Tekoäly tuotteissa ja teollisuudessa

Tällä sivulla kuvataan EU:n tekoälyasetuksen keskeisiä velvoitteita yrityksille, jotka valmistavat, maahantuovat, jakelevat tai myyvät tuotteita, joissa hyödynnetään tekoälyä.

Painopiste on niissä tuoteryhmissä, joissa Tukes toimii suuririskisten tekoälyjärjestelmien markkinavalvontaviranomaisena:

hissit ja hissien turvakomponentit
räjähdysvaarallisissa tiloissa käytettäviksi tarkoitetut laitteet ja suojajärjestelmät (ATEX)
painelaitteet
kaasulaitteet (GAR)
kuluttajien käyttöön tarkoitetut koneet
kuluttajien käyttöön tarkoitetut henkilönsuojaimet
lelut.

Tekoälyjärjestelmille ei ole ennakkohyväksyntää. Tarjoajan, käyttöönottajan ja muiden asetuksessa määriteltyjen toimijoiden vastuulla on varmistaa, että tuotteet ja järjestelmät täyttävät niille asetetut vaatimukset.

Tekoälyasetuksen valvonta on Suomessa hajautettu eri viranomaisille. Löydät sivun lopusta linkkejä lisätietoon.

Mitä EU:n tekoälyasetus tarkoittaa yrityksille?

EU:n tekoälyasetuksella (EU) 2024/1689 vahvistetaan yhdenmukaistetut säännöt tekoälyjärjestelmien markkinoille saattamiselle, käyttöönotolle ja käytölle Euroopan unionissa. Sääntelyn tarkoituksena on parantaa sisämarkkinoiden toimintaa samalla suojellen terveyttä, turvallisuutta ja perusoikeuksia.

Tekoälyasetusta ja sitä täydentävää kansallista lakia eräiden tekoälyjärjestelmien valvonnasta (1377/2025) sovelletaan sektorikohtaista tuoteturvallisuussääntelyä täydentävästi. Tämä tarkoittaa, että yrityksen pitää huomioida sekä tuotetta koskevat vaatimukset että tekoälyasetuksen vaatimukset.

Voimaantulo

Tekoälyasetus on tullut voimaan 2.8.2024 ja sen soveltaminen alkaa vaiheittain. Asetuksen pääasiallinen soveltaminen alkaa 2.8.2026.

Tekoälyasetuksessa tekoälyjärjestelmille asetetaan vaatimuksia riskiperusteisesti. Lisäksi asetuksessa on sääntelyä esimerkiksi kielletyistä tekoälyyn liittyvistä käytännöistä, joiden osalta soveltaminen on alkanut 2.2.2025.

Suuririskisiin tekoälyjärjestelmiin liittyvien velvoitteiden soveltaminen alkaa asetuksen mukaan pääasiallisesti 2.8.2026 ja viimeistään 2.8.2027. Euroopan komissio on kuitenkin ehdottanut, että suuririskisten järjestelmien velvoitteiden soveltamisen aikataulu sidottaisiin standardien ja ohjeiden saatavuuteen. Asian käsittely on vielä kesken. Lisää tietoa aiheesta on saatavilla komission verkkosivujen kautta: Digital Omnibus on AI Regulation Proposal | Shaping Europe’s digital future.

Toimijoiden velvollisuudet

Tekoälyasetuksen velvoitteet määräytyvät tekoälyjärjestelmän riskiluokan mukaan. Vaikka suurin osa asetuksen sääntelystä koskee suuririskisiä tekoälyjärjestelmiä, tekoälyasetuksessa asetetaan velvoitteita myös muille kuin suuririskisille tekoälyjärjestelmille. Monet tekoälyjärjestelmistä jäävät suuririskisen tekoälyjärjestelmän määritelmän ulkopuolelle, ja muita kuin suuririskisiä järjestelmiä koskee lähinnä tekoälyasetuksen avoimuusvelvoite.

