Täna jõustub Euroopa Liidu tehisintellekti määrus. Kuidas see Eesti ettevõtteid mõjutab?

Kuigi enamik uuest määrusest tulenevaid kohustusi hakkab kehtima alles kahe aasta pärast, selgitab Founderly asutaja ja New Nordics AI Weeki korraldaja Vattan PS, milliseid kohustusi ja uusi võimalusi see ettevõtetele toob. Justiitsministeeriumi õiguspoliitika osakonna nõunik Henrik Trasberg annab ülevaate, kuidas Eesti selleks valmistub.

AI määrus seab rahvusvahelise standardi tehisintellekti juhtimisele, leides tasakaalu innovatsiooni edendamise ja põhiväärtuste kaitsmise vahel. Läbipaistvus on äärmiselt oluline, et inimesed usaldaksid tehisintellekti tehnoloogiaid.

Seadus kehtestab selged riskipõhised kategooriad AI-süsteemide reguleerimiseks. „AI-rakendused, mis kujutavad endast lubamatuid riske, nagu turvaaukude ärakasutamine või inimeste käitumise kahjulik manipuleerimine, on keelatud,“ selgitas Vattan. „Kõrge riskiga süsteemid, mida kasutatakse tervishoius, õiguskaitses ja hariduses, peavad vastama rangetele riskijuhtimise, andmete haldamise ja pideva jälgimise nõuetele. Vähem riskantsed süsteemid keskenduvad eelkõige läbipaistvuse ja kasutajate teadlikkuse tagamisele,“ lisas ta.

Kuigi määruse eesmärk on edendada vastutustundlikku tehisintellekti arendamist ja kasutamist, esitab see ettevõtetele väljakutseid. „Kõrge riskiga valdkondade, nagu tervishoiu ja finantssektori rakenduste ja süsteemide puhul peavad arendajad järgima rangeid regulatsioone. Nende hulka kuuluvad pidevad riskijuhtimissüsteemid, tugev andmehaldus ning põhjalik tehniline dokumentatsioon. Madala või minimaalse riskiga tehisintellektisüsteemide puhul on regulatiivne koormus kergem. Siiski peavad need süsteemid täitma läbipaistvuskohustusi, näiteks teavitama kasutajaid, et nad suhtlevad tehisintellektiga,“ rääkis Vattan.

Piiratud ressurssidega idufirmadele ja VKE-dele võib nende nõuete täitmine olla märkimisväärne väljakutse, märkis Vattan. „Nad peavad eraldama aega, teadmisi ja rahalist toetust, et tagada tehisintellektisüsteemide vastavus seaduse nõuetele. See võib hõlmata investeeringuid juriidilisse ja tehnilisse asjatundlikkusse ning tugevate protsesside ja dokumentatsioonitavade juurutamist. Samas sisaldab seadus lihtsustatud vastavusprotseduuride ja vähendatud tasude sätteid, tunnistades innovatsiooni ja konkurentsivõime olulisust tehisintellekti ökosüsteemis.“

Kuigi vastavus AI määrusele võib olla väljakutse, avab see teisest küljest idufirmadele ja VKE-dele võimalusi turul eristumiseks. „Ettevaatav vastutustundliku tehisintellekti arendamine ja seaduse nõuetele vastavuse näitamine võib aidata neil ettevõtetel luua usaldusväärsust klientide, investorite ja reguleerijate seas,“ sõnas Vattan.

Selleks, et aidata ettevõtetel määruse keerukuses orienteeruda, on koostööalgatustel ja tugimehhanismidel kriitiline roll. Euroopa Komisjon ja liikmesriigid on julgustatud looma regulatiivseid liivakaste, mis on kontrollitud keskkonnad ettevõtetele oma tehisintellekti süsteemide testimiseks ja valideerimiseks koostöös reguleerijate ja teiste sidusrühmadega. Need liivakastid pakuvad idufirmadele ja VKE-dele võimalusi saada juhiseid, jagada parimaid tavasid ja tagada vastavus akti nõuetele.

„Idufirmad ja VKE-d saavad aktiivselt osaleda käitumisjuhendite ja standardite väljatöötamises, tuues sisse oma teadmised ja vaatenurgad, et kujundada tööstusharu parimaid praktikaid ja edendada võrdseid võimalusi,“ ütles Vattan.

AI määrus ja isikuandmete kaitse üldmäärus (GDPR) on loodud töötama koos, et tagada terviklik raamistik tehisintellekti süsteemide arendamiseks ja kasutamiseks. AI määrus ei asenda, vaid täiendab GDPRi, keskendudes tehisintellekti spetsiifilistele riskidele ja nõuetele, samas kui GDPR seab aluse andmekaitsele. Ettevõtted peavad rakendama põhjalikke riskianalüüse, tugevaid kaitsemeetmeid ja järgima läbipaistvuse ja vastutuse põhimõtteid, et tagada vastavus mõlemale regulatsioonile.

„Tehisintellekti süsteemide arendajad ja kasutajad peavad järgima GDPRi põhimõtteid, sealhulgas seaduslikkust, õiglust, läbipaistvust ja andmete minimaalsust,“ selgitas Vattan. „Nad peavad teostama andmekaitsemõju hindamisi ja arvestama tehisintellektiga seotud spetsiifilisi riske, nagu eelarvamused ja automatiseeritud otsuste tegemine,“ lisas ta.

AI määrus kehtestab ka konkreetsed läbipaistvuskohustused, näiteks nõude teavitada inimesi, kui nad suhtlevad tehisintellekti süsteemiga. Need nõuded täiendavad GDPRi läbipaistvuskohustusi, tagades, et inimesed on teadlikud oma andmete töötlemisest.

Eesti valmistub aktiivselt tehisintellekti määruse rakendamiseks ja riiklike regulatsioonide ühtlustamiseks seadusraamistikuga. Seaduse rakendamist hakkavad juhtima justiitsministeerium ning majandus- ja kommunikatsiooniministeerium.

Eesti kavatseb lähiajal luua tehisintellekti liivakasti, mis võimaldab ettevõtetel koostöös regulaatori ja ekspertidega testida ja valideerida oma tehisintellekti lahendusi.

„Liivakasti eesmärk on anda nii start-up’idele kui ka teistele ettevõtetele kindlust, et nende loodud lahendused vastavad nõuetele, ning pakkuda kiiret tagasisidet vajaduse korral tehtavate muudatuste kohta,“ selgitas justiitsministeeriumi õiguspoliitika osakonna nõunik Henrik Trasberg, lisades, et liivakasti loomine, koos teiste tugiteenuste ning tehisintellektimääruse rakendamise juhiste ja standardite väljatöötamisega, on võtmetähtsusega, et määruse täitmine oleks sujuv ning AI-süsteemide arendamine ja opereerimine vastaksid kehtivatele nõuetele.