Akt w sprawie sztucznej inteligencji (AI Act) jest dla adresatów jego norm rozporządzeniem wymagającym wysiłku intelektualnego, by sprawnie poruszać się po wprowadzanych przezeń regulacjach. Konieczne jest przyswojenie stosownej aparatury pojęciowej, by odróżniać model AI od systemu AI, a także by wiedzieć, że nie każdy model AI podpada pod AI Act, a tylko te modele AI, które nazywamy modelami AI ogólnego przeznaczenia, wśród nich zaś wyróżniamy modele AI ogólnego przeznaczenia z ryzykiem systemowym. Obowiązkami prawnymi natomiast obarczono dostawców tych modeli AI.
Kwestie terminologiczne
By przystępnie i zwięźle zobrazować powyższe „enigmatyzmy”, spieszymy wyjaśnić, iż model AI to po prostu algorytm (lub zbiór algorytmów) sztucznej inteligencji, odpowiadający silnikowi w samochodzie osobowym. Algorytm jest zdolny bez udziału człowieka generować dane wyjściowe (output) na podstawie wprowadzonych do niego danych wejściowych (input). Natomiast system AI to model AI obudowany interfejsem użytkownika, w podanej analogii będzie więc samochodem osobowym. Przykładowo, popularny na całym świecie Chat GPT to system AI, a modelem AI jest wbudowany w niego GPT4.
AI Act obejmuje swym zakresem regulacyjnym jedynie model AI ogólnego przeznaczenia, przez który rozumiemy model trenowany dużą ilością danych, na dużą skalę, wykazujący znaczną ogólność i będący w stanie kompetentnie wykonywać szeroki zakres różnych zadań, które można zintegrować z różnymi systemami lub aplikacjami niższego szczebla. Nie będą zatem podlegać przepisom rozporządzenia nr 2024/1689 modele AI o wąskim zakresie działania. Wyłączeniu podlegają również modele AI, które są wykorzystywane na potrzeby działań w zakresie badań, rozwoju i tworzenia prototypów przed wprowadzeniem ich do obrotu.
Z kolei model AI ogólnego przeznaczenia z ryzykiem systemowym dodatkowo cechuje:
- zdolności dużego oddziaływania (najbardziej zaawansowane modele AI);
- znaczący wpływ na rynek UE ze względu na zasięg takiego modelu lub rzeczywiste, bądź dające się racjonalnie przewidzieć negatywne skutki dla zdrowia publicznego, porządku publicznego, bezpieczeństwa publicznego, praw podstawowych lub całego społeczeństwa,
- zdolność rozprzestrzeniania się na dużą skalę w całym łańcuchu wartości.
Dostawcą modelu AI ogólnego przeznaczenia jest podmiot, który rozwija ten model AI lub zleca jego rozwój.
Podstawowe obowiązki dostawców modeli AI ogólnego przeznaczenia
AI Act nakłada na dostawców modeli AI ogólnego przeznaczenia szereg obowiązków, które ujęte są w art. 53 rozporządzenia. Zgodnie z nim dostawcy ci:
[A] sporządzają i aktualizują dokumentację techniczną modelu, w tym proces jego trenowania i testowania oraz wyniki jego oceny, zawierającą co najmniej informacje określone w załączniku XI, tj. m.in.:
- ogólny opis modelu AI ogólnego przeznaczenia (zadania, które dany model ma wykonywać, oraz rodzaj i charakter systemów AI, z którymi może zostać zintegrowany, zasady wykorzystania, data wydania i metody dystrybucji, architektura i liczba parametrów, forma oraz format danych wejściowych i wyjściowych, licencja);
- szczegółowy opis elementów modelu oraz stosowne informacje na temat procesu rozwoju, z uwzględnieniem m.in. środków technicznych wymaganych do integracji danego modelu AI ogólnego przeznaczenia z systemami AI;
- specyfikacje projektu danego modelu i proces treningowy, w tym metody i techniki treningowe, kluczowe wybory projektowe wraz z uzasadnieniem i przyjętymi założeniami; wskazanie, pod kątem czego model ma być optymalizowany, i znaczenie poszczególnych parametrów, w stosownych przypadkach;
- informacje na temat danych wykorzystywanych do trenowania, testowania i walidacji, w tym rodzaju i pochodzenia danych oraz metody porządkowania, w jaki sposób dane zostały uzyskane i wyselekcjonowane, a także wszystkie inne środki służące wykryciu nieodpowiednich źródeł danych i metod wykrywania możliwej do zidentyfikowania stronniczości;
- zasoby obliczeniowe wykorzystywane do trenowania danego modelu (np. liczba operacji zmiennoprzecinkowych), czas trenowania oraz inne istotne informacje dotyczące trenowania;
- znane lub szacowane zużycie energii dla danego modelu.
