Lausunto luonnoksesta hallituksen esitykseksi tekoälyasetuksen toimeenpanoa koskevaksi lainsäädännöksi

VN/17593/2024

FA tukee selkeää toimivallan jakoa ja kannustaa välttämään päällekkäisiä toimivaltuuksia

Finanssiala ry:n lausunnossa hallituksen esityksestä tekoälyasetuksen toimeenpanoa koskevaksi lainsäädännöksi tuetaan alan toimijoiden valvonnan keskittämistä Finanssivalvonnalle (Fiva) suuririskisten käyttötapausten osalta, koska Fivalla on paras sektorikohtainen osaaminen. FA suosittelee Fivaa valvojaksi tietosuojavaltuutetun sijaan myös luottopisteytystä ja luottokelpoisuutta koskevien tekoälyjärjestelmien valvonnassa. FA korostaa, että usean viranomaisen mallissa valvontaviranomaisten tulkintakäytäntöjen tulee vastata toisiaan, jotta vältetään mahdolliset epäselvyydet. FA myös painottaa selkeän sääntelyn ja viestinnän tärkeyttä, jotta yritysten on helpompi ymmärtää tekoälyasetuksen soveltamisesta tulevat velvoitteet.

Lisäksi FA näkee tärkeänä, että tekoälyn sääntelyn testiympäristöt otetaan käyttöön mahdollisimman pian ja että seuraamusjärjestelmä harmonisoidaan muiden jäsenvaltioiden kanssa. FA pitää komission ja hallituksen esityksen arviota tekoälyasetuksen kustannuksista epärealistisena, erityisesti finanssialan toimijoiden osalta. FA myös toivoo tarkennusta Kelan ja finanssitoimijoiden yhteistyön valvontaan, erityisesti opintolainojen ja eläkejärjestelmien osalta.

Lausuntonne koskien keskeisiä ehdotuksia

FA tukee kyseistä ehdotusta, jonka mukaisesti finanssialan toimijoiden pääasialliset suuririskiset käyttötapaukset olisivat Finanssivalvonnan alaisia. Finanssivalvonnalla katsotaan olevan toimialan näkökulmasta paras sektorikohtainen osaaminen. Kela-poikkeuksen osalta toivottaisiin kuitenkin tarkennusta hallituksen esitykseen siitä, onko valvova viranomainen Fiva vai eduskunnan valitsemat valtuutetut esimerkiksi opintolainan osalta. Opintolainat myönnetään Kelan kautta, vaikka tosiasiallisesti pankit vastaavat niistä käytännöntasolla. Vastaavasti työeläkejärjestelmän ja kansaneläkejärjestelmän osalta finanssialan toimijat ovat tiukassa yhteystyössä Kelan kanssa eläkkeiden etuuksien myönnössä. Hallituksen esityksen tulisi selventää kuka on toimivaltainen viranomainen, kun kyseessä on Kelan ja finanssitoimijoiden välinen yhteistyö. FA katsoo, että edellä mainitun yhteistyön osalta tulisi toimivaltaisen viranomaisen olla aina Fiva silloin, kun valvonta kohdistuu finanssialan toimijoihin.

Esityksen mukaan tietosuojavaltuutettu valvoisi 5 kohdan b alakohdan mukaisia suuririskisiä tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi luonnollisten henkilöiden luottokelpoisuuden arviointiin tai heidän luottopisteytyksensä määrittämiseen, lukuun ottamatta tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi talouspetosten havaitsemiseen. Vaikka kyseinen kohta perustuu luottotietolain (527/2007) 33 §:n, jonka mukaan luottotietotoiminnan harjoittamisen ja muun luottotietojen käsittelyn valvonta kuuluu tietosuojavaltuutetulle, FA näkee riskinä finanssialan toimijoiden valvonnan tarpeettoman fragmentoitumisen tekoälyjärjestelmien osalta. FA katsoo, että luottokelpoisuuden arviointiin tai heidän luottopisteytyksensä määrittämisen osalta Fiva olisi tarkoituksenmukainen valvoja.

