävä mielessä useita tärkeitä määräaikoja: 

• Kiellettyjen käytäntöjen kiellot tulevat voimaan kuusi kuukautta voimaantulon jälkeen (helmikuu 2025) 
• Käytännesäännöt, jotka kattavat monia asetuksen noudattamiseksi tarvittavia täytäntöönpanon yksityiskohtia, on viimeisteltävä yhdeksän kuukauden kuluessa voimaantulosta (toukokuu 2025). 
• Useimmat yleiskäyttöiset tekoälyvelvoitteet tulevat voimaan 12 kuukauden kuluttua voimaantulosta (elokuu 2025). 
• Useimpien korkean riskin tekoälyjärjestelmien velvoitteet tulevat voimaan 24 kuukautta voimaantulon jälkeen (elokuu 2026). 

Olemassa oleville GPAI-järjestelmille, joihin ei ole tehty olennaisia muutoksia, ja tietyille tekoälyjärjestelmille, jotka ovat tekoälyasetuksen liitteessä X mainittujen laaja-alaisten IT-järjestelmien komponentteja, on pidempi 36 kuukauden käyttöönottoaika (elokuu 2027).

Tekoälyasetusta sovelletaan pääasiassa tekoälyjärjestelmiin, jotka laissa määritellään konepohjaisiksi järjestelmiksi. Ne on suunniteltu toimimaan vaihtelevilla autonomian tasoilla, jotka voivat olla mukautuvia käyttöönoton jälkeen ja jotka eksplisiittisten tai implisiittisten tavoitteiden saavuttamiseksi päättelevät vastaanottamastaan syötteestä, miten luodaan fyysisiin tai virtuaalisiin ympäristöihin vaikuttavia tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä.  Tämä määritelmä on pääpiirteittäin yhdenmukainen OECD:n vuonna 2023 antaman tekoälyjärjestelmien määritelmän ja Bidenin hallinnon tekoälyn turvallisesta, suojatusta ja luotettavasta kehittämisestä ja käytöstä annetussa toimeenpanomääräyksessä 14110 käytetyn määritelmän kanssa.  

Tärkeää on, että tekoälyasetus tekee eron tekoälyjärjestelmien tarjoajien ja käyttöönottajien välillä. Palveluntarjoajat ovat OpenAI:n kaltaisia tahoja, jotka kehittävät tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin. Se sisältää myös tahot, jotka ovat kehittäneet tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin ja tuovat sen markkinoille tai jotka ottavat tekoälyjärjestelmän käyttöön omalla nimellään tai tavaramerkillään joko maksua vastaan tai maksutta. 

Käyttöönottajat ovat asiakkaita tai kumppaneita, jotka käyttävät näitä järjestelmiä tai malleja omissa sovelluksissaan, kuten integroimalla GPT‑4o‑mallin tiettyyn käyttötapaukseen. Vaikka suurin osa tekoälyasetuksen mukaisista velvoitteista koskee palveluntarjoajia eikä käyttöönottajia, on tärkeää huomata, että käyttöönottaja, joka integroi tekoälymallin omaan tekoälyjärjestelmäänsä, voi asetuksen nojalla tulla palveluntarjoajaksi esimerkiksi käyttämällä omaa tavaramerkkiään tekoälyjärjestelmässä tai muokkaamalla tekoälyjärjestelmää tavoilla, joita palveluntarjoaja ei ole tarkoittanut.

EU:n ulkopuolisten organisaatioiden on edelleen noudatettava tekoälyasetusta useiden edellytysten mukaisesti, jotka voivat olla melko laaja-alaisia.  Asetusta sovelletaan esimerkiksi, jos: 

• palveluntarjoaja saattaa tekoälyjärjestelmän tai GPAI-mallin EU:n markkinoille riippumatta siitä, sijaitseeko yritys EU:n alueella vai jossain toisessa maassa; 
• tekoälyjärjestelmän käyttöönottajat on perustettu tai niiden toimipaikka sijaitsee EU:n alueella; 
• tekoälyjärjestelmien toimittajat ja käyttöönottajat on perustettu tai ne sijaitsevat kolmannessa maassa, mutta tekoälyjärjestelmän tuottamaa tietoa käytetään EU:n alueella.

