Lakimiehenä olen nähnyt monta raporttia, jotka eivät kestä päivänvaloa – mutta harvoin sellaisia, joissa osa viitteistä on keksitty. Vielä harvemmin sellaisia, joissa tämä johtuu tekoälystä. Deloitte’n Australia-toimiston tapaus, jossa Australian hallitukselle toimitetussa raportissa paljastui kymmeniä vääriä lainauksia ja olemattomia lähteitä, on erinomainen esimerkki siitä, miksi generatiivinen tekoäly on sekä lahja että uhka organisaatioille.
Kun raportin tilaajana on valtion ministeriö ja tekijänä maailman suurimpiin kuuluva konsulttiyhtiö, ei “oops, AI teki sen” enää riitä selitykseksi. Tässä kirjoituksessa puran, mitä tästä mokasta opimme, miksi tekoälyn käyttö on juridisesti riskialtista – ja miten yritysjohto voi välttää saman kohtalon.
1. Tekoäly ei ole vastuullinen, mutta sinä olet
Laki ei tunne tekoälyä vastuullisena toimijana eikä luovana tekijänä. Jos tekoäly keksii lähteitä, sepittää tuomioistuimia tai laatii sopimustekstin, joka ei vastaa todellisuutta – vastuu on aina ihmisellä tai oikeushenkilöllä sen takana. Deloitte’n tapauksessa tämä tarkoitti rahojen palauttamista hallitukselle ja julkista anteeksipyyntöä.
Yrityksen näkökulmasta tämä on suora muistutus: tekoälyn käyttö ei siirrä vastuuta mihinkään. Joku on vastuussa kuten on ollut aiemminkin alaisten, alihankkijoiden ja haamukirjoittajien tuotoksista ja tekemisistä. Tekoäly voi kyllä kirjoittaa raportin, mutta vastuun kantaa aina yhä ihminen, joka painaa “Lähetä”.
2. “Hallusinaatio” ei ole puolustus – se on riski
Tekoäly ei valehtele tahallaan. Se teknisesti vain arvaa uskottavan vastauksen todennäköisyyksien perusteella. Tämä kuulostaa tieteelliseltä, mutta käytännössä se tarkoittaa, että AI voi keksiä korkeimman oikeuden ratkaisun, jota ei koskaan ollut. Juristin näkökulmasta tämä on painajainen: loogisesti perusteltu, mutta täysin fiktiivinen lähde.
Deloitte’n raportissa tällaisia “AI-hallusinaatioita” oli uutisoinnin perusteella valitettavasti useita. Ne päätyivät viralliseen valtion raporttiin, joka julkaistiin ministeriön verkkosivuilla. Sitä voisi pitää modernina versiona siitä, kun lakimies siteeraa “Uuno Turhapuro vs. Appiukko” -oikeustapausta.
3. Valvonta ei ole muodollisuus – se on henkivakuutus
Deloitte myönsi, ettei raportin “oversight-prosessia” ollut noudatettu. Tämä on kuin tunnustaisi, ettei kukaan tarkistanut, onko lentoemäntä oikeasti lentokoneessa. Tekoälytyökalujen käyttö ilman jälkivalvontaa on verrattavissa delegointiin ilman kontrollia, ja oikeuskäytännön mukaan delegointi ei poista vastuuta.
Jokaisessa organisaatiossa pitäisi olla tekoälyvalvontasuunnitelma: kuka saa käyttää tekoälyä, mihin tarkoituksiin, miten tuotokset tarkistetaan ja kuka hyväksyy lopullisen version. Audit trail ei ole tekninen detalji – se on oikeudellinen todiste siitä, että yritys on toiminut huolellisesti.
4. Sopimuksiin tarvitaan tekoälylausekkeet
Useimmissa konsultti- ja palvelusopimuksissa ei ole vielä lausekkeita, jotka käsittelevät tekoälyn käyttöä. Deloitte’n tapaus osoittaa, että tällaisia tarvitaan pikaisesti.
Yritysten tulisi sopimuksissaan:
- edellyttää läpinäkyvyyttä tekoälyn käytöstä – mitä malleja käytetään ja missä vaiheissa;
- määritellä vastuut virheistä, jotka johtuvat tekoälyn tuottamasta sisällöstä;
- varmistaa auditointioikeus, jotta tilaaja voi tarkistaa, miten lopputulos on syntynyt;
- sopia tietosuojaehdoista, sillä tekoälymallit voivat käsitellä luottamuksellista dataa huomaamatta.