Finanssialan toimijat luovat lähtökohtaisesti ryhmätasoiset prosessit suuririskisten tekoälyjärjestelmien hallinnalle.  Samat prosessit voivat kattaa siis esimerkiksi tekoälyasetuksen liitteen III 5 kohdan alakohdat a-c. Jakautunut valvonta eri viranomaisten toimesta koskien tekoälysäädöksen samojen artiklojen noudattamista (esim. suuririskisten tekoälyjärjestelmien ja toimijoiden velvoitteita), voi tehdä käytännön toteutuksesta hankalaa. Näin ollen tulisi varmistaa, että valvontaviranomaisten tulkintakäytännöt vastaavat toisiaan. Mikäli valvontaviranomaisten tulkinnat samoja artikloja koskien eroavat toisistaan, voi tämä johtaa tekoälyjärjestelmien tarjoajien ja käyttöönottajien näkökulmasta epäselvyyksiin siitä, mikä tulkinta kulloinkin on voimassa oleva. Edelleen tämä saattaa lisätä alan toimijoiden hallinnollista taakkaa, mikäli joudutaan luomaan eri toimintamalleja käyttötapauskohtaisille tekoälyjärjestelmille ryhmätasoisen tekoälyhallintamallin sijaan.

Luoton myöntämistä säännellään luottotietolain ja tekoälysäädöksen lisäksi muun muassa luottolaitoslaissa (610/2014) ja kuluttajansuojalain 7 ja 7a luvuissa (38/1978), sekä velvoittavissa viranomaisohjeissa. Tällaisia ohjeita ovat erityisesti Fivan Luottoriskien hallinta ja luottokelpoisuuden arviointi rahoitussektorin valvottavissa (MOK 4/2018) ja EBA:n luotonmyöntöä ja -valvontaa koskevat ohjeet (EBA/GL/2020/06). Näiden ohjeiden noudattamista valvoo pääasiassa Fiva – tästä poiketen KSL 7 ja 7a lukujen valvontavastuu, joka on jaettu KKV:n ja Fivan välillä. Edellä mainitussa sääntelyssä ja ohjeissa edellytetään huomioimaan luottokelpoisuuden arvioinnissa ja luoton myöntämisessä paitsi luotonhakijan yksilöllinen tilanne, myös mm. luottolaitoksen riskinottohalukkuus, toimintaperiaatteet ja luotonmyöntökriteerit. FA katsoo, ettei täten ole perusteltua, että vaatimusten valvonta kuuluisi eri viranomaiselle riippuen siitä, millä teknologialla vaatimukset toteutetaan. 

Finanssialan toimijoiden valvonnan keskittäminen Fivalle myös luottopisteytyksen ja luottokelpoisuuden arvioinnin osalta toisi hyötyjä viranomaisen toiminnan tehokkuuden näkökulmasta ja ehkäisisi mahdollisuutta sille, että viranomaiset antaisivat keskenään ristiriitaisia päätöksiä finanssialan toimijoille. Tekoälyasetuksen mukaisten velvoitteiden valvonnan keskittäminen Fivalle ei luonnollisesti myöskään poistaisi TSV:n toimivaltaa henkilötietojen käsittelyyn (ml. luottotiedot) liittyen. Fivan ja TSV:n toimivallat säilyisivät nykytilan kaltaisina ja täydentäisivät toisiaan luomatta kuitenkaan mahdollisia tulkintahaasteita finanssialan toimijoiden näkökulmasta. Mikäli luottokelpoisuuden arviointiin tai luottopisteytyksensä määrittämisen osalta valvonta jäisi TSV:n toimivaltuuden alle, tulee TSV:n resurssit, osaaminen ja yhteistyö Fivan kanssa taata konkreettisilla toimilla ja lisäresursseilla, jotta TSV:n tosiallinen ymmärrys alan laajemmasta sääntelystä tulee huomioiduksi tekoälyjärjestelmiä valvottaessa.

