YRITTÄJÄ, tule mukaan omiesi pariin! Liity Yrittäjiin.

JÄSEN, oletko jo ladannut Yrittäjät-sovelluksen puhelimeesi? Lataa sovellus Androidille tai Applelle.

27.2.2024
Suvi Julin

GENERATIIVINEN TEKOÄLY, JURIDIIKKA JA LIIKETOIMINTARISKIEN HALLINTA

Generatiivista tekoälyä hyödynnetään osana erilaisia liiketoimintoja jo tällä hetkellä varsin laajasti ja käyttö laajenee koko ajan.  Generatiivinen tekoäly on käytössä niin viestinnässä ja markkinoinnissa kuin vaikkapa sisällöntuotannossa ja koodaamisessa. ChatGPT, Midjourney ja Dall-E ovat megatrendejä. Generatiivisen tekoälyn käyttöönotto on kuitenkin tapahtunut niin nopeasti, että siihen liittyviä riskejä ja haasteita ei ole ehditty arvioida tai miettiä, miten niitä voitaisiin hallita. Tehokasta työkalua ei pidä tietysti jättää hyödyntämättä, mutta jokaisessa organisaatiossa on myös syytä hetkeksi pysähtyä ja pohtia, miten voidaan välttyä isoimmilta sudenkuopilta oman liiketoiminnan kannalta.

Juridinen kehys on vasta kehittymässä

Varsinaista tekoälyn käyttöä varten laadittua lainsäädäntöä on hyvin vähän eikä se juurikaan huomioi monia käytännön haasteita ja riskejä, joita generatiivinen tekoäly näyttää jo nyt aiheuttavan. Merkittävämmät yhteiskunnalliset riskit ovat olleet näkyvissä jo pidempään ja niiden osalta EU:ssa on valmisteilla tekoälyasetus, joka tunnetaan yleisesti nimellä AI Act.

Tekoälyasetuksen tarkoituksena on määritellä yhtäältä asioita, joihin tekoälyä ei saa lainkaan käyttää, ja toisaalta korkean riskin käyttöaiheita, kuten luonnollisten henkilöiden biometrinen tunnistaminen, koulutus, lainvalvonta ja maahanmuutto tai turvapaikan hakeminen. Tällaisille korkean riskin sovelluksille asetetaan tiukkoja läpinäkyvyys- ja laatuvaatimuksia. Tarkoituksena on asettaa raamit sille, mitä generatiivisella tekoälyllä saa tehdä, ja se soveltuu kaikkeen tekoälyyn Chat GPT mukaan lukien, jos sitä syystä tai toisesta haluttaisiin jatkossa käyttää esimerkiksi viranomaistehtävissä tai muuten korkean riskin käyttötarkoituksiin.

AI Actin soveltuminen generatiivisen tekoälyn sovellukseen muuten kuin korkean riskin sovelluksissa on ollut pitkään epävarmaa, kun jäsenvaltiot, joissa on merkittäviä generatiiviseen tekoälyyn keskittyviä yrityksiä, ovat viimeiseen asti pyrkineet pitämään nämä yhtiöt sääntelyn ulkopuolella. Tällä hetkellä kuitenkin näyttää siltä, että sekä generatiivisen tekoälyn sovelluksia kehittävät, että niitä käyttävät yhtiöt tulevat olemaan erinäisten muun muassa koulutusdatan läpinäkyvyyteen liittyvien velvoitteiden piirissä; asetus on kuitenkin vielä lainsäädäntöprosessissa, joten lopullista muotoa ei tiedä kukaan. Muilta osin generatiivisen tekoälyn käyttöön soveltuvat toki voimassa olevat säännökset esimerkiksi liikesalaisuuksista, tietosuojasta ja aineettomista oikeuksista, mutta näitä säännöksiä ei alunperin ole suunniteltu generatiivista tekoälyä varten. Nähtäväksi jää, miten perinteinen lainsäädäntö toimii ChatGPT:n tai Midjourneyn käytön kanssa, ja muodostuuko esimerkiksi sellaista lainsäädännön tulkintakäytäntöä, joka paikkaisi sääntelyaukkoa.

Generatiivinen tekoäly haastaa IPR-käsitystä

Generatiivinen tekoäly haastaa myös immateriaalioikeuksien (IPR) kenttää. Esimerkiksi tekijänoikeudessa teoksen tekijän asemalla ja oikeuksilla on vahva merkitys ja tekijäkäsitys on ihmiskeskeinen. Teoksen on ilmennettävä tekijänsä luovaa panosta ja oltava omaperäinen, jotta se ylipäätään voi saada tekijänoikeussuojaa ja niin vallitseva sääntely kuin sen tulkintakin lähtee siitä, että tekijäksi voidaan nimetä vain luonnollinen henkilö. Samalla tavalla keksintöjen osalta lähtökohta on ihmiskeskeinen ja keksijäksi voidaan nimetä luonnollinen henkilö. Muotoilua suojaavan mallin suojassakin mallinluoja on lähtökohtaisesti luonnollinen henkilö.