Tekoälyasetuksen laaja ekstraterritoriaalinen ulottuvuus tarkoittaa, että Euroopan ulkopuolisten yritysten on noudatettava asetusta palvellakseen EU:n alueella sijaitsevia asiakkaitaan riippumatta siitä, sijaitsevatko ne itse EU:n alueella vai eivät.

Tekoälyasetus perustuu riskiperusteiseen viitekehykseen, jossa on erityisvaatimuksia korkean riskin ja kohtuuttoman riskin tekoälyjärjestelmille. Asetus edellyttää yrityksiltä tekoälyjärjestelmiensä riskitason luokittelua vastaavien sääntelyvelvoitteiden määrittämiseksi ja määrittelee tekoälyjärjestelmien eri luokat tai tasot, joihin liittyy erilaisia velvoitteita.

Tietyt tekoälykäytännöt, joiden katsotaan aiheuttavan hyväksymättömän riskin yksilöiden oikeuksille, ovat kokonaan kiellettyjä. Näihin käytäntöihin kuuluvat:   

• Alitajuisten, manipuloivien tai harhaanjohtavien tekniikoiden käyttäminen käyttäytymisen vääristämiseksi ja tietoon perustuvan päätöksenteon heikentämiseksi, mikä aiheuttaa merkittävää vahinkoa. 
• Ikään, vammaisuuteen tai sosioekonomisiin olosuhteisiin liittyvien haavoittuvuuksien hyödyntäminen käyttäytymisen vääristämiseksi ja merkittävän vahingon aiheuttamiseksi. 
• Biometriset luokittelujärjestelmät, jotka päättelevät arkaluonteisia ominaisuuksia, kuten etninen tausta, poliittiset mielipiteet, ammattiliiton jäsenyys, uskonnolliset tai filosofiset vakaumukset, seksielämä tai seksuaalinen suuntautuminen (rajoitetuin poikkeuksin laillisesti hankittujen tietojoukkojen merkitsemiseksi tai suodattamiseksi ja lainvalvontakäyttöön) 
• Sosiaaliset pisteytysjärjestelmät, kuten järjestelmät, jotka arvioivat tai luokittelevat yksilöitä tai ryhmiä sosiaalisen käyttäytymisen tai henkilökohtaisten ominaisuuksien perusteella ja aiheuttavat heille haittaa. 
• Yksilön rikosriskin arviointi pelkästään profiloinnin tai persoonallisuuspiirteiden perusteella (rajoitettuja poikkeuksia lukuun ottamatta) 
• Kasvojentunnistustietokantojen kokoaminen internetistä tai valvontakameratallenteista kohdentamatta kasvokuvien avulla
• Tunteiden päättely työpaikoilla tai oppilaitoksissa 
• Reaaliaikainen biometrinen etätunnistus julkisilla paikoilla lainvalvontaa varten (tiettyjä poikkeuksia lukuun ottamatta).

Asetus asettaa tiukkoja velvoitteita järjestelmille, joiden katsotaan aiheuttavan merkittävän uhan henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille, ja jotka luokitellaan korkean riskin tekoälyksi (HRAI). Niitä ovat: a) järjestelmät, jotka ovat muiden EU-säädösten piiriin kuuluvien tuotteiden turvakomponentteja, ja b) erityiset käyttötapaukset, kuten järjestelmät, joiden tarkoituksena on määrittää pääsy oppilaitoksiin, rekrytoida tai valita työntekijöitä tai seurata työntekijöiden suoriutumista, määrittää kelpoisuus julkiseen tukeen, luottokelpoisuus tai arvioida kelpoisuutta sairausvakuutukseen ja sen hinnoittelua.  