Edelleen kahdeksan viranomaisen valvontamallin haasteena nähdään, että esimerkiksi useammasta eri komponentista muodostuva tekoälytoteutus saattaisi ehdotetun mallin mukaan olla yksittäisten tekoälyjärjestelmän komponenttiosien osalta eri viranomaisen valvonnassa. Mikäli näiden viranomaisten tulkintalinjaukset eroaisivat toisistaan, realisoisi se tekoälyjärjestelmän käyttäjälle haasteen minkä viranomaisen ohjeita tulisi ensisijaisesti noudattaa. Vastaavasti yhteen asiankäsittelyprosessiin finanssialan toimijalla voi sisältyä erilaisia tekoälytoteutuksia ja generatiivisen tekoälyn hyödyntämistä, jolloin samaa prosessia saattaa valvoa usea viranomainen. Edelleen toimintaan voi tuoda epävarmuutta se, että yksi ja sama tekoälytoteutus voi olla käytössä sekä matala- että korkeariskisiin luettavissa toiminnoissa. Esimerkiksi samaa toteutusta käytettäisiin päätöksenteossa sosiaalietuuksissa ja päätösten jälkikäteiseen laaduntarkkailuun, jolloin valvonta saattaa kohdentua myös sinne, mihin se ei kuulu.

Lausuntonne koskien vaikutusten arviointia

Kohdassa 4.2.1 HE mainitsee komission arvion tekoälyasetuksen vaatimusten kustannuksista yhdelle tekoälyjärjestelmälle. FA katsoo oleelliseksi huomioida, että erityisesti finanssialan toimijoihin kohdistuu useita suuren riskin käyttötapausalueita: luottokelpoisuusarviointi, luottopisteytys, terveys- ja henkivakuutusten riskiarviointi ja hinnoittelu, lakisääteisten vakuutusten korvauspäätökset sekä toisinaan henkilöstöhallintoon tai biometriikkaan liittyvät järjestelmät. Yhdellä yrityksellä voi olla useita eri tuotteita ja näihin liittyviä järjestelmiä samalla suuririskisellä käyttötapausalueella. Laajasti finanssialan palveluita tarjoavalle yritykselle aiheutuvat kokonaiskustannukset eri järjestelmien saattamisesta vaatimuksenmukaisiksi liikkuvat useissa miljoonissa euroissa. Näin ollen FA ei pidä komission ja hallituksen esityksen mukaista arviota tulevista kustannuksista realistisena.

Sääntelyn aiheuttamat kustannukset heikentävät mahdollisuuksia kehittää uutta innovatiivista liiketoimintaa. Tämän vuoksi FA näkee tärkeänä, että tekoälyn sääntelyn testiympäristöistä säädetään kansallisesti ja testiympäristöt otetaan käyttöön mahdollisimman pian.

FA katsoo, että kohdassa 4.2.4 HE nostaa esille asianmukaisesti selkeän sääntelyn ja viestinnän tärkeyttä. Hallituksen tulisi varmistaa, että valvovat viranomaiset vastuutetaan asianmukaisesti viestimään yrityksille tekoälyasetuksen valvonnan soveltamisesta, jotta sääntelyn epäselvyyteen liittyvät haasteet lievenevät. Edelleen FA katsoo, että työ- ja elinkeinoministeriö teettämän selvityksen mukaisesti (Työ- ja elinkeinoministeriön julkaisuja 2023:46, julkaistu 7.12.2023), myös finanssialan yritykset kokevat kuormittavaksi asetuksen epäselvyyden erityisesti soveltamisalan, määritelmien ja eri toimijoiden velvoitteiden osalta sekä sen vaikeasti ennakoitavat vaikutukset. FA toivoo, että edellä mainittuihin epäselvyyksiin saadaan tarkentavia ohjeita ja tukea viranomaiselta kansallisella ja/tai EU-tasolla.

Lausuntonne koskien säännöskohtaisia perusteluita

Säännöskohtaisissa perusteluissa selostetaan, että momentin 6 kohdassa säädettäisiin Sosiaali- ja terveysalan lupa- ja valvontaviraston markkina-valvontatehtävistä. Sosiaali- ja terveysalan lupa- ja valvontavirasto toimisi markkinavalvontaviranomaisena niiden suuririskisten tekoälyjärjestelmien osalta, joita käytetään tekoälyasetuksen III liitteen 5 kohdan a ja d alakohdan mukaisissa käyttötapauksissa, lukuun ottamatta silloin kun Finanssivalvonta toimisi markkinavalvontaviranomaisena ja silloin kun Kansaneläkelaitos toimisi markkinavalvontaviranomaisena. Pykälän 4 momentissasäädettäisiin Kansaneläkelaitosta koskeva poikkeus siihen, mitä 2 momentin 6 kohdassa, 4 §:ssä ja 5 §:ssä säädetään valvovasta viranomaisesta. Valvovana viranomaisena toimisivat eduskunnan valitsemat valtuutetut silloin, kun valvonta kohdistuu Kansan-eläkelaitokseen.