Generatiivisen tekoälyn tuotosten kannalta herääkin kysymys, kuka ylipäätään voi omistaa tuotosten oikeudet ja ovatko ne riittävällä tavalla suojattavissa. Osa kysymyksistä on ehkä ratkaistavissa sopimusoikeudellisesti, mutta osa vaatinee tulevaisuudessa joko itse lainsäädännön kehittymistä tai ainakin uutta laintulkintaa. Toistaiseksi IPR-maailma on suhtautunut torjuvasti puhtaasti tekoälyyn tekijänoikeuden mukaisena teoksen luojana tai patenttioikeudellisena keksijänä.  Generatiivisella tekoälyllä tuotetaan kuitenkin jo nyt sellaisia materiaaleja ja aineistoja, joilla on liiketaloudellista merkitystä ja jotka tuovat merkittävää lisäarvoa liiketoimintaan. Siten myös suojan tarve on olemassa.

Generatiiviseen tekoälyn käyttöön liittyy myös mahdollisia IPR-riskejä esimerkiksi silloin, jos tekoälyratkaisu on koulutettu datalla, joka käsittää sellaista tekijänoikeuden alaista aineistoa, jonka käyttöön lupaa koulutustarkoituksessa ei ole saatu tekijänoikeuden haltijalta. Tällöin kyseessä on mahdollinen tekijänoikeuden loukkaus. Toisaalta tällöin myös generatiivisen tekoälyn tuotos voi olla esimerkiksi tekijänoikeutta loukkaavaa, mikäli sen osana on tekijänoikeuden alaista aineistoa, jonka käyttöön ei ole tekijänoikeuden haltijan lupaa. Lainsäädännöllisesti aivan selvää ei ole, milloin, miten ja missä laajuudessa esimerkiksi lupa koulutusaineistona käyttöön olisi tulisi hankkia tai tarvitaanko edes aina. Elämme siis varsin mielenkiintoisia aikoja.

Sopimusoikeudelliset haasteet tulee tiedostaa

Tekoälyratkaisun saa tavallisesti käyttöönsä hyväksymällä sopimusehdot. Kuten muissakin sopimuksissa, tekoälyä koskevissa sopimuksissa määritellään suoritus ja vastasuoritus, rajataan vastuita ja täsmennetään, miten muuttuneita olosuhteita ja mahdollisia epäselvyyksiä käsitellään. Tavanomaisesta työkalusta poiketen, tekoälyn hyödyntämisessä sen paremmin käyttöluvan myöntäjä kuin luvan saajakaan ei välttämättä sopimusta tehdessään vielä tiedä, mihin kaikkeen työkalua tulevaisuudessa käytetään. Käyttäjän ei voi odottaa muistavan ehtojen yksityiskohtia eikä tekoälyn hyödyntäminen ole nopeaa ja sujuvaa, jos ehtoja joutuisi käydä läpi aina uudelleen, kun käyttötarve ilmenee. Siksi on tärkeää, että tekoälyn käyttö pysyy organisaatiossa ennalta sovittujen sääntöjen puitteissa.

Tekoälyn hyödyntäminen tiettyyn käyttötarkoitukseen helpottaa hallinnoimaan riskiä myös suhteessa muihin kuin tekoälyn tarjoajaan. Tekoäly on työkalu ja sen käyttöön suhtaudutaan kuten kaikkiin muihinkin työkaluihin. Käyttäjä ottaa vastuun tekemisistään ja tekoälyn tuotoksiin on syytä suhtautua terveellä kriittisyydellä. Tekoälyn toiminta ei ole käyttäjälle läpinäkyvää ja vaikka käyttäjä tekisi kaikkensa ohjeistaakseen tekoälyä asianmukaisesti, tekoälyn tuotos tulee tarkistaa vielä ennen sen ottamista päätöksenteon pohjaksi tai ennen sen päästämistä organisaatiosta ulos muodossa tai toisessa, muokattuna tai sellaisenaan. Tekoälyn käyttäminen on sellaisenaan valinta, joka on vastuun kannalta merkityksellinen ja koska tekoälyn toimintaa on vaikea hallita, katse tuleekin kohdistaa sen käyttämiseen. 

