Yleiskäyttöiset tekoälymallit ja EU-sääntely: mitä sinun tulee tietää niistä?
Euroopan unionin tekoälysäädös (AI Act) määrittää tekoälyjärjestelmien kehittämisen ja käytön raamit EU:ssa. Tavoitteena on varmistaa, että tekoälyä kehitetään ja hyödynnetään turvallisesti, eettisesti ja läpinäkyvästi – ja samalla innovaatioita ja kilpailukykyä tukemalla.
Euroopan unionin tekoälysäädös (AI Act) määrittää tekoälyjärjestelmien kehittämisen ja käytön raamit EU:ssa. Tavoitteena on varmistaa, että tekoälyä kehitetään ja hyödynnetään turvallisesti, eettisesti ja läpinäkyvästi – ja samalla innovaatioita ja kilpailukykyä tukemalla.
Säädöksen voimaantulo etenee vaiheittain. 2.8.2025 astui voimaan yleiskäyttöisten tekoälymallien (General Purpose AI, GPAI) sääntely. GPAI-mallien kehittäjien on nyt noudatettava läpinäkyvyysvaatimuksia, kuten julkaistava yhteenveto mallin koulutusdatasta, toimitettava teknistä dokumentaatiota ja toteutettava riskienhallintatoimenpiteitä.
Uusille malleille on annettu vuoden ja jo markkinoilla oleville kahden vuoden siirtymäaika säädöksen noudattamisessa.
Mikä on yleiskäyttöinen tekoälymalli?
GPAI-malli on tekoälymalli, joka on koulutettu suurella määrällä dataa ja soveltuu monipuoliseen käyttöön. Sen tulee kyetä tuottamaan tekstiä, ääntä, kuvia tai videoita, eikä se saa olla rajoittunut vain yhteen erikoistarkoitukseen, kuten sääennusteisiin tai puheentunnistukseen.
Laskentatehon kynnys on asetettu 10²³ FLOPS:iin (floating point operations per second), mikä vastaa noin miljardin parametrin mallia. Jos laskentateho ylittää 10²⁵ FLOPS:ia, malli luokitellaan systeemisen riskin malliksi, jolloin erityisesti kyberturvallisuusvaatimukset tiukentuvat.
Euroopan komission heinäkuussa 2025 julkaisema ohjeistus GPAI-mallien kehittäjille sisältää selkeät määritelmät ja luokittelukriteerit. Avoimen lähdekoodin malleissa tietyt poikkeukset mahdollistavat vapautumisen osasta velvoitteista. Käytännön työkalut, kuten vapaaehtoinen Code of Practice, tukevat kehittäjiä sääntelyn noudattamisessa. Euroopan tekoälytoimisto tekee yhteistyötä kehittäjien kanssa erityisesti systeemisen riskin mallien parissa.
Tunnetut GPAI-mallit ja sääntelyn noudattaminen
Merkittäviä GPAI-malleja ovat esimerkiksi OpenAI:n GPT-4, Googlen Gemini, Anthropicin Claude ja ranskalaisen Mistral AI:n Mistral. Useimmat tunnetut toimijat ovat sitoutuneet EU-sääntelyyn ja osallistuvat Code of Practice -ohjelmaan. Poikkeuksia ovat esimerkiksi Meta ja kiinalainen DeepSeek, jotka eivät ole mukana ohjelmassa. Tilanne voi kuitenkin muuttua.
Mitä tämä tarkoittaa tekoälyä hyödyntäville organisaatioille?
Organisaatioiden on tärkeää tietää, mitä tekoälymalleja ne käyttävät. Tämä korostaa mallien ja sovellusten inventaarion merkitystä.
Henkilöstön tekoälyosaamisen varmistaminen on olennaista. Jos selkeitä ohjeita ei ole laadittu tai työntekijöille ei tarjota lisenssejä generatiivisten tekoälysovellusten käyttöön, he saattavat hyödyntää maksuttomia työkaluja omatoimisesti. Vaikka tarkoitus on usein hyvä, voi toiminta johtaa tilanteeseen, jossa yrityksen IT- ja tietoturvatiimit eivät ole tietoisia sovellusten käytöstä. Tämä ”varjotekoälyn” käyttö voi aiheuttaa tietoturvariskejä, sääntelyrikkomuksia ja virheellisiä päätöksiä.
Siksi on tärkeää luoda ja viestiä selkeät käyttöpolitiikat tekoälysovelluksille: mitkä sovellukset ovat hyväksyttyjä ja mihin käyttötarkoituksiin. Vastuullinen tekoälyn käyttö edellyttää huolellista suunnittelua ja hallintamallia, joka tukee tietoista ja hallittua teknologian hyödyntämistä.
On myös tärkeää tietää, mitä tekoälymalleja yrityksen toimittajat ja alihankkijat käyttävät esimerkiksi ohjelmistokehityksessä. Toimittajilta voidaan edellyttää varmennusraporttia (esimerkiksi ISAE 3000 / ISAE 3402), joka osoittaa, että heidän hallintamallinsa, tietoturvansa ja riskienhallintansa ovat vaaditulla tasolla.