Kela-poikkeuksen osalta toivottaisiin kuitenkin tarkennusta hallituksen esitykseen siitä, onko valvova viranomainen Fiva vai eduskunnan valitsemat valtuutetut esimerkiksi opintolainan osalta. Opintolainat myönnetään Kelan kautta, vaikka tosiasiallisesti pankit vastaavat niistä käytännöntasolla. Vastaavasti työeläkejärjestelmän ja kansaneläkejärjestelmän osalta finanssialan toimijat ovat tiukassa yhteystyössä Kelan kanssa eläkkeiden etuuksien myönnössä. Hallituksen esityksen tulisi selventää kuka on toimivaltainen viranomainen, kun kyseessä on Kelan ja finanssitoimijoiden välinen yhteistyö. FA katsoo, että edellä mainitun yhteistyön osalta tulisi toimivaltaisen viranomaisen olla aina Fiva silloin, kun valvonta kohdistuu finanssialan toimijoihin.

Lausuntonne koskien pykäliä

Ei lausuttavaa.

Muut kommentit HE-luonnoksesta

Ehdotuksen mukaan Finanssivalvonta toimisi markkinavalvontaviranomaisena, kun vakuutusyhtiöt ottavat käyttöön tai käyttävät suurriskisiä tekoälyjärjestelmiä. Asetuksen johdantotekstin perusteella tällaisia etuuksia voisivat olla työtapaturman johdosta myönnettävät etuudet. Tekoälyasetuksessa säädetään lisäksi perusoikeuksia suojelevista viranomaisista. Suomessa perusoikeuksia suojeleva viranomainen on mm. eduskunnan oikeusasiamies, joka valvoo myös vakuutusyhtiöitä niiden hoitaessa julkista hallintotehtävää, kuten työtapaturma- ja ammattitautilain tai työeläkelakien toimeenpanoa. Finanssivalvonnalla ja eduskunnan oikeusasiamiehellä olisi siten rinnakkaisia valvontatehtäviä. FA pitää tärkeä, että kuvatussa kahden valvojan mallissa valvonnan yhdenmukaisuus voidaan varmistaa ja asia otetaan esille myös lakiehdotuksen jatkovalmistelussa.

Kohdassa 4.2.3 todetaan, että Tekoälyasetuksen artiklan 5 käyttötapausten kiellot tulevat voimaan helmikuusta 2025 alkaen, mutta valvontavalmiudet astuvat voimaan elokuussa 2025. Tästä todetaan, että tilanne ”antaa aikaa toimijoille havaita, onko niillä mahdollisesti kehitteillä tai käytössä 5 artiklan alaan kuuluva käytäntö ajoissa, jotta se voidaan muuttaa tai sopeuttaa uuden lainsäädännön kehikkoon vaatimusten mukaiseksi ennen kuin rikkomusten johdosta voi tulla asetuksen mukaisia seuraamuksia”. FA katsoo, että hallituksen esitykseen tulisi lisätä selkeä linjaus siitä, ettei mahdollisista rikkomuksista tulla määräämään seuraamuksia takautuvasti. Tämä takaisi toimijoille oikeusturvaa ja auttaisi organisaatioita varautumaan asianmukaisessa aikataulussa sääntelyn muutoksiin.

FA katsoo, että seuraamuksien ja sanktiotoimenpiteiden tulee olla riittävän tehokkaita, jotta ne estävät julkisia ja yksityisiä osapuolia rikkomasta sääntöjä. Niiltä osin, kun julkisen sektorin toimijat tulevat hyödyntämään tekoälyasetuksen mukaisia tekoälyjärjestelmiä, tulee myös julkisen sektorin toimijoiden kuulua seuraamusjärjestelmän piiriin mahdollisissa väärinkäytöstilanteissa. Seuraamustoimenpiteet tulisi harmonisoida mahdollisimman yhteneväisiksi muiden jäsenvaltioiden kanssa, jotta voidaan rajoittaa jäsenvaltioiden välistä kilpailua ja ehkäistä yritysten sääntömääräisen kotipaikan valintaa kevyemmän sääntelyn tai sanktiovelvoitteiden perässä. Lisäksi jatkovalmisteluun osalta toivotaan, että sanktioista säädettäessä huolehditaan ennustettavuuden ja ohjaavuuden selkeyttämisestä.