HRAI-järjestelmien on täytettävä tiukat sääntelyvelvoitteet, kuten riskienhallintajärjestelmän perustaminen riskien ja lieventämisstrategioiden jatkuvaksi arvioimiseksi HRAI-järjestelmän koko elinkaaren ajan, kattavat tiedonhallintatoimenpiteet harhariskien testaamiseksi ja arvioimiseksi, yksityiskohtaisen teknisen dokumentaation laatiminen ennen järjestelmän markkinoille saattamista sekä jatkuvat valvontavelvoitteet. 

Muihin tekoälyjärjestelmiin, jotka eivät aiheuta kohtuutonta tai suurta riskiä, sovelletaan vain rajoitettuja vaatimuksia, kuten avoimuusvelvoitteita. Esimerkiksi asetus määrää, että henkilöille on ilmoitettava, kun he ovat vuorovaikutuksessa tekoälyjärjestelmän, kuten keskustelubotin, kanssa ja että keinotekoisesti manipuloidut kuvat, ääni- tai videosisältö on merkittävä selkeästi. Useimmat markkinoilla olevat tekoälyjärjestelmät kuuluvat todennäköisesti tähän kategoriaan.

Yleiskäyttöisten tekoälymallien ja -järjestelmien, kuten OpenAI:n, tarjoajiin sovelletaan erityisvaatimuksia. Näiden on: 

• laadittava mallista yksityiskohtainen tekninen dokumentaatio ja toimitettava se tekoälytoimistolle pyynnöstä
• luotava dokumentaatiota käyttöönottajille, jotka käyttävät GPAI-mallia omien tekoälyjärjestelmiensä kehittämiseen
• toteutettava EU:n tekijänoikeuslainsäädäntöä noudattavia käytäntöjä
• annettava yhteenveto GPAI-mallin kouluttamiseen käytetystä sisällöstä. 

Lisäksi GPAI-mallien tarjoajien, joilla on suuren vaikuttavuuden omaavat ominaisuudet ja joiden katsotaan aiheuttavan systeemisiä riskejä (esim. suurella laskentateholla koulutetut mallit, teknisesti määriteltynä 10^25 FLOPina), on: 

• suoritettava malliarviointeja systeemisten riskien tunnistamiseksi ja lieventämiseksi sekä arvioida ja lievennettävä jatkuvasti esitettyjä riskejä
• ilmoitettava EU-komissiolle malleista, jotka täyttävät tämän luokan kriteerit
• seurattava ja ilmoitettava vakavista vaaratilanteista 
• toteutettava asianmukaiset kyberturvallisuustoimenpiteet mallille ja sen fyysiselle infrastruktuurille

GPAI-mallien tarjoajat voivat osoittaa tekoälylain vaatimusten noudattamisen vetoamalla käytännesääntöihin. Nämä käytännesäännöt todennäköisesti luovat pohjan näiden velvoitteiden täytäntöönpanon yksityiskohdille, ja odotamme innolla yhteistyötä EU:n tekoälyviraston kanssa niiden kehittämisessä seuraavien yhdeksän kuukauden aikana. 

OpenAI on sitoutunut noudattamaan EU:n tekoälyasetusta ja teemme tiivistä yhteistyötä uuden EU:n tekoälyviraston kanssa asetuksen täytäntöönpanon myötä. Lähikuukausina jatkamme teknisen dokumentaation ja muun ohjeistuksen valmistelua GPAI-malliemme tarjoajille ja käyttöönottajille samalla, kun edistämme tarjoamiemme mallien turvallisuutta ja suojausta Euroopan markkinoilla ja sen ulkopuolella.   

Jos organisaatiosi selvittää, miten tekoälyasetusta voi noudattaa, tulee ensin luokitella kaikki sen soveltamisalaan kuuluvat tekoälyjärjestelmät. Tunnista käyttämäsi GPAI ja muut tekoälyjärjestelmät, määritä, miten ne on luokiteltu, ja harkitse käyttötapauksistasi johtuvia velvoitteita. Sinun tulisi myös selvittää, oletko palveluntarjoaja vai käyttöönottaja kaikkien soveltamisalaan kuuluvien tekoälyjärjestelmien suhteen. Nämä asiat voivat olla monimutkaisia, joten kannattaa kääntyä juristin puoleen, jos sinulla on kysyttävää.