Tekoälyn suhde tietosuojaan ja tietoturvaan opetustyössä

Tekoälyjärjestelmien toiminta perustuu suurten tietomäärien analysointiin ja käsittelyyn, joten tietosuoja ja tietoturvakysymykset kytkeytyvät aiheeseen tiiviisti. Perustuslaissa on turvattu jokaiselle oikeus yksityiselämän suojaan, mihin henkilötietojen suoja kuuluu. Tietosuojavaltuutetun toimiston mukaan tietosuoja turvaa henkilötietojen käsittelyn oikeudet ja vapaudet. Henkilötieto tarkoittaa mitä tahansa tietoa, joka liittyy tunnistettuun tai tunnistettavissa olevaan henkilöön, kuten nimi, osoite tai sähköpostiosoite. Tietosuojanäkökulmasta tietoturvan tarkoituksena on suojata tietoaineistoa ja tietojärjestelmiä. Laajemmin tietoturvalla tarkoitetaan kaikkia niitä teknisiä, hallinnollisia ja toiminnallisia toimenpiteitä, joilla turvataan tietojen käytettävyys, eheys ja luottamuksellisuus. (Tietosuojavaltuutetun toimisto, s. a.)

Tekoälykeskustelussa etenkin tietosuojaan liittyvät kysymykset herättävät huolta, kun henkilötietoja käsitellään ja tallennetaan tekoälyjärjestelmiin. Esimerkkeinä riskeistä opetusalalla ovat opiskelijoiden henkilötietojen vuotaminen, opetussisältöjen manipulointi ja tekoälyjärjestelmän avulla tehty arviointi. Tietojen syöttämisellä tekoälyjärjestelmään ilman tekijänoikeuden haltijan lupaa on mahdollista loukata olemassa olevia tekijänoikeuksia, kuten aiemmassa blogitekstissäni Tekoäly opetuksessa ja tekijänoikeudet toin esille.

Osana AIDriver!-hanketta käsittelen tässä kirjoituksessa sitä, miten tekoälyjärjestelmien tietosuoja- ja tietoturvariskeihin tulisi varautua erityisesti opettajan näkökulmasta.

Ovatko tekoälyjärjestelmät GDPR:n mukaisia?

EU:n yleinen tietosuoja-asetus (GDPR) soveltuu lähtökohtaisesti aina kun käsitellään henkilötietoja Euroopan unionin alueella. Tietosuojalaki (1050/2018) täsmentää ja täydentää tietosuoja-asetusta ja sen kansallista soveltamista. Ne asettavat ehdot, miten ja millä edellytyksillä henkilötietoja saa käsitellä. Käsittelyperiaatteisiin lukeutuvat muun muassa eheys, luottamuksellisuus, täsmällisyys, läpinäkyvyys, lainmukaisuus, kohtuullisuus, säilytyksen rajoittaminen, tietojen minimointi ja käyttötarkoitussidonnaisuus. Kaikkiin näihin periaatteisiin saattaa liittyä haasteita tekoälyjärjestelmissä.

Opettajien ja koulutusorganisaatioiden on varmistettava, että tekoälyjärjestelmien käyttö opetuksessa noudattaa GDPR:n vaatimuksia. Opiskelijoilla on oikeus tietää, miten heidän henkilötietojaan käsitellään ja suojataan. Lintulahden (12.2.2024) mukaan oma erityispiirteensä liittyy siihen, että tekoäly oppii opetusdatasta, sillä se tuo mukanaan erityisesti opetusdatan sekä tekoälymallin luottamuksellisuuteen, eheyteen ja saatavuuteen liittyviä erityisiä tietoturvakysymyksiä.

ChatGPT on generatiivinen tekoälysovellus, joka perustuu yhdysvaltalaisen OpenAI-nimisen yrityksen luomaan GPT-3.5-malliin. Useiden asiantuntijoiden mukaan ChatGPT-3.5 ei ole EU:n tietosuoja-asetuksen mukainen. Järjestelmään syötetty data siirtyy fyysisesti palvelimelle Yhdysvaltoihin. OpenAI:n omissa käyttöehdoissa (31.1.2024) todetaan, että syötettyä tietoa voidaan käyttää järjestelmän koulutukseen, jos käyttäjä ei ole estänyt historiatietojen tallennusta ja kouluttamista yksityisyysasetuksista (ns. opt-out). Syötetty tieto on siis lähtökohtaisesti muiden saatavilla, ellei käyttäjä itse ole tätä estänyt. Tämä voi rajoittaa käyttöä etenkin yritysten näkökulmasta.

Koulutusorganisaatioiden henkilökunnalla voi olla käytössään Microsoft Copilotin maksullinen yritysversio, joka tarjoaa lisäominaisuutena kaupallisen tietosuojan (esim. Bing). Microsoftin mukaan kaupallisen tietosuojan käyttäjä ja yritystiedot ovat suojattuja eivätkä ne vuoda organisaation ulkopuolelle. Chat-tietoja ei tallenneta tai käytetä mallien kouluttamiseen. Microsoft noudattaa GDPR:n periaatteita. (Microsoft 1.12.2023.)