Yleiskäyttöisille tekoälyjärjestelmille on myös omat erilliset vaatimuksensa. Näiden vaatimusten noudattamista valvoo komissio.

Kuten perinteisessä tuoteturvallisuussääntelyssä, myös tekoälyasetuksessa velvollisuudet on lueteltu toimijaroolikohtaisesti. Toimijalla tarkoitetaan tekoälyasetuksessa tarjoajaa, tuotteen valmistajaa, käyttöönottajaa, valtuutettua edustajaa, maahantuojaa tai jakelijaa.

Alla on kuvattu yleisluontoisesti tekoälyaseasetuksen asettamia velvollisuuksia riskiluokan mukaan. Tarkempaa tietoa toimijarooleista ja toimijoiden velvollisuuksista on Traficomin verkkosivuilla: Tekoälyasetuksen toimijoiden velvollisuudet | Traficom.

Tietyt tekoälyyn liittyvät, erityisen haitalliset käytännöt on tekoälyasetuksella muutamia erityisiä lainvalvonnallisia poikkeuksia lukuun ottamatta kielletty.

Asetuksella kielletään näiden tiettyjen tekoälyjärjestelmien saattaminen EU:n markkinoille, käyttöönotto tai käyttö sellaisia käytäntöjä varten, jotka ovat luontaisesti perusoikeuksien ja unionin arvojen vastaisia. Kiellettyjä ovat sellaiset asetuksessa tarkemmin kuvatut tekoälyjärjestelmät, jotka liittyvät esimerkiksi manipulointiin sekä sosiaaliseen valvontaan ja kontrolliin.

Komissio on julkaissut ohjeistuksen kielletyistä käytännöistä: Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act. | Shaping Europe’s digital future.

Suuririskisillä tekoälyjärjestelmillä tarkoitetaan tekoälyjärjestelmiä, joilla voi olla merkittävä haitallinen vaikutus ihmisten terveyteen, turvallisuuteen ja perusoikeuksiin unionissa. Suuririskiset tekoälyjärjestelmät määritellään tekoälyasetuksen 6 artiklassa, jota on luettava yhdessä asetuksen liitteiden I ja III kanssa. Traficomin verkkosivuilla on avattu suuririskiseksi luokittelua: Tietoa EU:n tekoälyasetuksesta | Traficom.

Suuririskisten tekoälyjärjestelmien on täytettävä tekoälyasetuksessa niille säädetyt vaatimukset. Vaatimukset koskevat esimerkiksi riskinhallintajärjestelmää, teknistä dokumentaatiota ja ihmisen suorittamaa valvontaa.

Suuririskisen tekoälyjärjestelmän tarjoajalla on monia velvoitteita. Tarjoajien on varmistettava, että niiden suuririskiset tekoälyjärjestelmät ovat asetuksen vaatimusten mukaisia ja esimerkiksi muun ohella otettava käyttöön laadunhallintajärjestelmä, jolla varmistetaan asetuksen noudattaminen. Maahantuojilla, jakelijoilla ja muilla toimijoilla on omat asetuksessa luetellut velvollisuutensa.

Tekoälyasetuksessa säädetään erikseen tiettyjen tekoälyjärjestelmien tarjoajia ja käyttöönottajia koskevista avoimuusvelvoitteista. Avoimuusvelvoitteet koskevat myös muita kuin suuririskisiä tekoälyjärjestelmiä. Esimerkiksi ihmisten kanssa suoraan vuorovaikutukseen tarkoitettujen tekoälyjärjestelmien osalta tarjoajien on yleensä varmistettava, että järjestelmät suunnitellaan ja toteutetaan siten, että asianomaisille henkilöille ilmoitetaan, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa.

