1. Johdanto: Sääntely-ja valvontavajeen ytimessä
Artikkelissa tarkastellaan sääntely- ja valvontavajeen syitä, nykytilaa ja mahdollisia tulevaisuuden ratkaisuja. Esitystapa nojaa oikeudelliseen analyysiin, mutta huomioi myös teknologian ja yhteiskunnan kehitykseen liittyvät näkökulmat. Tällä hetkellä näyttää vahvasti siltä, että tekoäly karkaa lainsäätäjältä. Onko etumatka jo liiankin suuri?
Tekoäly (AI) on nopeasti vakiinnuttanut asemansa keskeisenä teknologiana yhteiskunnassa, samalla kun sen soveltamisalat ovat moninkertaistuneet. Siinä missä tekoäly aiemmin yhdistettiin lähinnä teknisiin kokeiluihin ja tutkimukseen, tänään se ohjaa luottopäätöksiä, seuloo työpaikkahakemuksia, diagnosoi sairauksia ja ohjaa ajoneuvoja. Teknologinen kehitys on ollut paitsi nopeaa, myös radikaalia.
Oikeudellisen sääntelyn näkökulmasta tämä kehitys on ongelmallinen. Lainsäädäntöprosessit ovat luonteeltaan hitaita, ja ne perustuvat perinteisesti varsin vakiintuneisiin ja pysyviin toimintaympäristöihin. Tekoälyn kohdalla sääntely reagoi vasta, kun teknologiset sovellukset ovat jo syvälle juurtuneita. Näin syntyy sääntelyvaje – tilanne, jossa oikeusjärjestelmä ei kykene tarjoamaan selkeitä vastauksia uusiin, teknologisesti muuntuviin kysymyksiin.
Ongelmana on myös sääntelyn valvonta. EU:n tekoälyasetus asettaa jo tälläkin hetkellä tiettyjä vaatimuksia myös Suomessa toimiville yhtiöille, mutta vielä tällä hetkellä Suomessa on epäselvää, kuka viranomainen EU:n tekoälyasetuksen noudattamista valvoo. Ratkaisu tähän on näillä näkymin odotettavissa kuluvan vuoden elokuussa. Sääntelyvajeen lisäksi voidaan siis puhua myös valvontavajeesta -tilanne, jossa annettujen sääntöjen noudattamista ei millään tavoin valvota.
2. Tekoälyn käytön laajuus ja monimuotoisuus
2.1 Tekoäly arjessa, työelämässä ja julkishallinnossa
Tekoäly ei ole enää tulevaisuuden teknologia. Se on jo osa arkea. Kuluttajien kohdalla se näkyy esimerkiksi sosiaalisen median suosittelualgoritmeissa ja digitaalisissa avustajissa.
Yrityksille tekoäly tarjoaa kilpailuetua esimerkiksi logistiikan optimoinnissa ja asiakaspalvelun automatisoinnissa.
Julkishallinnossa tekoälyä käytetään esimerkiksi verotarkastusten kohdentamiseen ja sosiaalietuuksien myöntämispäätösten tukena.
2.2 Käyttötapojen moninaisuus vaikeuttaa sääntelyä
Tämä laaja-alainen käyttökirjo tekee sääntelystä erityisen haastavaa. Ei ole olemassa yhtä tekoälyä, vaan valtava määrä sovelluksia, joiden toimintalogiikat, datalähteet ja vaikutukset eroavat toisistaan olennaisesti. Lainsäätäjä kohtaa siis tilanteen, jossa tulisi säätää teknologisesti neutraalisti mutta samalla riittävän tarkkarajaisesti, jotta sääntely olisi tehokasta.
2.3 Riskiperusteinen lähestymistapa – ratkaisu vai ongelma?
EU:n tekoälyasetus (AI Act) on rakentunut ns. riskiperusteisen mallin ympärille, jossa tekoälyjärjestelmät jaetaan riskikategorioihin niiden käyttötarkoituksen mukaan. Lähestymistapa on teoreettisesti elegantti, mutta käytännössä hankala: mikä on ”korkean riskin” sovellus, jos esimerkiksi kielimalli voi tukea lääkärin päätöksentekoa, mutta myös harhauttaa kuluttajaa?
Tekoälyn mahdollisuudella harhauttaa kuluttajaa viitataan tilanteisiin, joissa tekoälyjärjestelmä — usein kielimalli, suosittelualgoritmi tai muu päätöksentekojärjestelmä — esittää tietoa, antaa suosituksia tai ohjaa käyttäytymistä tavalla, joka voi johtaa kuluttajan kannalta harhaanjohtavaan tai epäedulliseen lopputulokseen. Tässä ei useinkaan ole kyse suorasta valheesta tai vilpillisestä tarkoituksesta, vaan tavasta, jolla tekoäly käsittelee, suodattaa tai painottaa tietoa.
