Päivitetty: 27. kesäk. 2024
Osana Euroopan unionin uutta digisääntelyä säädettiin kokonaisuus, joka koostuu digimarkkinasäädöksestä (Digital Marketing Act, DMA) ja digipalvelusäädöksestä (Digital Services Act, DSA). Ensin mainitulla asetettiin velvoitteita suurille ydinalustapalveluille, niin kutsutuille portinvartijoille. Sen soveltaminen alkoi viime vuonna. Digipalvelusäädöksen soveltaminen puolestaan alkaa 17.2.2024. Tässä artikkelissa syvennymme siihen.
Mikä DSA?
Digipalvelusäädöksen tarkoituksena on suojata digitaalisten palvelujen käyttäjiä laittomalta sisällöltä sekä parantaa digitaalisten palvelujen avoimuutta. Sillä asetetaan muun muassa sisällön moderointia ja mainonnan avoimuutta koskevia velvoitteita, joita sovelletaan kaikkiin digitaalisia välityspalveluja tarjoaviin yrityksiin.
Mitkä palvelut kuuluvat DSA:n kohderyhmään?
DSA soveltuu laajalla kirjolla erilaisiin digitaalisiin välityspalveluihin, jotka voidaan kuvata pyramidin muodossa:
Lähde: Euroopan komissio
Välityspalvelut (Intermediary services) ovat verkkopalveluja, jotka välittävät tietoja käyttäjien pyynnöstä. Esimerkiksi internetyhteyden tarjoajat ja verkkotunnusvälittäjät kuuluvat tähän ryhmään. Kyseessä on pyramidin alataso, johon luetaan myös sen yläpuolella olevat säilytyspalvelut.
Säilytyspalvelut (Hosting services) ovat verkkopalveluja, jotka tallentavat tietoja käyttäjien pyynnöstä. Esimerkiksi verkkoisännöintipalvelut ja hakukonemainontapalvelut kuuluvat tähän ryhmään. Tähän luetaan myös pyramidissa ylempänä olevat verkkoalustat.
Verkkoalustat (Online platform) ovat verkkopalveluja, jotka tallentavat ja levittävät tietoja julkisesti saataville käyttäjien pyynnöstä. Kyseessä oleville alustoille on tyypillistä, että sekä myyjät että kuluttajat asioivat niillä. Esimerkiksi verkossa toimivat markkinapaikat ja sosiaalisen median alustat kuuluvat tähän ryhmään.
Erittäin suuret verkkoalustat ja hakukoneet (Very large online platform) ovat verkkopalveluja, joiden toiminnassa on korostunut riski laittoman sisällön leviämiseen ja yhteiskunnallisiin riskeihin. Sen vuoksi niihin kohdistuu erityissääntöjä. Näihin palveluihin luetaan sellaiset alustat, joilla on yli 45 miljoonaa kuukausittaista käyttäjää unionin alueella. Kyseiset alustat on nimetty erikseen, lista löytyy Euroopan komission sivuilta.
Millaisia velvoitteita DSA asettaa?
Säädöksen velvoitteita sovelletaan portaittain kumulatiivisesti siten, että alemman tason palveluihin sovellettavat velvoitteet soveltuvat myös ylemmän tason velvoitteisiin.
Kaikilla säädöksen soveltamisalaan kuuluvilla välityspalveluilla on velvollisuus perustaa keskitetyt yhteyspisteet sekä viranomaisten että palvelun käyttäjien kanssa viestimiseen. Samoin kaikkien välityspalvelujen tulee saattaa käyttöehtonsa säädöksen vaatimusten mukaisiksi. Tämä tarkoittaa muun muassa sisällön moderointia koskevien menettelyjen sisällyttämistä ehtoihin. Mikro- ja pienyrityksiä lukuun ottamatta kaikille välityspalveluille asetetaan myös uusia avoimuusraportointivelvoitteita. Yrityksen on julkaistava vähintään kerran vuodessa raportti kaikesta laittomaan sisältöön liittyvästä moderoinnista.
Säilytyspalveluiden tulee edellä listattujen velvoitteiden lisäksi tarjota ilmoitusmenettely, jolla kuka tahansa voi ilmoittaa palvelussa olevasta laittomasta sisällöstä. Lisäksi palveluntarjoajan tulee mm. ilmoittaa viranomaisille rikosepäilyistä.
Verkkoalustoja koskevat velvoitteet kohdistuvat keskisuuriin ja suuriin yrityksiin. Tällaisen palveluntarjoajan tulee edellä kuvattujen velvoitteiden lisäksi muun muassa perustaa sisäinen valitustenkäsittelyjärjestelmä ja toteuttaa väärinkäytön vastaisia toimenpiteitä. Verkkoalustojen avoimuusraportointia koskevat myös laajemmat raportointivelvoitteet. Lisäksi näiden palvelujen tarjoajien tulee varmistaa, että alustalla julkaistut mainokset täyttävät mainontaa koskevat erityisehdot. Verkkoalustoihin lukeutuvat myös verkon markkinapaikat, joiden tulee suunnitella sivustonsa asianmukaisesti, ja saada alustaa käyttäviltä elinkeinonharjoittajilta tietyt tiedot.
