Taistelua digitaalisesta tulevaisuudestamme käydään monella rintamalla. Toisella puolella ovat EU:n perusoikeuskirjassa määritelty henkilötietojen suoja ja sitä kuvaava tiedollinen itsemääräämisoikeus, toisella Aasian ja Tyynenmeren APEC-valtioiden käsitys yksityisyydestä (privacy). Jälkimmäisen ajattelutavan mukaan kaikki on sallittua, ellei tietojen käsittely aiheuta harmia rekisteröidyille.
Eurooppalainen tietosuoja-ajattelu perustuu teknologia-neutraaliudelle: oikeudet ovat voimassa teknologiasta riippumatta. Sen sijaan muualla teknologian käyttäjät eivät ole asiakkaita vaan tuotteita. Alustapalvelujen tarjoajat myyvät mainostajille, tutkimuslaitoksille ja hallituksille henkilötietoja ja niistä johdettuja profiileja. Tässä taistelussa eurooppalainen tietosuoja-asetus GDPR näyttäisi pääsevän niskan päälle. Siitä on tullut lähes de facto -standardi.
GDPR edustaa kolmannen sukupolven tietosuojasääntelyä. Ensimmäiset tietosuojalait perustuivat tarpeeseen vahvistaa perus- ja ihmisoikeuksia. Seuraavan sukupolven sääntelyä tarvittiin vastaamaan uuden teknologian haasteisiin. GDPR:n taustalla on näiden lisäksi pyrkimys vahvistaa eurooppalaisten toimijoiden kilpailukykyä globaaleilla digitaalisilla markkinoilla.
Tietosuoja-asetuksen valmistelu alkoi Euroopan ollessa syvässä taloudellisessa taantumassa ja pankkikriisissä. Silloin huomattiin, että kuluttajat ostivat digitaalisia tuotteita ja palveluita EU:n ulkopuolelta. Komissiossa pääteltiin, että kuluttajien luottamus EU:n digitaalisiin sisämarkkinoihin oli liian heikko. Sen vahvistamiseksi valmisteltiin toimenpideohjelma osana monipuolista digimarkkinastrategiaa. Ohjelmaan kuuluivat GDPR:n lisäksi digitaalista kuluttajansuojaa ja digitaalista sisältöä koskevat direktiivit.
Valmistelussa on paraikaa sähköisen viestinnän luottamuksellisuutta sosiaalisen median viestintäpalveluihin laajentava tietosuojauudistus ePrivacy. Lainvalvontaviranomaisten toimivaltuuksia on vahvistettu. Sen seurauksena on laskettu, että Google maksaa Eurooppaan enemmän hallinnollisia seuraamusmaksuja kuin veroja.
GDPR on sellaisenaan kaikissa jäsenvaltioissa sovellettavaa oikeutta, jolla säädellään automatisoitua henkilötietojen käsittelyä – myös algoritmeihin perustuvaa. Meillä on siis jo nyt yleislaki, jota voi soveltaa tekoälyyn. On kuitenkin mahdollista, että tekoälyä on säänneltävä lisäksi sektorikohtaisesti.
Samoin on välttämätöntä käydä keskustelua tekoälyn ja koneoppimisen valtiosääntöoikeudellisista kysymyksistä, kuten vastaako virkamies koneen tekemästä päätöksestä. Onneksi eduskunnan perustuslakivaliokunta on kiinnittänyt näihin huomionsa. Luottamuksen rakentaminen tekoälyn käyttöön edellyttää myös menemistä lainsäädäntöä pidemmälle – kysymykseen tekoälyn eettisestä hyväksyttävyydestä.