Opettajien tulee ymmärtää GDPR:n vaatimusten mukaisten kaupallisten tekoälyjärjestelmien ja laajasti käytettyjen muiden kielimallien eron ja sen, mihin tekoälyjärjestelmä käyttää syötettyjä tietoja. Entä opiskelijat, joilla ei ole vielä todennäköisesti pääsyä maksullisten kaupallisten järjestelmien piiriin?

Hyviä käytänteitä riskien minimoimiseen

Nähdäkseni maalaisjärjellä pärjää yksittäinen opettaja tässäkin asiassa pitkälle. Ensinnäkin opettajan tulee noudattaa oman koulutusorganisaation tietosuoja- ja tietoturvaohjeita. Näitä ohjeita organisaatioiden tulee päivittää vastaamaan tekoälyn kehitystä. Etenkin uusien tekoälyjärjestelmien käyttöönottovaiheessa tulee organisaatiossa suorittaa vaikutustenarviointi riskien tunnistamiseksi ja minimoimiseksi henkilötietojen käsittelyssä. Kyberturvallisuuskeskus tarjoaa myös tekoälyn hyödyntämistä suunnittelevien yritysten käyttöön tietoturvariskien itsearviointityökalun (Lintulahti 2024). Riskit voivat olla erilaisia riippuen siitä, onko kyseessä julkista dataa hyödyntävä tekoälyjärjestelmä, organisaation omaa dataa hyödyntävä vai nämä yhdistävä tekoälyjärjestelmä. Tekoälysovelluksen tietosuojan arviointi siis on osa laajempaa monivaiheista prosessia, jossa arvioidaan mm. mitä tietoa käsitellään, mihin tekoälysovellusta on tarkoitus käyttää sekä tiedon lähteet.

Toiseksi tekoälyjärjestelmiin ei tule syöttää organisaation luottamuksellista tai salassa pidettävää tietoa tai liikesalaisuuksia, jotka voisivat vaarantaa organisaation mainetta. Luottamuksellinen tieto pitää sisällään myös kaikki henkilötiedot. Myöskään lainvastaista tai eettisesti ristiriitaista tietoa ei tule syöttää. OpenAI:n käyttöehdot (31.1.2024) kieltävät suoraan palvelun käyttämisen tavalla, joka loukkaa, väärinkäyttää tai rikkoo kenenkään oikeuksia. Tämä kytkeytyy tekoälyn vastuullisuuteen ja eettisiin näkökulmiin ja korostaa käyttäjän vastuuta. Esimerkiksi itse hyödynnän laajan kielimallin tekoälyjärjestelmiä opetuksen suunnittelun sparrailussa ja ideoinnissa, jolloin riski arvokkaan tiedon leviämiselle on pieni. En syötä sinne mitään tietoa, mitä en voisi jättää lojumaan Haaga-Helian kahvion pöydälle.

Oma erityiskysymyksensä on tekoälyn hyödyntäminen automaattisessa päätöksenteossa, kuten opetuksen arvioinnissa ja opiskelijavalinnassa. Tämänhetkinen loppusuoralla oleva EU:n tekoälysäädös (AI Act) mieltää nämä suuren riskin tekoälyjärjestelmiksi, jotka tulee rekisteröidä EU-tietokantaan. Niiden käyttöön liittyy tällöin tiukempia sääntöjä ja vaatimuksia. EU:n tuleva tekoälyn sääntely ei kuitenkaan vaikuta nykyisen tietosuojalainsäädännön soveltumiseen.

Jatkuvaa oppimista ja tukea korkeakoulujen henkilöstölle

Tietosuojan näkökulmasta tekoälyjärjestelmän henkilötietojen käsittelyssä pätevät siis samat vaatimukset kuin muussakin käsittelyssä. Kuitenkin niiden noudattamiseen liittyy uudenlaisia haasteita. Esimerkiksi käsittelyn riskien tunnistaminen ja arviointi voi olla vaikeaa joissain tapauksissa. Lisäksi syötetyn datan käyttö järjestelmän kouluttamiseen voi vaarantaa erityisesti käyttötarkoitussidonnaisuuden ja luottamuksellisuuden periaatteet.

Koulutusorganisaatioiden onkin syytä tunnistaa ja minimoida tietoturvaan ja tietosuojan liittyviä riskejä jo tekoälyjärjestelmien käyttöönottovaiheessa, jotta niihin voidaan varautua ennakolta. Myös yksittäisen opettajan tulee olla perillä siitä, miten tekoälyjärjestelmä käyttää syötettyjä tietoja ja erityisesti, mitä tekoälyjärjestelmään ei tule syöttää. Tähän liittyy myös tekoälyjärjestelmien eettisyys ja vastuullisuus.

Tehostamisen kilpajuoksussa ja EU:n tekoälysääntelyä odotellessa tarvitaan jatkuvaa oppimista sekä koulutusorganisaatioiden tukea henkilöstölle. Epävarmoina aikoina korostuvat etenkin konkreettiset ohjeet, tiedonjakaminen ja vertaistuki. On tärkeää kehittää uusia toimintatapoja- ja malleja näiden haasteiden ratkaisemiseen.

Kuva: Haaga-Helia