Tällaisia tilanteita voivat olla esimerkiksi:
- Harhaanjohtavat tuotesuositukset
- Generatiivisen tekoälyn tuottama epäluotettava sisältö
- Persoonallisuuden profilointi ja manipuloiva markkinointi
- Deepfake-teknologia ja väärän identiteetin käyttö
EU:n tekoälyasetuksen yksi keskeinen tavoite on kieltää manipuloivat tai psykologisesti haitalliset tekoälysovellukset, erityisesti silloin kun ne kohdistuvat haavoittuviin ryhmiin.
2.4 Mitä haasteita sisältyy riskiperäiseen lähestymistapaan?
2.4.1 Riskin määrittely perustuu ennakolta tunnistettaviin käyttötarkoituksiin
Riskiperusteinen sääntely nojaa siihen, että tekoälyn käyttötarkoitus on selkeästi määritettävissä etukäteen ja siihen voidaan liittää tietty riskitaso (esim. vähäinen, rajallinen, korkea, kielletty).
Ongelma: Harhauttaminen ei ole aina järjestelmän ensisijainen tarkoitus, vaan se voi olla sivuvaikutus. Esimerkiksi suositusalgoritmi voi antaa vinoutuneita ehdotuksia käyttäytymismallien perusteella, vaikka sen varsinainen tarkoitus olisi lisätä käyttäjäaktiivisuutta.
Tällöin riski ei ilmene järjestelmän suunnitteludokumentaatiosta, eikä sitä välttämättä tunnisteta ennakolta korkean riskin sovellukseksi.
2.4.2 Käyttäytymisen manipulointi voi olla hienovaraista ja kontekstiin sidottua
Tekoälyn harhauttava vaikutus ei välttämättä täytä perinteisen petoksen tai manipuloinnin oikeudellista määritelmää. Kyse voi olla pehmeästä vaikuttamisesta, jota kuluttaja ei edes tunnista.
Ongelma: Riskiperusteinen lähestymistapa keskittyy konkreettisiin riskeihin (esim. fyysinen terveys, oikeusturva), mutta psykologiset, käyttäytymiseen vaikuttavat riskit jäävät helposti sääntelyrajojen ulkopuolelle — vaikka vaikutukset voivat olla yhtä haitallisia.
Esimerkiksi persoonaprofilointiin perustuva mainonta voi ohjata käyttäjää impulsiiviseen tai harkitsemattomaan päätöksentekoon.
2.4.3 Riskiperusteinen sääntely ei huomioi vaikutusta yksittäiseen käyttäjään
Riskiluokitukset tehdään sovellustasolla, ei käyttäjätasolla. Mutta harhauttaminen on usein yksilöllinen kokemus: sama järjestelmä voi olla yhdelle käyttäjälle täysin neutraali, mutta toiselle haitallinen.
Ongelma: Riskiperusteinen sääntely ei kykene riittävästi huomioimaan tilanteita, joissa haitta syntyy yksilön subjektiivisesta kokemuksesta, kuten kognitiivisesta kuormituksesta, epäselvästä käyttöliittymästä tai luottamuksen väärinkäytöstä.
Esimerkiksi vanhus voi tulkita chatbotin suosituksen ”asiantuntijaneuvoksi”, vaikka se ei olisi sitä.
2.4.4 Harhauttaminen voi tapahtua järjestelmäkokonaisuudessa, ei yksittäisessä sovelluksessa
Riskiluokitus kohdistuu yleensä yksittäisiin tekoälyjärjestelmiin. Todellisuudessa monet haitat syntyvät järjestelmien yhteisvaikutuksesta, kuten algoritmien, alustojen ja datavirtojen yhdistelmistä.
Ongelma: Jos riskiluokitus ei kata ekosysteemitason vaikutuksia, kuluttajaa suojaava sääntely jää vaikutuksiltaan puutteelliseksi / tehottomaksi.
Esim. kielimalli + suosittelujärjestelmä + maksualusta voivat yhdessä mahdollistaa manipuloivan ostopolun, jota mikään niiden yksittäinen komponentti ei yksin aiheuta.
2.4.5 Sääntelyn painopiste voi siirtyä pois kuluttajansuojasta
Riskiperusteinen sääntely painottaa turvallisuutta ja perusoikeuksia, mutta ei eksplisiittisesti kuluttajansuojaa. Tämä voi johtaa siihen, että kuluttajan harhauttaminen nähdään toissijaisena ongelmana — erityisesti jos se ei aiheuta ”vakavaa haittaa”.
