Lex tekoäly?

3.10.2018 9.06
Kolumni
Lex tekoäly?
Tietosuojavaltuutettu Reijo Aarnio

Meillä ei ole erityistä tekoälylakia. Tarvitaanko Lex AI?

Tekoäly, algoritmit, robotit, profilointi ja manipuloiva vaikuttaminen ovat kaikkien huulilla. Vaalit lähestyvät, ja yht´äkkiä henkilötietojen suoja koetaan koko demokratian kannalta merkittäväksi. Minua tilanne vähän jopa pelottaa, koska epäilen, ettemme ole oppineet aiemmista kokemuksistamme. Muistatteko, kun joka puolelle alkoi ilmestyä valvontakameroita? Silloin valitettavasti viesti oli, ettei meillä ole Lex kameravalvontaa. Tämän vuoksi monet uskoivat virheellisesti, että he saattoivat elää kuin villissä lännessä, vaikka jo tuolloin kameravalvonnassa tuli noudattaa henkilötietolain säännöksiä.

Anna tässäkin asiassa paholaiselle nimi, niin se ei pelota niin paljoa. Meillä on jo Lex tekoäly, ainakin henkilötietojen suojan osalta. Tietosuoja-asetuksessa säädetään automatisoiduista päätöksentekojärjestelmistä ja profiloinnista eli sellaisesta henkilötietojen automaattisesta käsittelystä, jossa arvioidaan ihmisen henkilökohtaisia ominaisuuksia. Ne ovat käsitteinä kumpikin omia asioitaan, vaikka ne menevät osin päällekkäin; usein automatisoitu päätös pitää sisällään profiloinnin. Korostan kuitenkin, että tietosuoja-asetusta sovelletaan myös silloin, vaikka profiloinnin myötä ei tehtäisi asetuksessa tarkoitettuja automatisoituja päätöksiä. Profilointi on yhtä kaikki henkilötietojen käsittelyä, jonka tulee tapahtua asetuksen edellyttämällä tavalla ja perusteilla sekä aina rekisteröidyn oikeudet huomioiden.

Työ- ja elinkeinoministeriön julkaisun 41/2017 ”Suomen tekoälyaika Suomi tekoälyn soveltamisen kärkimaaksi: Tavoite ja toimenpidesuositukset” esittämän vision mukaan ”Suomi on tekoälyajassa turvallinen, demokraattinen ja maailman parhaita palveluita tuottava yhteiskunta”. Julkaisun mukaan kaiken keskellä on yksilö: yksilönsuojaa ja yksityisyyttä tulee kunnioittaa. Hienoa ajattelua!

Tietosuoja-asetus GDPR tuo itse asiassa aika paljon syötettä tekoälyyn liittyvään keskusteluun. Asetuksessa on sisäänrakennettuna henkilötietojen minimointiperiaate, läpinäkyvyys sekä rekisteröidyn oikeus haastaa automaattisessa päätöksenteossa tekoälyn tekemä päätös ja olla joutumatta tällaisen päätöksenteon tai profiloinnin kohteeksi. Tekoälyä käyttävän rekisterinpitäjän on haettava tähän pääsääntöön oikeuttava poikkeus tekoälyn käytölle tietosuoja-asetuksen 22 artiklan 2 kohdasta. Sen tulee sitoutua hyväksyttävään käyttötarkoitukseen, suojata järjestelmänsä ja kyetä osoittamaan noudattavansa tietosuojalainsäädäntöä. Erityisten tietoryhmien eli aiemmin arkaluonteisina tunnettujen henkilötietojen käsittelyä rajoitetaan luonnollisesti vieläkin tarkemmin.

Näkyykö tekoäly jo meidän suomalaisessa lainsäädännössämme? Sanoisin, että kyllä, ja lisäksi kiihtyvällä vauhdilla. Digitalisaatio etenee ja palveluiden tuotanto halutaan saada nopeammaksi ja kustannustehokkaammaksi. Ehkä joskus jopa tasalaatuisemmaksi.

Tietosuoja-asetuksen 22 artiklan 2 kohdan b) alakohdan mukaan jäsenvaltion lainsäädännössä voidaan hyväksyä tekoälyn käyttö. Samalla on huolehdittava rekisteröityjen suojaksi tehtävistä toimista. Olen viime aikoina ollut useammassakin eduskuntakuulemisessa, joissa keskustelu on kiertynyt tekoälyn ympärille. Niissä on ilahduttavasti pohdittu asiaa paljon laajemmin kuin vain tietosuojan kannalta. Esimerkkinä olkoon vaikkapa kysymys tekoälyn ja hallinnon periaatteiden ja lakien välisestä suhteesta. On myös pohdittu tekoälyn taustalla olevan algoritmin asemaa. Kiehtovaa, mutta välttämätöntä.