У короткому : AI Act, європейський регламент з питань штучного інтелекту (ШІ), набув чинності з лютого 2024 року, незважаючи на опозицію деяких компаній. Він висуває обов'язки щодо моделей ШІ загального призначення, включаючи вичерпну технічну документацію, політику дотримання авторських прав та резюме навчальних даних. Компанії, які не дотримуються вимог, ризикують штрафами до 15 мільйонів євро або 3% від їх світового обороту.
Зміст
Перші положення AI Act, що набули чинності у серпні 2024 року, стосовно систем штучного інтелекту з неприйнятним ризиком почали застосовуватися у лютому минулого року. Незважаючи на мораторій "Stop the Clock", запропонований півсотнею компаній з ініціативи EU AI Champions Initiative щодо призупинення впровадження регламенту, обов'язки стосовно моделей штучного інтелекту загального призначення (GPAI) є чинними з минулої суботи.
ЄС був піонером у встановленні регуляторної рамки, що має на меті регулювати штучний інтелект залежно від його потенціалу завдати шкоди. Мета AI Act або РІА полягає в тому, щоб гарантувати, що системи та моделі штучного інтелекту, які комерціалізуються в межах ЄС, використовуватимуться етично, безпечно та з дотриманням основних прав ЄС.
Керівні принципи, опубліковані Європейською комісією 18 липня минулого року, уточнюють застосування регламенту до моделей GPAI. Будь-яка модель штучного інтелекту, що демонструє обчислювальну здатність понад 10²³ FLOPs (тобто обсяг операцій з плаваючою комою, залучених під час навчання), розроблена без певної мети (прогнози погоди, ігри...) але може бути повторно використана у широкому спектрі контекстів, буде вважатися такою, що підпадає під цю категорію.
Обов'язки охоплюють весь життєвий цикл моделей, від попереднього навчання до надання, включаючи оновлення та зміни після виходу на ринок. Їх постачальники повинні надати:
- вичерпну технічну документацію для постачальників нижчих рівнів, які інтегрують модель у свою систему штучного інтелекту, і, за запитом, Європейському бюро штучного інтелекту (AI Office) або національним компетентним органам;
- резюме навчальних даних, згідно зі стандартизованою моделлю, яку їм надасть AI Office;
- запровадити політику дотримання авторських прав, що відповідає європейському законодавству.
Основний принцип регламенту залишається незмінним: чим вищий ризик, тим сильніші вимоги. Ці обов'язки посилюються для GPAI, які вважаються системними ризиками, моделей, що перевищують поріг 10²⁵ FLOPs у сукупності. Вони повинні підлягати посиленим процедурам управління ризиками, зокрема в питаннях кібербезпеки, повідомлення про серйозні інциденти або постійних тестів. Регуляторне навантаження, яке вважається важким для витримки...
Цей поріг, однак, не є жорстким: повторна оцінка реальних ризиків може бути запитана постачальниками.
Постачальники, зміни та статус з відкритим кодом
Будь-яка компанія, яка виводить модель на європейський ринок, вважається постачальником, незалежно від місця початкової розробки. Однак, суб'єкт нижчого рівня, який здійснив модифікацію моделі, використовуючи понад третину її початкової обчислювальної потужності, також вважається постачальником і підлягає обов'язкам.
Моделі, опубліковані під вільною та відкритою ліцензією, мають часткове звільнення. За умови дотримання певних критеріїв (відсутність монетизації або збору особистих даних), ці моделі не підлягають обов'язкам щодо документації для постачальників нижчих рівнів або органів влади. Однак, як тільки вони перетинають поріг системного ризику, жодне звільнення не застосовується.
Кодекс добрих практик
Незважаючи на їх вступ у силу 2 серпня минулого року, ці правила не застосовуватимуться до серпня 2026 року для нових моделей і до серпня 2027 року для існуючих моделей. Ця поступовість, керована Бюро штучного інтелекту, має на меті надати компаніям час для адаптації.
Щоб допомогти постачальникам дотримуватися правил, Комісія опублікувала кілька днів до своїх директив кодекс добрих практик. Ті, хто вибере приєднання до нього, отримають зменшення адміністративного навантаження та підвищену юридичну безпеку порівняно з тими, хто доведе свою відповідність іншими способами. Google, OpenAI, Mistral, Microsoft вже зробили це, тоді як Meta відмовилася, посилаючись на зони юридичної невизначеності та необґрунтоване розширення регуляторної рамки.
Штрафи за невиконання цих обов'язків можуть досягати 15 мільйонів євро або 3% світового обороту компаній. Кожна з держав-членів ЄС повинна повідомити Комісію про наглядові органи, які контролюватимуть компанії. Хоча жодна з них наразі не призначена у Франції, Cnil має відігравати центральну роль, і розглядаються галузеві органи, такі як Arcom або Anssi.