Tekoälyasetus ei aseta mitään vaatimuksia sellaisille tekoälyjärjestelmille, jotka aiheuttavat hyvin vähäisen riskin tai eivät ollenkaan riskiä. Tyypillisiä vähäisen riskin järjestelmiä, joihin ei yleensä kohdistu erityisiä velvoitteita, ovat esimerkiksi roskapostin ja haittaviestien suodatus sähköpostijärjestelmissä sekä tekstin automaattinen oikoluku, kielentarkistus ja käännöstyökalut.

Tekoälyasetuksessa on erikseen sääntelyä, joka koskee yleiskäyttöisiä tekoälymalleja. Asetuksessa yleiskäyttöisellä tekoälymallilla (General-Purpose AI, GPAI) tarkoitetaan mallia, joka on koulutettu laajalla datalla, joka kykenee suoriutumaan monenlaisista tehtävistä ja jota voidaan käyttää useisiin eri käyttötarkoituksiin. Tällaisia voisivat olla esimerkiksi suuret kielimallit (Large Language Model, LLM).

Kriittiseen infrastruktuuriin liittyvien suuririskisten tekoälyjärjestelmien rekisteröintivelvoite

Tekoälyasetus edellyttää myös, että tietyt tekoälyjärjestelmät rekisteröidään kansallisesti. Rekisteröintivelvollisuus koskee tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi turvakomponentteina kriittisen digitaalisen infrastruktuurin, tieliikenteen tai vesi-, kaasu-, lämmitys- tai sähköhuollon hallinnassa ja toiminnassa.

Kansallisen toimeenpanosääntelyn valmistelu on kesken: Hallituksen esitys eräiden tekoälyjärjestelmien valvonnasta annetun lain muuttamiseksi ja eräiksi muiksi laeiksi (tekoälyasetuksen II vaiheen täytäntöönpano) - Työ- ja elinkeinoministeriö.

Tekoälyn sääntelyn testiympäristö

Tekoälyasetus edellyttää, että kansallisesti perustetaan vähintään yksi tekoälyn sääntelyn testiympäristö. Tekoälyn sääntelyn testiympäristö on valvottu ja rajattu ympäristö, joka tarjoaa tekoälyjärjestelmien kehittäjille mahdollisuuden kehittää, kouluttaa ja testata tarvittaessa todellisissa olosuhteissa innovatiivista tekoälyjärjestelmää. Testaus tapahtuu testisuunnitelman mukaisesti rajoitetun ajan viranomaisvalvonnassa.

Testiympäristöistä eli ns. hiekkalaatikoista voi lukea lisää Traficomin verkkosivuilta: Tekoälyn sääntelyn testiympäristöt | Traficom.

Kansallisen toimeenpanosääntelyn valmistelu on kesken: Hallituksen esitys eräiden tekoälyjärjestelmien valvonnasta annetun lain muuttamiseksi ja eräiksi muiksi laeiksi (tekoälyasetuksen II vaiheen täytäntöönpano) - Työ- ja elinkeinoministeriö.

Tekoälyjärjestelmien markkinavalvonta

Tekoälyjärjestelmien valvonta on osa markkinavalvontajärjestelmää. Tekoälyasetuksen valvonta Suomessa perustuu hajautettuun valvontamalliin, jossa tekoälyjärjestelmiä koskevat markkinavalvontatehtävät on hajautettu eri viranomaisille näiden jo olemassa olevien toimialojen mukaisesti.

Tiettyjä valvontatehtäviä on kuitenkin keskitetty:

Tietosuojavaltuutettu valvoo kiellettyjen tekoälyyn liittyvien käytäntöjen noudattamista.
Traficom toimii keskitettynä yhteyspisteenä, koordinoi viranomaistyötä ja valvoo avoimuusvelvoitteita, kun kyse ei ole suuririskisestä tekoälyjärjestelmästä.

Seuraamusmaksut määrää Traficomin yhteydessä toimiva tekoälyjärjestelmien valvonnan seuraamusmaksulautakunta.

