Przyjęta ustawa

Nowy etap dla AI Act: obowiązki dotyczące modeli AI ogólnego przeznaczenia weszły w życie

AI Act, europejska regulacja dotycząca sztucznej inteligencji (AI), obowiązuje od lutego 2024 roku, mimo sprzeciwu niektórych przedsiębiorstw. Nakłada obowiązki dotyczące modeli AI ogólnego przeznaczenia, w tym obszerną dokumentację techniczną, politykę poszanowania praw autorskich i podsumowanie danych treningowych. Przedsiębiorstwa nieprzestrzegające przepisów grożą karami do 15 milionów euro lub 3% światowego obrotu.

MAMarie-Claude Benoit · ·3 min
Nowy etap dla AI Act: obowiązki dotyczące modeli AI ogólnego przeznaczenia weszły w życie
Spis treści
Pierwsze przepisy AI Act, które weszły w życie w sierpniu 2024 roku, dotyczące systemów AI o niedopuszczalnym ryzyku, zaczęły obowiązywać w lutym. Pomimo moratorium "Stop the Clock" wnioskowanego przez około pięćdziesiąt przedsiębiorstw EU AI Champions Initiative w sprawie wstrzymania wdrażania regulacji, obowiązki dotyczące modeli AI ogólnego przeznaczenia (GPAI) są skuteczne od ostatniej soboty.
UE była pionierem w ustanawianiu ram regulacyjnych mających na celu regulację AI w zależności od jej potencjalnej szkodliwości. Celem AI Act lub RIA jest zapewnienie, że systemy i modele AI wprowadzane na rynek w UE są używane w sposób etyczny, bezpieczny i zgodny z podstawowymi prawami UE.
Wytyczne opublikowane przez Komisję Europejską 18 lipca wyjaśniają zakres stosowania regulacji dla modeli GPAI. Każdy model AI wykazujący zdolność obliczeniową przekraczającą 10²³ FLOPs (czyli objętość operacji zmiennoprzecinkowych używanych podczas treningu), zaprojektowany bez określonego celu (prognozy pogodowe, gry...) ale mogący być używany w szerokim zakresie kontekstów, będzie uznawany za należący do tej kategorii. 
Obowiązki obejmują cały cykl życia modeli, od pretreningu po udostępnienie, łącznie z aktualizacjami i zmianami po wprowadzeniu na rynek. Dostawcy będą musieli dostarczyć:
  • wyczerpującą dokumentację techniczną przeznaczoną dla dostawców w dół integrujących model w swoim systemie AI oraz, na żądanie, do AI Office lub odpowiednich organów krajowych. 
  • podsumowanie danych treningowych, według standardowego modelu dostarczonego przez AI Office ;
  • wprowadzenie polityki dotyczącej poszanowania praw autorskich, zgodnej z prawem europejskim.
Podstawowa zasada regulacji pozostaje niezmieniona: im większe ryzyko, tym większe wymagania. Te obowiązki są zaostrzone dla GPAI uznawanych za systemowe ryzyko, modele przekraczające próg 10²⁵ FLOPs skumulowanych. Te będą musiały przejść zaawansowane procedury zarządzania ryzykiem, zwłaszcza w zakresie cyberbezpieczeństwa, zgłaszania poważnych incydentów, czy ciągłych testów. Obciążenie regulacyjne uznawane za trudne do utrzymania...
Ten próg nie jest jednak sztywny: dostawcy mogą zażądać ponownej oceny rzeczywistych zagrożeń.

Dostawcy, modyfikacje i status open source

Każde przedsiębiorstwo, które wprowadza model na rynek europejski, jest uważane za dostawcę, niezależnie od miejsca pierwotnego rozwoju. Jednakże, podmiot w dół, który dokonał modyfikacji modelu używając więcej niż jednej trzeciej jego pierwotnej mocy obliczeniowej, jest również uznawany za dostawcę i podlega obowiązkom.
Modele publikowane na wolnych i otwartych licencjach są częściowo zwolnione z obowiązków. Pod warunkiem spełnienia pewnych kryteriów (brak monetyzacji lub zbierania danych osobowych), modele te nie podlegają obowiązkom dokumentacyjnym dla dostawców w dół lub władz. Jednakże, gdy przekroczą próg systemowego ryzyka, żadne zwolnienie nie ma zastosowania. 

Kodeks dobrych praktyk

Pomimo wejścia w życie 2 sierpnia, te przepisy będą obowiązywać dopiero od sierpnia 2026 roku dla nowych modeli, a od sierpnia 2027 roku dla istniejących modeli. Ta stopniowość, kierowana przez Biuro AI, ma na celu danie przedsiębiorstwom czasu na adaptację.
Aby pomóc dostawcom w przestrzeganiu, Komisja opublikowała, na kilka dni przed swoimi wytycznymi, kodeks dobrych praktyk. Ci, którzy zdecydują się go przestrzegać, skorzystają z redukcji obciążeń administracyjnych i zwiększonego bezpieczeństwa prawnego w porównaniu do tych, którzy udowodnią swoją zgodność w inny sposób. Google, OpenAI, Mistral, Microsoft już to zrobiły, podczas gdy Meta odmówiła, wskazując na niejasności prawne i nieuzasadnione rozszerzenie ram regulacyjnych.
Kary przewidziane za nieprzestrzeganie tych obowiązków mogą sięgać 15 milionów euro lub 3% światowego obrotu przedsiębiorstw. Każde z państw członkowskich UE musi powiadomić Komisję o organach nadzoru, które będą kontrolować przedsiębiorstwa. Jeśli żadna nie została jeszcze wyznaczona przez Francję, Cnil powinna odgrywać kluczową rolę, rozważane są również instancje sektorowe takie jak Arcom czy Anssi. 
MA
Marie-Claude Benoit

Redakcja ActuIA — wiadomości, dane i analizy o sztucznej inteligencji dla decydentów.

Wymienieni uczestnicy
UNUnion Européenne
COCommission Européenne
ANANSSI
OPOpenAI
BUBureau européen de l'IA
CNCNIL
EUEU AI Champions Initiative
MIMistral AI
Tygodnik ActuIA

Subskrypcja potwierdzona, do zobaczenia!