Sopimusten sanamuoto kannattaa kirjoittaa kuin vakuutus: “jos tekoäly menee sekaisin, kuka maksaa vahingot?”. Lähtökohta on, kuten tälläkin hetkellä, että vastuu on tuotoksen käyttäjällä eli sen myyneellä palveluntarjoajalla ja sitä käyttävällä ostajalla.
5. AI-lukutaito johtotasollakin on eloonjäämiskysymys
Australialainen hallitus havaitsi Deloitte’n virheet vasta ulkopuolisen tutkijan ansiosta. Tämä kertoo karusti sen, että myös tilaajaorganisaatioissa tekoälylukutaito on ollut heikko.
Yritysten ja yhteisöiden tulisi käsitellä tekoälyä samalla vakavuudella kuin talousraportointia: ymmärtää sen riskit, kysyä vaikeita kysymyksiä ja varmistaa, että johto ja päättävät tahot osaat perustella tekoälyvalintansa ja niiden tuotokset. Jos johto ei ymmärrä, miten generatiivinen malli toimii, se on kuin hyväksyisi vuosikertomuksen, jota ei osaa lukea.
6. Dokumentoi tai unohda – Tekoälyjälki on oltava todennettavissa
Yrityksen on pystyttävä osoittamaan, miten tekoälyä on käytetty: mitä promptteja annettiin, mitä dataa syötettiin ja vähintään se, että kuka tarkisti käytettävät tulokset.
Ilman tätä dokumentointia on mahdotonta puolustautua, jos joku myöhemmin väittää, että raportti sisältää “AI-sepitteitä”. Oikeudellisesta näkökulmasta dokumentointi on paras suoja: se todistaa, että yritys toimi vilpittömässä mielessä ja käytti asianmukaista huolellisuutta. Tähän on jo opittu tietosuoja-asioissa GDPR:n vuoksi.
7. Tekoäly ei ole paha, se on vain tyhmä (jos sen antaa olla)
Deloitte’n tapaus ei todista, että tekoäly olisi vaarallinen. Se todistaa, että ihmiset ovat liian usein liian luottavaisia. Tekoäly on kuin nuori juristi tai kollega: nopea, vakuuttava ja täysin vaarallinen, jos kukaan ei tarkista sen lähteitä. Tekoälyn käyttö yrityksissä on väistämätöntä, mutta vastuuton käyttö ei ole. Kuten vanha lakimiesviisaus sanoo: “Luota, mutta varmista.”
Tai jos haluamme modernin version: “Luota tekoälyyn, mutta tarkista sen lähteet – kahdesti, ja mieluiten käsin.”
Toimenpidesuositukset yrityksille
- Laadi tekoälykäyttöpolitiikka: Määritä, kuka saa käyttää tekoälyä, mihin tarkoituksiin ja millaisin valvontamekanismein.
- Ota käyttöön “AI-audit trail”: Jokaisesta tekoälyavusteisesta dokumentista tulee jäädä jälki siitä, miten se syntyi.
- Päivitä sopimusehdot: Lisää tekoäly vastuuta ja läpinäkyvyyttä koskevat lausekkeet sekä toimittaja- että asiakassopimuksiin.
- Kouluta henkilöstö ja hallitus: Tekoälylukutaito on uusi compliance-velvoite.
- Rakenna “human-in-the-loop” prosessi: Kukaan ei julkaise mitään, mitä tekoäly on tuottanut ilman ihmisen tarkistusta.
- Testaa ja dokumentoi: Tee sisäinen stressitesti tekoälyn virhealttiudesta – mieluummin omaan aikaan kuin mediassa.
Tekoäly ei nuku, ei väsy eikä pelkää. Mutta se myöskään ei ymmärrä seurauksia.
Siksi vastuu on ja pysyy ihmisellä – juristilla, johtajalla ja hallituksella.
Ja se on, rehellisesti sanottuna, ihan hyvä asia.
Ilkka Vuorenmaa
Osakas, varatuomari, OTK, KTM
Lecklé