Erittäin suuriin verkkoalustoihin ja hakukoneisiin kohdistuu edellä mainittujen lisäksi erityisiä velvoitteita muun muassa avoimuusraportoinnista, auditoinnista ja viranomaisyhteistyöstä.
Miten valmistautua DSA:n velvoitteisiin?
Digipalvelusäädöstä aletaan soveltaa 17.2.2024. Nyt onkin hyvä hetki varautua säädöksen velvoitteisiin. Suosittelemme aloittamaan seuraavista:
Tarkista, kuuluuko yrityksesi DSA:n soveltamisalaan
Jos kuuluu, lähde liikkeelle kaikkia välityspalveluita koskevista velvoitteista:
Perusta yhteyspisteet sekä viranomaisten että palvelun käyttäjien kanssa viestimiseen
Päivitä palvelusi käyttöehdot DSA:n mukaisiksi
Tarkista palveluasi koskevat raportointivaatimukset
Jos yritykseesi kohdistuu lisäksi säilytyspalveluja tai verkkoalustoja koskevia velvoitteita, perehdy ja valmistaudu niihin. Autamme tässä mielellämme.
Lataa laatimamme DSA-opas tutustuaksesi tarkempiin askelmerkkeihin.
Lopuksi
Digipalvelusäädöksen velvoitteet ovat monitahoinen kokonaisuus, joka voi aiheuttaa harmaan hiuksen, jos toisenkin. Toisaalta säädöksen kehyksien hyödyntäminen tarjoaa palveluntarjoajille mahdollisuuden erottua vastuullisuudella ja läpinäkyvyydellä – teemoilla, joita tämän päivän kuluttajat tutkitusti arvostavat.
Lisätietoja digipalvelusäädöksestä antaa:
Katri Aarnio
Counsel
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Viestintätoimisto Kaiku haastatteli toimitusjohtajaamme Anttia tekoälyn käyttöön liittyvistä juridisista haasteista.
Tekoälyn käyttö läpi toimialojen yleistyy kiihtyvällä tahdilla. Tekoälyn turvallinen käyttö edellyttää, että tekoälyyn liittyvät juridiset riskit tunnistetaan. Antti muistuttaa, että tekoälyn käytön yhteydessä on syytä kiinnittää huomiota muun muassa tekijänoikeuksiin ja liikesalaisuuksien suojaan.
Lue Antin vinkit tekoälyn käyttämiseen Viestintätoimisto Kauin sivuilta ladattavasta kehotemuotoiluoppaasta. Antin haastattelu on luettavista sivulla 32 alkaen.
Päivitetty: 27. kesäk. 2024
EU:ssa on parhaillaan käsittelyssä yksi unionin merkittävimmistä digisäädöshankkeista: tekoälysäädös (AI Act). Tässä artikkelissa käymme läpi tekoälysäädöksen pääpiirteitä sekä huomionarvoisia seikkoja tekoälyjärjestelmien käyttöönottoa suunniteltaessa.
Riskiperusteinen lähestymistapa
EU on ottanut riskiperusteisen lähestymistavan tekoälyn sääntelyyn. Säädöksessä asetetaan velvoitteita sekä tekoälyjärjestelmiä tarjoaville tahoille että järjestelmien käyttäjille. Olennaista soveltamisalaan kuulumisessa on, käytetäänkö järjestelmää EU-alueella. Sen vaikutukset voivat siis ulottua myös unionin ulkopuolella sijaitsevaan yhtiöön. Velvoitteet puolestaan riippuvat siitä, kuinka suuren riskin luonnollisten henkilöiden terveydelle, turvallisuudelle ja perusoikeuksille järjestelmä aiheuttaa kulloinkin kyseessä olevalla käyttötavalla käytettynä.
RISKITASO | VAATIMUKSET | ESIMERKKEJÄ |
Kielletty | Riskejä ei voida hyväksyä, kehitys ja käyttö kielletty |
|
Korkea riski | Tiukennetut vaatimukset |
|
Matala riski | Läpinäkyvyysvaatimukset |
|
Minimaalinen tai ei riskiä | Vapaaehtoiset eettiset periaatteet |
|
Kielletyn riskin tekoälyjärjestelmät sijoittuvat riskitasoryhmittelyn ylimmälle tasolle. Tälle tasolle sijoittuvat järjestelmät loukkaavat ihmisarvoa esimerkiksi pisteyttämällä ihmisiä sosiaalisesti eri ominaisuuksien perusteella tai hyväksikäyttämällä tiettyjen henkilöryhmien haavoittuvuuksia. Tällaisia järjestelmiä ei saa kehittää, saattaa markkinoille tai käyttää EU:ssa.
