Vuonna 2013 Edward Snowden salakuljetti NSA:sta arkaluontoisia dokumentteja microSD-korteilla, joita hän oli piilottanut Rubikin kuutioon. Paljastukset muuttivat pysyvästi käsityksemme Yhdysvaltain turvallisuusviraston (NSA) harjoittaman tiedonkeruun laajuudesta.

Samoihin aikoihin käynnistyi toinen merkittävä tapahtumasarja, kun FBI vaati Microsoftia luovuttamaan huumekauppaan liittyviä tietoja Irlannissa sijaitsevalta palvelimelta. Microsoft vastusti pyyntöä ja haastoi viranomaiset oikeuteen. Pitkä oikeustaistelu johti siihen, että Yhdysvalloissa säädettiin vuonna 2018 CLOUD Act -laki. Se antaa Yhdysvaltain lainvalvontaviranomaisille oikeuden vaatia pääsyä tietoihin niiden fyysisestä sijainnista riippumatta - usein jopa ilman velvoitetta informoida asiakasta.

CLOUD Actin vaikutus ulottuu laajalle, sillä maailman ylivoimaisesti suosituimmat pilvipalveluiden tarjoajat, kuten Amazon, Google ja Microsoft, ovat kaikki yhdysvaltalaisia yrityksiä. Esimerkiksi Microsoft on todennut, ettei se voi taata eurooppalaisten asiakkaidensa tietojen suojaa Yhdysvaltain viranomaisilta, vaikka data sijaitsisi fyysisesti EU:n alueella olevilla palvelimilla.

Sama periaate koskee myös tekoälypalveluita. Johtavat kielimallien kehittäjät, kuten OpenAI, Meta, Anthropic ja Google, ovat niin ikään yhdysvaltalaisia. Lisäksi toukokuussa 2025 OpenAI määrättiin oikeudenkäynnissä The New York Timesia vastaan toistaiseksi säilyttämään kaikki ChatGPT:n kanssa käydyt keskustelut, ja tämä voi koskea lähes kaikkia palvelun käyttäjiä.

On siis syytä olettaa, että kaikki kielimalleihin syötetyt tiedot voivat olla pysyvästi Yhdysvaltain lainvalvonnan saatavilla. Tiedot voivat toki olla sen ulottuvilla jo muutenkin: pilvipalveluina tarjottavat GitHub tai GitLab ovat erittäin suosittuja lähdekoodin hallintaan, ja lukemattomat palvelut toimivat AWS:n, Azuren tai Google Cloudin päällä.

Punnitse hyödyt ja riskit

Jokaisen yrityksen on syytä arvioida, onko edellä kuvatuilla riskeillä merkitystä omalle liiketoiminnalle. Harvan palvelun lähdekoodi kiinnostaisi edes yrityksen kilpailijoita, saati sitten Yhdysvaltain viranomaisia.

Kannattaa myös tarkistaa käytössä olevan kielimallien käyttöehdot. Tyypillisesti yritystilien käyttäjien syöttämiä tietoja ei käytetä kielimallien kouluttamiseen tai palveluiden parantamiseen. Riski, että omat tiedot päätyvät osaksi kielimallia, on siis hyvin pieni.

Lähdekoodin kannalta ei siis yleensä ole syytä huoleen, mutta henkilötietojen kanssa ei kannata ottaa mitään riskiä. Esimerkiksi Kodanin tekoälyohjeistuksessa kielletään henkilötietojen ja muun luottamuksellisen tiedon syöttäminen julkisiin kielimalleihin. Myös yleisen tietosuoja-asetuksen (GDPR) vinkkelistä tämä on kiellettyä.

Jos yrityksellä on tietoa, joka ei missään olosuhteissa saa vuotaa, on olemassa kaksi vaihtoehtoa: joko kieltää kielimallien hyödyntäminen täysin tai ottaa käyttöön jokin paikallisesti asennettava malli. Paikallisten mallien käyttöönotto ja ylläpito tosin edellyttää melkoista perehtymistä ja parhaita kielimalleja ei voi asentaa paikallisesti, koska ne ovat saatavilla vain kaupallisina palveluina.

Muiden on siis punnittava, onko kielimalleista saatava hyöty suurempi kuin mahdollinen riski. Useimmissa tapauksissa vastaus on ehdottomasti kyllä.

--

Tämän blogikirjoituksen kirjoitti Kodanin AI Lead Pasi Kovanen. Pasin juttusille pääset helpoiten LinkedIn-palvelussa tai sähköpostilla: pasi.kovanen@kodan.fi.

Kuva: Gemini Pro 2.5