Przepisy unijnego rozporządzenia o sztucznej inteligencji (AI Act) zaczynają obowiązywać etapami i właśnie zbliżamy się do kolejnego ważnego momentu. 2 sierpnia 2025 r. zaczną być stosowane kolejne przepisy, które wpłyną na działalność podmiotów rozwijających i udostępniających systemy AI, w szczególności tzw. modele ogólnego przeznaczenia (General Purpose AI – GPAI). Modele te odgrywają kluczową rolę w łańcuchu wartości AI, stanowiąc często fundament rozwiązań tworzonych przez inne podmioty. Nowe obowiązki mogą więc dotknąć nie tylko pierwotnych dostawców tych modeli, ale również organizacje, które je modyfikują lub integrują w swoich produktach.
Czym są GPAI i kto powinien się przygotować?
W skrócie GPAI to modele AI, które nie są projektowane wyłącznie do jednego, określonego zastosowania, ale mogą być wykorzystywane do wielu różnych zadań. Przykładami GPAI są m.in. duże modele językowe (np. GPT, Claude), modele generatywne do tworzenia grafiki (np. DALL·E, Midjourney) czy modele wykorzystywane w narzędziach no-code/low-code.
Zgodnie z definicją zawartą w AI Act, dostawcą GPAI jest każdy podmiot, który opracowuje lub zleca opracowanie takiego modelu i wprowadza go na rynek unijny. Wprowadzenie do obrotu może mieć różną formę – od publikacji plików modelu, przez udostępnienie go w repozytorium, po komercyjny dostęp za pośrednictwem API.
Przepisy obejmują także podmioty, które modyfikują istniejący model i udostępniają jego zmienioną wersję, tzw. downstream modifiers. Również organizacja, która integruje własny model GPAI we wprowadzanym na rynek systemie AI, może zostać uznana za jego dostawcę.
Z kolei podmiot, który jedynie integruje cudzy model GPAI we własnym produkcie, nie jest uznawany za dostawcę modelu – o ile nie dokonuje jego modyfikacji i nie udostępnia go dalej jako własnego.
Jakie obowiązki wejdą w życie 2 sierpnia 2025 r.?
Zgodnie z art. 53–55 AI Act, obowiązki, które zaczną obowiązywać od sierpnia, obejmują m.in.:
- przygotowanie i udostępnienie dokumentacji technicznej modelu,
- publikację streszczenia zbiorów danych wykorzystanych do trenowania modelu,
- wdrożenie środków zapewniających zgodność z unijnym prawem, w tym z prawem autorskim.
W przypadku modeli GPAI o „systemowym ryzyku” (np. bardzo dużych), obowiązki są bardziej rygorystyczne. Obejmują one m.in.: ocenę ryzyka, niezależne testy bezpieczeństwa oraz nadzór nad wpływem na prawa podstawowe.
Projekt wytycznych i kodeks praktyk
22 kwietnia 2025 r. Komisja Europejska opublikowała projekt wytycznych GPAI (GPAI Guidelines Consultation). Zawiera on propozycje interpretacyjne dotyczące stosowania przepisów dot. GPAI. Chociaż jest to dopiero wersja robocza, dokument może dostarczyć wstępnych wskazówek, które mogą posłużyć jako punkty odniesienia przy planowaniu wdrażania środków zgodności.
Dodatkowo, w maju lub czerwcu 2025 r. ma zostać opublikowany finalny kodeks praktyk dla GPAI, opracowywany z udziałem branży, który dodatkowo pomoże organizacjom w realizacji ich obowiązków.
Co z modelami już na rynku?
AI Act przewiduje istotne ułatwienie dla modeli GPAI, które zostały wprowadzone do obrotu przed 2 sierpnia 2025 r. W ich przypadku nie trzeba będzie stosować nowych obowiązków wstecznie, np. względem danych użytych do wcześniejszego treningu. Oznacza to, iż dostawcy nie będą zobowiązani do ponownego trenowania czy „oduczania” takich modeli w celu dostosowania ich do nowych przepisów.
2 sierpnia 2025 r. to ważna data dla całego ekosystemu AI w UE. jeżeli Twoja organizacja korzysta w swoich produktach z GPAI, to jest już ostatni moment, by ocenić swoją rolę w łańcuchu dostaw oraz sprawdzić, czy wdrożone procesy są zgodne z nadchodzącymi wymaganiami.
