Teknologia 23 -tapahtuman TIVIA Stagen kolmannen päivän eli torstain 9.11.2023 yhdeksännen esityksen piti Data Privacy Lead Oona Matinpalo Deloittelta. Kolmannen päivän ohjelma oli kokonaan Tietoturva ry:n järjestämää ja päivän esityksillä oli 20–70 seuraajaa paikan päällä.
Matinpalon mukaan GDPR (General Data Protection Regulation) on EU:n yleinen tietosuoja-asetus. Kysymys on henkilötiedoista ja niiden käsittelystä, ja henkilötiedoista on kysymys sanan laajassa merkityksessä. Sama on kysymyksessä termin henkilötietojen käsittely yhteydessä: tietojen katselusta ja keräämisestä aina elinkaaren loppuun saakka. Henkilötietojen käsittelyä on siten myös henkilötietojen tallennus, vaikka siihen ei sisältyisi mitään varsinaista prosessointia.
Matinpalon mukaan tekoälystä on useita rinnakkaisia määritelmiä. Kysymys on nopeasti kehittyvästä teknologia-alasta, joka on jo läsnä jokaisen elämässä, usein yllättävissä paikoissa: kun aamulla avaa kännykän GPS-sovelluksen, joka huomauttaa tietyöstä toisella mahdollisella reitillä, kysymys on tekoälystä. Matinpalo valitsi tekoälyn määritelmäksi IBM:n version vuodelta 2022: ”Tekoäly on jotakin sellaista, joka simuloi tai matkii meidän ihmisten toimintaa, ajatuksia ja malleja”.
Tekoäly tarvitsee toimiakseen valtavan määrän tietoa sekä sen kouluttamiseen ja sen kanssa keskustelemiseen. Yksinkertaistettuna tekoäly puolestaan koostuu koulutusdatalla koulutetuista algoritmeista, jotka koostavat annetusta tiedosta lopputuloksen.
Miksi GDPR pitää ottaa huomioon tekoälyn yhteydessä? Tekoälyn käsittelemän tiedon joukossa on hyvinkin paljon henkilötietoa, mitä tekoäly käsittelee, mikä pakottaa ottamaan GDPR:n mukaan yhtälöön.
Mutta onko GDPR tekoälyn yhteydessä mahdoton yhtälö? Matinpalo käsitteli asiaa kolmen kysymyksen kautta. Ensimmäisenä on yksilön oikeus saada tietoa henkilötietojensa käsittelystä. Organisaatiot kertovat meille henkilötietojemme käsittelystä yleensä tietosuojaselosteissaan. Mutta tekoälyyn liittyy perustavaa laatua oleva ongelma: se on musta laatikko (black box). Tekoälyn taustalla olevan algoritmit ovat niin kompleksisia, että on lähes mahdotonta tietää, miten tekoäly toimii. Kun tekoälyn toimintaa ei tunneta, ei siitä silloin voida kertoakaan niille, joiden henkilötietoja sillä käsitellään.
Yksilön oikeus olla joutumatta automaattisen päätöksenteon kohteeksi on toinen asiaan vaikuttava kysymys. Automaattista päätöksentekoa on sekin kun tekoäly käsittelee henkilötietoja ilman ihmisen vaikutusta esimerkiksi rekrytointi- tai luottopäätöksen yhteydessä. Matinpalon mukaan monien tekoälyratkaisujen algoritmeissa on automaattista päätöksentekoa. Siten myös toinen kysymys on riski henkilötietojen käsittelyn kannalta.
Kolmas kysymys liittyy yksilön oikeuteen oikaista henkilötietojaan. Matinpalo kertoi esimerkin, jossa ChatGPT:ltä kysyttiin tietystä (elävästä) henkilöstä. Pitkä selostus sisälsi oikeaa tietoa, mutta lopuksi ChatGPT ilmoitti, että henkilö on kuollut. ChatGPT:n tietosuojaselosteen mukaan se käsittelee 1) julkista tietoa internetistä, 2) kolmansilta osapuolilta lisensoitua tietoa ja 3) tietoa, jota käyttäjät tai kouluttajat tarjoavat. Matinpalon mukaan netistä saatavaan tietoon sisältyy iso ongelma, sillä tietomäärä on niin suuri, että sitä on yksilön vaikea tarkistaa.
Kaikkiin kolmeen kysymykseen sisältyy siis riski. Matinpalo ei kuitenkaan kehota lopettamaan tekoälyn käyttöä, vaan tunnistamaan ongelmat ja suunnittelemaan toimenpiteet riskien minimoimiseksi. Matinpalon mukaan organisaation pitäisi tehdä seuraavat toimenpiteet näihin kolmeen kysymykseen liittyvien ongelmien ratkaisemiseksi: On rakennettava organisaatioon riittävä ymmärrys tekoälystä. Asioista kannattaa viestiä sidosryhmille niiden ymmärtämällä tavalla. On rakennettava suostumuksenhallintatoiminnallisuus, eli mahdollistettava ihmisten kieltäytyminen tekoälyn tekemästä henkilötietojen käsittelystä. Esimerkiksi rekrytointiprosessissa tekoälyn käytön kieltäviä on kuitenkin kohdeltava kaikkia hakijoita samalla tavalla. Organisaation tulee ymmärtää, mistä data tulee tekoälyn kouluttamiseen, jotta tietojen korjaamiseen tarvittava ymmärrys syntyy siinä tapauksessa, että yksilö havaitsee virheitä henkilötiedoissaan. Lisäksi tekoälyalgoritmit on säännöllisesti tarkistettava. Eli monitorointiprosessiin tarvitaan ihminen. Myös tietosuojaprosesseja on testattava esimerkiksi entinen työnhakija tai asiakkaan tekemän tietopyynnön perusteella.
Mitä jokainen voi tehdä pienentääkseen riskejä? Ensinnäkin jokaisen on perehdyttävä organisaationsa tietosuojaselosteisiin ja mahdollisiin käyttöehtoihin. Jos löytyy epäselviä asioita, niistä on kysyttävä, jotta ymmärrys tietosuojan tärkeydestä syntyy organisaatiolle. Automaattisen päätöksenteon kohdalla jokainen voi vaatia ihmistä mukaan meitä koskevaan päätöksentekoon. Se tosin edellyttää suostumuksenhallintamekanismia. Voimme rajoittaa henkilötietojemme käsittelyä ja pienentää siltä osin virheiden olemassaolon mahdollisuutta. Mutta jos virheellistä tietoa löytyy, sitä voi pyytää korjattavaksi, ja siten testata tietosuojaprosesseja.
GDPR:n ja tekoälyn sovittaminen yhteen on Matinpalon mukaan vaikeaa, mutta ei mahdotonta.
Kuvaaja: Olli Teräs