Ongelma: Harhaanjohtaminen voi kuitenkin murentaa luottamusta, vinouttaa markkinoita ja heikentää oikeuksien toteutumista pitkällä aikavälillä, vaikka vaikutus ei ole heti mitattavissa.
2.4.6 Yhteenveto:
Riskiperusteinen lähestymistapa ei ole täysin riittävä silloin, kun tekoäly harhauttaa kuluttajaa, koska:
- Harhauttaminen voi olla epäsuoraa ja sivuvaikutuksellista.
- Manipulaation vaikutus voi olla kontekstiin ja yksilöön sidottua.
- Järjestelmien välinen yhteisvaikutus jää sääntelyn ulkopuolelle.
- Sääntely ei reagoi riittävän nopeasti hienovaraiseen vaikutusvaltaan.
- Kuluttajansuojaa ei priorisoida eksplisiittisesti.
3. Mitä sääntelyä nyt on olemassa?
3.1 EU:n tekoälyasetus (AI Act) – mitä se kattaa ja mitä ei
AI Act on ensimmäinen merkittävä sääntelykokonaisuus, joka keskittyy yksinomaan tekoälyyn. Se asettaa vaatimuksia mm. riskinarvioinnille, läpinäkyvyydelle, tiedon laadulle, dokumentoinnille ja valvonnalle. Se myös kieltää tietyt korkeariskiset käyttötavat, kuten manipuloivan käyttäytymisen analyysin, joka perustuu psykologiseen profilointiin.
Kuitenkin AI Act ei ole teknologianeutraali: se soveltuu vain ”tekoälyjärjestelmiin”, jotka täyttävät tietyn määritelmän. Siten esimerkiksi ohjelmistot, jotka käyttävät tekoälyä osana suurempaa järjestelmää, voivat jäädä sääntelyn ulkopuolelle.
3.2 Kansalliset lainsäädäntöhankkeet
EU:n jäsenvaltiot – Suomi mukaan lukien – ovat ryhtyneet kartoittamaan, kuinka kansallista lainsäädäntöä tulisi täydentää AI Actin ohella. Tähän liittyy kysymyksiä muun muassa vahingonkorvausvastuusta ja valvontaviranomaisten toimivallasta.
Kansallisesti on nähtävissä pyrkimystä luoda toimintamalleja esimerkiksi tekoälyn eettiseen arviointiin, mutta lainsäädännöllinen konkretia on edelleen rajallista ja realiteetti lainsäädännön voimaan saattamisen osalta on se, että lainsäätämisprosessi on verraten pitkä ja aikaa vielä toimenpide -eikä tilannetta yhtään helpota se, että kysymys on aihealueesta, johon liittyy hyvin moninaisia useisiin oikeudenaloihin liittyviä perustavaa laatua olevia kysymyksiä, jota ei vielä minkään valtion kansallisessa lainsäädännössä ole ratkaistu.
3.3 Olemassa olevan oikeuden soveltaminen tekoälyyn
Monet oikeudelliset kysymykset pyritään ratkaisemaan soveltamalla olemassa olevaa sääntelyä. Esimerkiksi tekoälyn tekemistä päätöksistä aiheutuviin vahinkoihin sovelletaan vahingonkorvausoikeuden periaatteita. Tietosuojaan liittyvät kysymykset taas pyritään ratkaisemaan GDPR:n keinoin.
Ongelmana on kuitenkin se, ettei lainsäädäntö ole suunniteltu autonomisesti toimivien järjestelmien kontekstiin, mikä saa aikaan sen, että lainsäädännössä tulee ottaa kantaa myös kysymyksiin, joita aiemmin ei ole mietitty esimerkiksi kysymyksiin, tulisiko tekoälyä varten luoda uusi oikeushenkilön luokitus, johon tietyt oikeusvaikutukset liitettäisiin.
Esimerkki: Voiko rekrytointiautomaattiin syötetyn datan vinouma johtaa syrjintään? Kyllä voi, mutta miten todentaa tekoälyjärjestelmän syrjintä, jos sen sisäinen logiikka on musta laatikko? Tällaiset tilanteet haastavat sekä prosessuaalisen oikeudenmukaisuuden että vastuun kohdentamisen.