Edelleen seuraamusjärjestelmän osalta tulee huolehtia, ettei päällekkäisiä sanktioita määrä kahden eri toimivaltaisen viranomaisen toimesta tai kahden mahdollisesti päällekkäisen sääntelyn perusteella, mikäli käsillä olevaan rikkeeseen soveltuu horisontaalisen tekoälyasetuksen lisäksi sektorikohtaista erityissääntelyä.

Yhteistyön järjestämisessä tulisi erityisesti ottaa huomioon eri viranomaisten sektorikohtainen tietotaito ja varmistaa sujuva keskusteluyhteys viranomaisten välillä, jotta päällekkäisiltä ja/tai ristiriitaisilta ohjeistuksilta eri viranomaisten toimesta vältytään. FA korostaa viranomaisten neuvontavelvollisuuden, proaktiivisen ohjausasenteen ja viranomaisten välisen yhteistyön sujuvuuden tärkeyttä. FA pitää hyvänä, että Traficom on nimetty tekoälyasetuksen mukaiseksi yhteyspisteeksi, sillä Traficom oli nimetty yhteyspisteeksi myös EU:n datasäädöksen kansallista täytäntöönpanoa koskevassa arviomuistiossa.

Edelleen FA katsoo tärkeäksi, että tekoälyasetuksen kansallisessa toimeenpanossa huomioidaan tekoälyn käyttö automaattisen päätöksenteon taustalla. Kansallisella tasolla tekoälysäädöksen suhteesta automaattista päätöksentekoa koskeviin lainsäädännön muutoksiin liittyy vielä epävarmuutta. Tekoälysäädös mahdollistaa tekoälyn hyödyntämisen myös viranomaistoiminnassa ja tilanteissa, joissa yksityinen yhteisö hoitaa julkista hallintotehtävää. Tekoälyasetuksen toimeenpanon myötä olisi syytä tarkastella automaattista päätöksentekoa koskevaa kansallista sääntelyä uudelleen. Kansalliseen lainsäädäntöön tulisi tehdä tarvittavat muutokset, jotta se ei ole EU:n tekoälysäädöstä rajoittavampaa tai ainakaan sen kanssa ristiriidassa.

Koska automaattisen päätöksenteon edellytyksistä säädetään myös tietosuoja-asetuksessa, näiden kahden asetuksen väliseen suhteeseen toivotaan selvennystä kansallisella ja EU-tasolla. Markkinatoimijoiden näkökulmasta on epäselvää, ovatko ne ristiriidassa keskenään ja jos ovat, miten mahdollinen ristiriita asetusten välillä tulisi ratkaista. Kansallista automaattista päätöksentekoa koskevaan sääntelyyn julkisia hallintotehtäviä hoidettaessa, tekoälyasetus ja hallitusohjelman asiaa koskeva kirjaus (”Hallitus mahdollistaa tekoälyn avulla tehtävät automaattiset viranomaispäätökset” (sivu 111)) tukevat sitä, että asiaa tulee tarkastella uudelleen nykysääntelyn valossa.

Jos organisaationne toimii tiedonhallintalain (906/2019) tarkoittamana tiedonhallintayksikkönä, mitkä ovat näkemyksenne hallituksen esityksen luonnoksen 4.2.6. kappaleeseen ”Tiedonhallinnan muutosvaikutukset” organisaationne koskevan tiedonhallinnan osalta?