Tukes markkinavalvojana

Tukes on suuririskisten tekoälyjärjestelmien markkinavalvontaviranomainen hisseihin ja hissien turvakomponentteihin, räjähdysvaarallisissa tiloissa käytettäviksi tarkoitettuihin laitteisiin ja suojajärjestelmiin (ATEX), painelaitteisiin, kaasulaitteisiin (GAR), kuluttajien käyttöön tarkoitettuihin koneisiin, kuluttajien käyttöön tarkoitettuihin henkilönsuojaimiin sekä leluihin liittyvissä tapauksissa.

Tukesin tehtävänä on valvoa myös kyseisiin tekoälyjärjestelmiin kohdistuvien tekoälyasetuksen mukaisten avoimuusvelvoitteiden noudattamista. Lisäksi Tukes valvoo, että tuotteet täyttävät niitä koskevan EU:n yhdenmukaistamislainsäädännön vaatimukset.

Tukes valvoo suuririskisiä tekoälyjärjestelmiä myös tekoälyasetuksen liitteen III 2 kohdassa tarkoitetussa kriittisessä infrastruktuurissa. Tämä koskee tilanteita, joissa tekoälyjärjestelmä on tarkoitettu käytettäväksi turvakomponenttina energiatoimialan kaasualaa koskevan alasektorin hallinnassa ja toiminnassa (lukuun ottamatta Energiaviraston toimivaltaan kuuluvia tekoälyjärjestelmiä) tai vesihuollon hallinnassa ja toiminnassa.

Tekoälyjärjestelmän määritelmä

Riskiperusteisen luokittelun lisäksi tekoälyasetuksen soveltamisalaa rajaa tekoälyjärjestelmän määritelmä. Asetuksessa tekoälyjärjestelmällä tarkoitetaan:

konepohjaista järjestelmää, joka on suunniteltu toimimaan käyttöönoton jälkeen vaihtelevilla autonomian tasoilla ja jossa voi ilmetä mukautuvuutta käyttöönoton jälkeen ja joka päättelee vastaanottamastaan syötteestä eksplisiittisiä tai implisiittisiä tavoitteita varten, miten tuottaa tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa fyysisiin tai virtuaalisiin ympäristöihin.

Määritelmän keskeiset osatekijät ovat:

Konepohjainen järjestelmä: Viittaa laitteistoihin ja ohjelmistoihin, joiden varaan järjestelmä rakentuu.
Autonominen toiminta: Järjestelmä on suunniteltu toimimaan vaihtelevilla autonomian tasoilla, tarkoittaen jonkinlaista ihmistoiminnasta riippumatonta päätöksentekoa.
Mukautuvuus: Järjestelmä voi muuttua ja oppia käyttöönoton jälkeen (tämä ei kuitenkaan ole edellytys tekoälyjärjestelmän määritelmän täyttymiselle).
Tavoitteet (eksplisiittiset tai implisiittiset): Järjestelmän sisäiset tavoitteet voivat erota sen käyttötarkoituksesta ja voivat olla suoraan ohjelmoituja tai pääteltävissä toiminnasta.
Päätteleminen: Järjestelmä päättelee syötteistä, miten tuottaa tuotoksia. Tämä toiminta eroaa pelkästään sääntöihin perustuvasta ohjelmoinnista.
Tuotokset: Ennusteet, sisältö, suositukset tai päätökset, joilla on potentiaalia vaikuttaa ympäristöön.
Vuorovaikutus ympäristön kanssa: Järjestelmä vaikuttaa fyysiseen tai virtuaaliseen ympäristöönsä.

Komissio on julkaissut ohjeistuksen tekoälyjärjestelmän määritelmästä: The Commission publishes guidelines on AI system definition to facilitate the first AI Act’s rules application | Shaping Europe’s digital future.
Traficomin verkkosivuilla on kuvattu tarkemmin, mitä tekoälyjärjestelmät ovat: Tietoa EU:n tekoälyasetuksesta | Traficom.