Korkean riskin tekoälyjärjestelmät aiheuttavat merkittävän riskin terveydelle, turvallisuudelle tai perusoikeuksille esimerkiksi avustamalla lain tulkinnassa ja soveltamisessa tai osallistumalla kriittisen infrastruktuurin kehittämiseen ja ylläpitoon. Tällaisiin järjestelmiin kohdistetaan muun muassa läpinäkyvyyttä, inhimillistä valvontaa, kestävyyttä ja turvallisuutta koskevia tiukennettuja vaatimuksia. Lisäksi ne tulee arvioida ennen markkinoille pääsyä sekä säännöllisesti koko elinkaaren ajan.
Matalan riskin tekoälyjärjestelmät voivat aiheuttaa sekaannuksia, joissa tekoälyjärjestelmien tuotoksien tulkitaan virheellisesti perustuvan inhimilliseen alkuperään. Tämä riski on olemassa esimerkiksi chatbottien kanssa keskustellessa sekä erittäin aidoilta vaikuttavien syväväärennysten osalta. Tähän kategoriaan kuuluvien järjestelmien tulee muun muassa noudattaa läpinäkyvyysvelvoitteita eli käyttäjälle tulee kertoa, kun tämä on tekemisissä tekoälysovelluksen kanssa.
Minimaalisen riskin tekoälyjärjestelmät eivät lähtökohtaisesti aiheuta riskejä tai riskit ovat erittäin vähäisiä. Esimerkiksi sähköpostin spämmifiltterit tai tekoälyn avulla toimivat videopelit kuuluvat tähän kategoriaan. Näiden järjestelmien sääntelyn ehdotetaan jatkossakin perustuvan vapaaehtoisiin Code of Conduct -tyyppisiin eettisiin periaatteisiin.
Kritiikki asetusta kohtaan
Tekoälyasetuksen oli alun perin tarkoitus soveltua vain korkean riskin käyttötarkoituksiin, mutta EU-parlamentti laajensi soveltamisalaa niin kutsuttuihin yleiskäyttöisiin tekoälyjärjestelmiin, kuten ChatGPT:hen. Tämä tarkoittaa OpenAI:lle uusia velvoitteita ja vastuuta sovelluksen käyttötavoista. Asetelma on ongelmallinen, sillä järjestelmää voi käyttää vapaasti ja hyvin monenlaisiin tarkoituksiin, joita OpenAI ei pysty kontrolloimaan. Yhtiö onkin uhannut vetää ChatGPT:n pois Euroopasta, jos tuleva lainsäädäntö hankaloittaa sen toimintaa liiaksi.
Haastavaa on myös se, että asetuksella luodaan yrityksille useita uusia velvoitteita, mutta ei määritetä täsmällisiä standardeja, jotka järjestelmien tulisi täyttää. Samoin ongelmallisia ovat tekoälyjärjestelmien tuottama disinformaatio ja tekijänoikeusloukkaukset. Lisäksi tekoälyteknologiaa kehitetään edelleen erittäin nopealla tahdilla, mikä luo haasteita ajantasaiseen sääntelyyn.
Vaikutukset yrityksille
Tekoälyjärjestelmien tarjoajille säädetään asetuksessa runsaasti erilaisia velvoitteita, joiden noudattamatta jättämisestä voi seurata erittäin merkittäviä sanktioita. Ne voivat olla suuruudeltaan enimmillään 30 miljoonaa euroa tai 6 % yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta rikkomuksen vakavuudesta riippuen. Käyttäjäyrityksiä eivät koske yhtä laajat velvoitteet. Keskeisimmät käyttäjiä koskevat velvoitteet liittyvät korkean riskin järjestelmien käyttämiseen sekä syväväärennösten tuottamiseen. Säädöksen soveltamisalan ulkopuolelle jää järjestelmien käyttäminen henkilökohtaisessa muussa kuin ammattitoiminnassa.
Huomaa nämä, kun suunnittelet tekoälyjärjestelmän hyödyntämistä yrityksesi toiminnassa:
Selvitä yrityksenne tarpeisiin soveltuvat tekoälyjärjestelmät ja kartoita niiden riskitaso.
Varaudu noudattamaan riskitason mukaisia vaatimuksia.
Varmista, että yrityksen käytännöt ja ohjeistukset tietosuojan ja tietoturvan osalta ovat ajan tasalla.
Kouluta henkilöstöä tekoälyasetuksen edellyttämistä toimenpiteistä.
Hankkeen eteneminen
EU-tasolla neuvosto on vahvistanut kantansa asetusehdotukseen joulukuussa 2022 ja parlamentti kesäkuussa 2023. Parlamentti on ollut kannassaan tiukempi ja ehdottanut muun muassa laajennuksia sekä kiellettyjen että korkean riskin tekoälyjärjestelmien soveltamisaloihin. Suomi on linjannut yhtyvänsä pitkälti neuvoston näkemykseen. Painoarvoa on annettu muun muassa riskien arvioimiselle käyttötarkoituksen mukaan sekä kohtuuttoman raskaiden velvoitteiden välttämiselle.
Asetusta koskevat neuvottelut jatkuvat edelleen EU-tasolla. Tavoitteena on saavuttaa yhteisymmärrys loppuvuodesta 2023. Seuraamme hankkeen etenemistä.
Lisätietoja aiheesta antaa:
Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.