”mustan laatikon kysymys” eli black box -ongelma on yksi tekoälyyn liittyvän oikeudellisen keskustelun keskeisimmistä ja haastavimmista teemoista. Se viittaa siihen, että tekoälyn toiminta on osittain tai kokonaan läpinäkymätöntä sekä käyttäjälle, kehittäjälle että joskus jopa järjestelmän valvojalle.
3.4 Mikä on ”Mustan laatikon kysymys”?
”mustan laatikon kysymys” eli black box -ongelma on yksi tekoälyyn liittyvän oikeudellisen keskustelun keskeisimmistä ja haastavimmista teemoista. Se viittaa siihen, että tekoälyn toiminta on osittain tai kokonaan läpinäkymätöntä sekä käyttäjälle, kehittäjälle että joskus jopa järjestelmän valvojalle.
3.4.1 Määritelmä: Mitä on musta laatikko tekoälyssä?
Tekoälyjärjestelmä toimii syötteen (input) ja tuloksen (output) välissä tavalla, jota ei voida täysin ymmärtää tai jäljittää. Vaikka tiedämme, mitä järjestelmä tekee, emme välttämättä tiedä miksi tai miten se teki tietyn päätöksen.
Tämä on erityisen tyypillistä syväoppimisessa (deep learning), jossa kone oppii suurista tietomassoista muodostamalla sisäisiä malleja, joita ei ole erikseen ohjelmoitu ihmisen toimesta.
3.4.2 Miksi se on ongelma juridiikassa?
Oikeusjärjestelmä perustuu läpinäkyvyyteen, perusteltavuuteen ja vastuun kohdentamiseen. Mustan laatikon tilanteissa nämä periaatteet joutuvat koetukselle:
- Läpinäkyvyys: Käyttäjä ei ymmärrä, miten tai miksi päätös tehtiin.
- Perusteltavuus: Päätöksen logiikkaa ei voida jälkikäteen arvioida tai kyseenalaistaa.
- Vastuu: Jos tekoäly tekee virheen, kuka on vastuussa, jos kukaan ei täysin ymmärrä sen toimintaa?
Esim. jos pankin automaattinen luottopäätösjärjestelmä hylkää hakemuksen, asiakkaalla on oikeus saada perustelu — mutta entä jos järjestelmän toimintaa ei voida selittää ihmiskielellä?
3.4.3 Mustan laatikon oikeudelliset seuraukset
a) Prosessuaalinen oikeudenmukaisuus:
Asianosaisten oikeus ymmärtää päätöksiä ja vaikuttaa niihin vaarantuu. Hallintopäätökset tai rekrytointiprosessit, joita tekoäly tukee, eivät saa jäädä selityksettömiksi.
b) Syrjintäriskit:
Jos tekoäly hylkää työhaastattelun perusteella vähemmistöön kuuluvan hakijan, mutta päätöksen logiikka on musta laatikko, syrjinnän toteaminen voi olla mahdotonta.
c) Vastuun hämärtyminen:
Jos päätöksenteko perustuu ei-selittävissä olevaan algoritmiin, voi syntyä tilanne, jossa kukaan ei kanna vastuuta.
3.4.4 Miten ongelmaa voidaan hallita?
Oikeudellisessa keskustelussa esiin nousee usein vaatimukset:
- Selitettävyyden (explainability) kehittämisestä:
Järjestelmien pitäisi tuottaa ihmisen ymmärrettäviä perusteluja (vaikka se tarkoittaisi kompromisseja tarkkuudessa). - Audit trail -vaatimuksista:
Järjestelmän toiminnasta on säilytettävä lokitiedot, joita voidaan tarkastella jälkikäteen. - Käyttörajoituksista:
Mustan laatikon tekoälyä ei tulisi käyttää korkeaa oikeussuojaa edellyttävissä päätöksissä (esim. rikosoikeus, sosiaalietuudet, lääketieteelliset diagnoosit), ellei selitettävyys ole riittävällä tasolla.
3.4.5 Esimerkki mustan laatikon ongelmasta:
Yritys käyttää tekoälyä automatisoidakseen työhaastattelujen analysoinnin. Järjestelmä antaa jokaiselle hakijalle ”soveltuvuuspisteet”, mutta kukaan ei tiedä, mitä piirteitä järjestelmä priorisoi – äänenpainot, eleet, kielioppi, sukupuoli? Yksi hakija haluaa oikaista hylkäävän päätöksen, mutta yritys ei pysty antamaan ymmärrettävää perustelua, koska järjestelmä perustuu syväoppimiseen eikä tuota selkeitä sääntöjä.