Henkilötietojen käsittelyssä tekoäly törmää GDPR:n reunaehtoihin

Generatiivisen tekoälyn sovelluksia on tehty eri oikeusjärjestelmissä, ja niitä ovat olleet luotsaamassa erityisesti amerikkalaiset yhtiöt. Käyttäjällä ei ole tietoa siitä, onko eurooppalaisittain hyvin relevantti tietosuoja ja sitä sääntelevä EU:n tietosuoja-asetus (”GDPR”) otettu huomioon tekoälyn rakenteessa. Henkilötietoihin liittyvät kysymykset kohdistuvat ennen kaikkea lähdedataan, eli dataan, jolla tekoäly on koulutettu ja ehkä hieman vähäisemmässä määrin tekoälyn tuottamaan tietoon ja käyttäjän kanssakäymiseen tekoälyn kanssa.

Jos käytetään ChatGPT:tä esimerkkinä, koko sovellus perustuu laajamittaiseen, myös henkilötietoja sisältävän datamassan toissijaiseen käyttöön, joka on GDPR:n nojalla ongelmallista ilman erityistä perustetta. Ainakin USA:ssa liittovaltion tuomioistuimessa jo nyt jätettyjen kanteiden perusteella ChatGPT saattaa kerätä ja käsitellä promptiin kirjoitettuja tietoja, sekä esimerkiksi promptin käyttäjän IP-osoitetta, joka on GDPR:n tulkinnassa katsottu henkilötiedoksi. Tällaisesta käsittelystä ei ole kerrottu käyttäjille, eikä myöskään ole varmaa, että tällaisia tietoja poistetaan lainmukaisesti tai pidättäydytään toissijaisesta käytöstä, mikäli niitä todella kerätään.

Henkilötietojen osalta tekoälyn generoiman tiedon kohdalla on omat haasteensa. Erityisesti nämä haasteet liittyvät esimerkiksi henkilötietojen eheysvaatimukseen, velvollisuuteen poistaa henkilötiedot, ja käyttötarkoitussidonnaisuuteen. Käyttäjällä ei ole välttämättä taetta, että generoituja tietoja, jotka voivat sisältää henkilötietoja, ei käytetä toiseen tarkoitukseen tai säilytetä sovelluksessa. Tietojen eheyttä ja oikeellisuutta on myös vaikea varmentaa. Ainakin tällä hetkellä lienee turvallisinta yrittää välttää sellaisten lähdetietojen käyttöä, johon sisältyy henkilötietoja, sekä myös henkilötietojen generoimista tai antamista promptin kautta tekoälysovellukselle. Tietosuojariskejä voitaisiin toisaalta melko hyvin välttää käyttämällä suljettua, esimerkiksi yrityksen omaa aineistoa, jonka osalta joko tiedetään, että siihen ei sisälly henkilötietoja, tai mikäli sisältyy, niin henkilötietojen käsittelylle on lainmukainen peruste ja tietosuojavelvoitteita on muutenkin noudatettu. 

Tekoälyyn liittyvien riskien hallinta käytännössä

Edellä on esitetty joukko ongelmia ja haasteita, jotka liittyvät etenkin generatiivisen tekoälyn käyttöön IPR:n ja juridiikan näkökulmasta. Generatiivinen tekoäly on kuitenkin tullut jäädäkseen, joten tarvitaan tapoja ottaa tekoälyyn liittyvät riskit haltuun ja hakea käytännön ratkaisuja ongelmakohtiin, jotta mahdollisuudet eivät jää hyödyntämättä.

Riskienhallinnan perustana on aina huolellinen taustatyö ja ymmärrys oman toiminnan fokuksesta. Yrityksen tai muun organisaation täytyy itse tai ulkoisten asiantuntijoiden tukemana selvittää, miten tekoälyä jo nyt käytetään, ja miten sitä ehkä haluttaisiin käyttää jatkossa. Sen perusteella on muodostettavissa kyseiselle organisaatiolle oma strategia ja ohjeet siitä, miten tekoälysovelluksia saa juuri kyseisessä organisaatiossa käyttää. Henkilöstöä on koulutettava tekoälyyn liittyvästä juridisesta kehyksestä, ja käytävä läpi mitä tekoälyllä saa ja ei saa tehdä.

Prosessin lopputuotteena olisi ihanteellisesti ohjeistus, jossa on selkeä yhteinen näkemys ja säännöt tekoälyn käytöstä, sekä vastuunjako ja menettely uusien tekoälysovellusten käyttöönottoa varten. Yhtä oikeaa ratkaisua ei ole ja yritykset ja organisaatiot ovat tietysti hyvin erilaisia. Jokaisen organisaation on itse tarkasteltava miten tekoälyä kannattaa, ja saa käyttää juuri heidän alallaan. Asiantuntija-apu voi auttaa kokonaisuuden hahmottamisessa!

Kirjoittajat:

Suvi Julin
Osakas, lakimies, patenttiasiamies, Berggren Oy

Arttu Ahava
Osakas, lakimies, CIPP/E, CIPP/M, Berggren Oy

Suvi Julin