[B] sporządzają, aktualizują i udostępniają informacje i dokumentację dostawcom systemów AI, którzy zamierzają zintegrować model AI ogólnego przeznaczenia ze swoimi systemami AI;
UWAGA: obowiązków wskazanych w pkt. [A] i [B] nie stosuje się do dostawców modeli AI, które są udostępniane na podstawie bezpłatnej licencji otwartego oprogramowania (open source), chyba że mamy do czynienia z ryzykiem systemowym.
[C] wprowadzają politykę służącą zapewnieniu zgodności z prawem Unii dotyczącym prawa autorskiego i praw pokrewnych;
[D] sporządzają i podają do wiadomości publicznej wystarczająco szczegółowe streszczenie na temat treści wykorzystanych do trenowania danego modelu AI ogólnego przeznaczenia, zgodnie ze wzorem dostarczonym przez Urząd ds. AI;
[E} współpracują w razie konieczności z Komisją i właściwymi organami krajowymi przy wykonywaniu ich kompetencji i uprawnień zgodnie z AI Act;
oraz last, but not least:
[F] oceniają ryzyko modelu AI by ustalić czy nie występuje w jego wypadku ryzyko systemowe.
Generalnie dostawca modelu AI ogólnego przeznaczenia winien umożliwić dostawcom systemów AI dobre zrozumienie możliwości i ograniczeń danego modelu AI oraz spełnienie ich obowiązków zgodnie z AI Act. A to wszystko przy zachowaniu ochrony praw własności intelektualnej, tajemnicy przedsiębiorstwa oraz przepisów prawa Unii i prawa krajowego.
Dodatkowe obowiązki dostawców modeli AI z ryzykiem systemowym
W przypadku gdy modelowi AI ogólnego przeznaczenia można przypisać ryzyko systemowe, dostawcy takiego modelu AI dodatkowo:
[G] powiadamiają Komisję Europejską o spełnieniu warunku przypisania modelowi AI ryzyka systemowego, czyniąc to niezwłocznie (najpóźniej w terminie dwóch tygodni od spełnienia tego warunku);
[H] dokonują oceny modelu zgodnie ze znormalizowanymi protokołami i narzędziami odzwierciedlającymi najaktualniejszy stan wiedzy technicznej, w tym przeprowadzają i dokumentują kontradyktoryjne testy modelu z myślą o zidentyfikowaniu ryzyka systemowego i jego ograniczenia;
[I] oceniają i ograniczają ewentualne ryzyko systemowe na poziomie Unii, w tym jego źródła, które może wynikać z rozwoju, wprowadzania do obrotu lub wykorzystywania modeli AI ogólnego przeznaczenia z ryzykiem systemowym;
[J] rejestrują, dokumentują i niezwłocznie zgłaszają Urzędowi ds. AI (w stosownych przypadkach także właściwym organom krajowym) odpowiednie informacje dotyczące poważnych incydentów i ewentualnych środków naprawczych służących zaradzeniu im;
[K] zapewniają odpowiedni poziom cyberochrony modelu AI oraz infrastruktury fizycznej tego modelu.
Jak widać z powyższego, zidentyfikowanie zakresu obowiązków podmiotów, które tworzą algorytmy sztucznej inteligencji nie jest zadaniem łatwym. Kluczowe jest ustalenie rodzaju posiadanego narzędzia AI, a czynności tego rodzaju wymagają gruntownego audytu. Warto to jednak uczynić, by wiedzieć czy w ogóle podlegamy pod AI Act, a jeśli tak, to jakie obowiązki na nas spoczywają i czy grożą nam administracyjne kary pieniężne sięgające 35 mln euro lub do 7 % całkowitego rocznego światowego obrotu przedsiębiorstwa.
Zachęcamy do zapoznania się z ofertą świadczonych przez nas usług prawnych w obszarze AI, która dostępna jest tutaj.
Wpisy powiązane:
Kary pieniężne za naruszenie AI Act
Obowiązki dostawców systemów AI
Obowiązki podmiotów stosujących AI
Data publikacji: 08.05.2025