Kyseistä hallituksen esityksen kohtaa pidetään epäselvänä. FA:n näkemyksen mukaan tiedonhallinnalliset vaikutukset seuraavat tekoälyjärjestelmien luonteesta eikä niinkään HE:n tarkoittamasta kansallisesta sääntelystä. Tiedonhallintalaki edellyttää esimerkiksi tietynlaisia tietoturvatoimenpiteitä ja tiedonhallinnallisia toimia. Tekoälyjärjestelmien ominaispiirteistä johtuen kyseiset toimet voivat tarvita muutoksia. Lisäksi tekoälyasetuksen vaatimuksia ja tiedonhallintalakia tulee lukea rinnakkain, kun määritetään esimerkiksi lokitusten toteutusta. FA pitää hallituksen esityksen perusteella epäselvänä, ovatko tiedonhallintalain soveltamisalaan kuuluvien organisaatioiden velvoitteet muuttumassa, mikäli tekoälyjärjestelmät aiheuttavat erityispiirteitä näiden vaatimusten toteutumiselle. FA katsoo, että hallituksen esitykseen tulisi edellä mainittujen vaatimusten osalta selventää, onko uusia vaatimuksia tulossa.

FA katsoo, että tekoälyasetuksella on vaikutuksia useisiin finanssialalla vakiintuneessa käytössä oleviin tietojärjestelmiin, koska ’tekoälyjärjestelmä’ on määritelty laajasti koskemaan myös perinteisiä tilastollisia ja matemaattisia malleja, jotka eivät pohjaudu täysin ihmisen asettamiin sääntöihin. Tämä aiheuttaa kustannuksia useisiin jo käytössä oleviin järjestelmiin viimeistään järjestelmäpäivityksen yhteydessä, sillä myös aiemmin käyttöönotettujen järjestelmien tulee noudattaa tekoälyasetusta merkittävän muutoksen myötä. Uusien investointien osalta tekoälyasetuksen tuoma kasvanut sääntelytaakka voi motivoida yrityksiä välttämään tekoälyn käyttöä suuren riskin käyttötapausalueilla välttääkseen sääntelytaakan kustannuksia sekä riskiä liittyen epäselvyyksiin sääntelyn soveltamisesta.

Finanssialan toiminnassa luottokelpoisuudenarviointi, luottopisteytys sekä vakuutusten riskiarvioinnit ovat keskeisessä osassa liiketoimintaa, minkä takia alan yritykset toimivat tyypillisesti näihin käyttötapauksiin liittyvien järjestelmien tarjoajina. Useita alan kotimaisia toimijoita koskevatkin laajat tarjoajan velvollisuudet käyttöönottajan velvollisuuksien lisäksi. Koska finanssialaan kohdistuu merkittävän laaja muu sektorikohtainen sääntelytaakka, tekoälyasetus voi kannustaa lykkäämään tekoälyyn liittyviä investointeja, kunnes sen soveltamisen käytännöt vakiintuvat markkinassa. Hallitus voi edistää tekoälyinnovaatioiden hyödyntämistä, jos se edellyttää valvojilta viranomaisilta selkeää kommunikaatiota sidosryhmille asetuksen tulkinnasta ennen vaatimusten soveltamisen alkua.

Finanssialan toimijoilla on lisäksi käytössä useita järjestelmiä, joita tekoälyasetuksen avoimuusvelvoitteet koskevat. FA ei näe, että avoimuusvelvoitteiden toteuttamisessa olisi vastaavaa kustannus- tai sääntelyriskiä kuin suuren riskin käyttötapauksissa.

Toimiiko organisaationne tai edustamanne yritys tekoälyasetuksen tarkoittamana toimijana, ja jos toimii, millä tavoin katsotte, että asetus ja ehdotettavat lait vaikuttavat organisaatioonne tai yritykseenne?

FA:n jäsenistö näkee itsensä pääasiassa asetuksen tarkoittamana käyttöönottajana. FA:n jäsenistö on kuitenkin tunnistanut, että mikäli ne kehittävät oman tekoälyjärjestelmän sisäiseen käyttöönsä tulisivat he olemaan asetuksen mukaisia tarjoajia. Monet finanssialan toiminnot on luokiteltu suuren riskin käyttötapaukseksi asetuksessa. Ensisijaisesti vaikutuksia tulisi itse tekoälyasetuksesta, mikäli lähdettäisiin kehittämään suuren riskin järjestelmiä. Lähtökohtaisesti sovelletaan olemassa olevia prosesseja ja toimintamalleja, mutta suuren riskin järjestelmän myötä vaadittavat toimenpiteet voivat olla laajempia.

FINANSSIALA RY

Hannu Ijäs