Elokuussa 2024 voimaan astunut EU AI Act alkaa vaikuttaa käytännössä vuonna 2026. Säädöksen tavoitteena on varmistaa tekoälyn turvallinen ja vastuullinen käyttö, joka kunnioittaa Euroopan unionin arvoja ja perusoikeuksia. Säädös koskee sekä EU:ssa toimivia yrityksiä että niitä toimijoita, jotka haluavat päästä EU-markkinoille.
EU AI Act luokittelee tekoälyjärjestelmät kolmeen riskiluokkaan: korkean, rajoitetun ja matalan riskin järjestelmät. Korkean riskin järjestelmiin, kuten terveydenhuollon diagnoosijärjestelmiin, autonomiseen liikenteeseen tai rekrytointipäätöksiin, kohdistuu tiukat turvallisuus- ja läpinäkyvyysvaatimukset. Rajoitetun riskin järjestelmiin, kuten chatbotteihin, jotka käsittelevät henkilötietoja tai vaikuttavat merkittävästi ihmisten päätöksentekoon esimerkiksi talouteen ja koulutukseen liittyvissä tilanteissa, vaaditaan läpinäkyvyyttä ja vastuullisuutta. Matalan riskin järjestelmiä, kuten pelejä, yksinkertaisia ja informatiivisia chatboteja tai roskapostisuodattimia, ei säädellä yhtä tiukasti.
Tekoälyn käyttö on EU AI Actissa kielletty sovelluksissa, jotka uhkaavat ihmisten turvallisuutta tai perusoikeuksia. Tekoälyä ei esimerkiksi saa käyttää manipuloimaan ihmisten käyttäytymistä fyysisesti tai henkisesti haitallisin seurauksin. Samoin kiellettyä on ”sosiaalinen pisteytys”, jossa yksilöitä arvioidaan heidän käyttäytymisensä perusteella, mikä voisi vaikuttaa heidän mahdollisuuksiinsa osallistua yhteiskuntaan tai saada palveluita. Laiton biometrinen valvonta, kuten reaaliaikainen kasvojentunnistus julkisissa tiloissa ilman erityislupaa, on myös kielletty.
Säädös kattaa useita toimialoja, kuten terveydenhuollon, koulutuksen ja lainvalvonnan, ja asettaa näille aloille tiukat turvallisuusvaatimukset. Rikkureille on luvassa vakavia seuraamuksia, kuten huomattavat sakot ja järjestelmien poistaminen markkinoilta. Poikkeuksia voidaan tehdä esimerkiksi kansallisen turvallisuuden nimissä, mutta silloinkin sovelletaan tiukkoja sääntelyvaatimuksia. Rikkomusten valvonta on kansallisten toimijoiden sekä EU:n yhteistyötä.
EU AI Act ei ole muuttumaton, vaan siihen voidaan tehdä päivityksiä ja täydennyksiä teknologian ja yhteiskunnallisten tarpeiden muuttuessa. Ajankohtaisuuteen pyritään sääntelykehyksellä, joka on riittävän yleinen soveltuakseen laajasti erilaisiin tekoälysovelluksiin, mutta samalla riittävän yksityiskohtainen käsitellessään korkean riskin sovelluksia.
AI Act, Data Act ja GDPR täydentävät toisiaan. Data Act keskittyy tiedon hallintaan ja jakamiseen, kun taas GDPR suojaa henkilötietoja. AI Act asettaa tekoälyn käytölle eettisiä ja turvallisuuteen liittyviä vaatimuksia, jotka tukevat molempia säädöksiä.
