W skrócie : AI Act, europejska regulacja na temat AI, jest w mocy od lutego 2024 roku, pomimo sprzeciwu niektórych firm. Nakłada obowiązki dotyczące modeli AI ogólnego przeznaczenia, w tym obszerną dokumentację techniczną, politykę poszanowania praw autorskich i podsumowanie danych treningowych. Firmom nieprzestrzegającym przepisów grożą kary do 15 milionów euro lub 3% światowego obrotu.
Podsumowanie
Pierwsze przepisy AI Act, które weszły w życie w sierpniu 2024 roku, dotyczące systemów AI o niedopuszczalnym ryzyku, zaczęły obowiązywać w lutym. Pomimo moratorium "Stop the Clock" wnioskowanego przez około pięćdziesiąt przedsiębiorstw EU AI Champions Initiative w sprawie wstrzymania wdrażania regulacji, obowiązki dotyczące modeli AI ogólnego przeznaczenia (GPAI) są skuteczne od ostatniej soboty.
UE była pionierem w ustanawianiu ram regulacyjnych mających na celu regulację AI w zależności od jej potencjalnej szkodliwości. Celem AI Act lub RIA jest zapewnienie, że systemy i modele AI wprowadzane na rynek w UE są używane w sposób etyczny, bezpieczny i zgodny z podstawowymi prawami UE.
Wytyczne opublikowane przez Komisję Europejską 18 lipca wyjaśniają zakres stosowania regulacji dla modeli GPAI. Każdy model AI wykazujący zdolność obliczeniową przekraczającą 10²³ FLOPs (czyli objętość operacji zmiennoprzecinkowych używanych podczas treningu), zaprojektowany bez określonego celu (prognozy pogodowe, gry...) ale mogący być używany w szerokim zakresie kontekstów, będzie uznawany za należący do tej kategorii.
Obowiązki obejmują cały cykl życia modeli, od pretreningu po udostępnienie, łącznie z aktualizacjami i zmianami po wprowadzeniu na rynek. Dostawcy będą musieli dostarczyć:
- wyczerpującą dokumentację techniczną przeznaczoną dla dostawców w dół integrujących model w swoim systemie AI oraz, na żądanie, do AI Office lub odpowiednich organów krajowych.
- podsumowanie danych treningowych, według standardowego modelu dostarczonego przez AI Office ;
- wprowadzenie polityki dotyczącej poszanowania praw autorskich, zgodnej z prawem europejskim.
Podstawowa zasada regulacji pozostaje niezmieniona: im większe ryzyko, tym większe wymagania. Te obowiązki są zaostrzone dla GPAI uznawanych za systemowe ryzyko, modele przekraczające próg 10²⁵ FLOPs skumulowanych. Te będą musiały przejść zaawansowane procedury zarządzania ryzykiem, zwłaszcza w zakresie cyberbezpieczeństwa, zgłaszania poważnych incydentów, czy ciągłych testów. Obciążenie regulacyjne uznawane za trudne do utrzymania...
Ten próg nie jest jednak sztywny: dostawcy mogą zażądać ponownej oceny rzeczywistych zagrożeń.
Dostawcy, modyfikacje i status open source
Każde przedsiębiorstwo, które wprowadza model na rynek europejski, jest uważane za dostawcę, niezależnie od miejsca pierwotnego rozwoju. Jednakże, podmiot w dół, który dokonał modyfikacji modelu używając więcej niż jednej trzeciej jego pierwotnej mocy obliczeniowej, jest również uznawany za dostawcę i podlega obowiązkom.
Modele publikowane na wolnych i otwartych licencjach są częściowo zwolnione z obowiązków. Pod warunkiem spełnienia pewnych kryteriów (brak monetyzacji lub zbierania danych osobowych), modele te nie podlegają obowiązkom dokumentacyjnym dla dostawców w dół lub władz. Jednakże, gdy przekroczą próg systemowego ryzyka, żadne zwolnienie nie ma zastosowania.
Kodeks dobrych praktyk
Pomimo wejścia w życie 2 sierpnia, te przepisy będą obowiązywać dopiero od sierpnia 2026 roku dla nowych modeli, a od sierpnia 2027 roku dla istniejących modeli. Ta stopniowość, kierowana przez Biuro AI, ma na celu danie przedsiębiorstwom czasu na adaptację.
Aby pomóc dostawcom w przestrzeganiu, Komisja opublikowała, na kilka dni przed swoimi wytycznymi, kodeks dobrych praktyk. Ci, którzy zdecydują się go przestrzegać, skorzystają z redukcji obciążeń administracyjnych i zwiększonego bezpieczeństwa prawnego w porównaniu do tych, którzy udowodnią swoją zgodność w inny sposób. Google, OpenAI, Mistral, Microsoft już to zrobiły, podczas gdy Meta odmówiła, wskazując na niejasności prawne i nieuzasadnione rozszerzenie ram regulacyjnych.
Kary przewidziane za nieprzestrzeganie tych obowiązków mogą sięgać 15 milionów euro lub 3% światowego obrotu przedsiębiorstw. Każde z państw członkowskich UE musi powiadomić Komisję o organach nadzoru, które będą kontrolować przedsiębiorstwa. Jeśli żadna nie została jeszcze wyznaczona przez Francję, Cnil powinna odgrywać kluczową rolę, rozważane są również instancje sektorowe takie jak Arcom czy Anssi.