3.4.6 Yhteenveto:
”Mustan laatikon kysymys” tarkoittaa sitä, että tekoälyn päätöksenteko on läpinäkymätöntä. Tämä on ongelmallista, koska se heikentää oikeusturvaa, vaikeuttaa vastuun määrittämistä ja altistaa järjestelmät epäeettiselle tai syrjivälle toiminnalle — usein huomaamatta.
Lainsäädännössä, erityisesti EU:n AI Actissa, korostetaan läpinäkyvyyttä ja selitettävyyttä keskeisinä oikeudellisesti vaadittavina ominaisuuksina korkean riskin tekoälysovelluksille.
4. Tekoälyyn liittyvän sääntelyn haasteet
4.1 Teknologian nopea kehitys vs. hidas lainsäädäntöprosessi
Lainsäädäntö ei elä teknologisen kehityksen rytmissä. Tämä on rakenteellinen ongelma, jota ei ratkaista yksittäisillä säädöksillä. EU:n AI Actin valmistelu vei vuosia, ja sinä aikana tekoälymallien sukupolvi ehti vaihtua ainakin kahdesti.
4.2 Miten säädellä ilman, että innovaatio tukahdutetaan?
Sääntelyllä on oltava legitiimi tarkoitus, mutta se ei saa estää teknologista kehitystä. Tämä balanssi on äärimmäisen vaikea saavuttaa. Siksi sääntelyssä tarvitaan mekanismeja, jotka mahdollistavat kokeilut, mutta asettavat ne valvottuihin puitteisiin – esimerkiksi ”regulatory sandbox” -mallien avulla.
4.3 Läpinäkyvyys, selitettävyys ja oikeudenmukaisuus – vaikeasti lainsäädettäviä periaatteita
Vaikka algoritmien selitettävyys on tärkeä oikeudellisen arvioinnin ja luottamuksen kannalta, sitä on vaikea vaatia järjestelmiltä, jotka perustuvat monimutkaisiin koneoppimismalleihin.
Perustuslailliset vaatimukset oikeudenmukaisuudesta ja syrjimättömyydestä ovat voimassa, mutta niiden täytäntöönpano edellyttää uusia oikeudellisia tulkintakehyksiä.
5. Tarvitaanko kokonaan uusi sääntelykehys?
5.1 Nykyisen sääntelyn korjaaminen vai uuden kehikon rakentaminen?
Yksi keskeinen kysymys on, voidaanko nykyistä lainsäädäntöä päivittää riittävästi vai tarvitaanko täysin uusi oikeudellinen paradigma. Tekoälyn erityisluonne – autonomisuus, dynaamisuus ja epätarkkuus – haastaa perinteiset oikeudelliset kategoriat.
5.2 Ehdotuksia sääntelyn joustavoittamiseen
Sääntelyä tulisi kehittää iteratiivisesti. Yksi mahdollinen lähestymistapa on modulaarinen sääntely: eri toimialoille suunnatut ohjeistukset, joita voidaan päivittää teknologian kehittyessä. Toinen lähestymistapa on sisällyttää sääntelyyn sisäisiä tarkistusmekanismeja ja siirtymäaikoja, jotka estävät sääntelyn vanhenemisen jo ennen niiden voimaantuloa.
5.3 Juridiset ja eettiset lähtökohdat tulevaisuuden sääntelylle
Oikeudellisesti keskeistä on turvata yksilön oikeudet, erityisesti oikeus tietoon, oikeusturvaan ja syrjimättömään kohteluun.
Eettisesti sääntelyn on pyrittävä edistämään vastuullista innovaatiota ja sosiaalista oikeudenmukaisuutta.
Tekoälyn sääntely ei ole vain tekninen tehtävä, vaan arvovalinta.
6. Johtopäätökset: Sääntely ei saa jäädä passiiviseksi sivustakatsojaksi
Tekoälyn kehitys on tosiasia, eikä sitä voi pysäyttää.
Lainsäätäjän rooli ei ole katsoa vierestä, vaan ohjata kehitystä siten, että teknologia palvelee oikeusvaltion periaatteita ja yhteiskunnallista oikeudenmukaisuutta.
Toimiva sääntely vaatii paitsi lainsäädäntöä myös oikeuskäytäntöä, hallintokäytäntöä ja akateemista tutkimusta, joka kehittää oikeudellista ymmärrystä teknologian luonteesta ja vaikutuksista.
Sääntelyvaje ei ole vain oikeudellinen ongelma – se on yhteiskunnallinen riski. Vain riittävän kattava ja älykäs sääntelykehys voi varmistaa, että tekoälyn kehitys tapahtuu ihmisoikeuksia ja oikeusvaltioperiaatetta kunnioittaen.