AIAct wkroczył w kolejną kluczową fazę

Z początkiem sierpnia rozpoczęto stosowanie przepisów rozdziału V rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/1689 z 13.6.2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (Dz.Urz. UE L z 2024 r. Nr 131, s. 1689; dalej: AIAct), co oznacza, iż dostawcy modeli sztucznej inteligencji ogólnego przeznaczenia (General-Purpose AI, GPAI) podlegają nowemu, unijnemu reżimowi regulacyjnemu. Rozdział ten wprowadza obowiązki o charakterze dokumentacyjnym, technicznym i organizacyjnym, które mają na celu zapewnienie przejrzystości i przewidywalności funkcjonowania modeli o szerokim zastosowaniu, zdolnych do wykonywania zróżnicowanych zadań bez wcześniejszego dostosowania. Obowiązki te odnoszą się zarówno do relacji z instytucjami nadzorczymi, jak i do relacji z podmiotami wykorzystującymi modele GPAI jako komponenty systemów AI – czyli tzw. integratorami.

Modele z ryzykiem systemowym

Modele GPAI, które spełniają określone kryteria oddziaływania, klasyfikowane są jako modele z ryzykiem systemowym. Klasyfikacja ta może wynikać z przekroczenia progu 10²⁵ operacji zmiennoprzecinkowych (FLOPs) użytych w fazie trenowania modelu, co stanowi automatyczne domniemanie zdolności dużego oddziaływania. Alternatywnie, klasyfikacja może zostać dokonana przez Komisję Europejską z urzędu, bądź w następstwie ostrzeżenia wydanego przez panel naukowy. W tym przypadku Komisja kieruje się kryteriami określonymi w załączniku XIII do AIAct, obejmującymi m.in. liczbę parametrów modelu, wielkość i charakter danych, multimodalność wejść i wyjść, liczbę użytkowników końcowych oraz zdolność modelu do adaptacji i autonomicznego uczenia się.

Dostawcy modeli GPAI są zobowiązani do niezwłocznego poinformowania Komisji o spełnieniu przesłanek klasyfikacyjnych, nie później jednak niż w terminie 14 dni od ich zaistnienia. W sytuacjach wyjątkowych, wraz z powiadomieniem dostawca może przedstawić argumentację, iż pomimo spełnienia warunków technicznych, model nie stwarza ryzyka systemowego – ze względu na jego ograniczoną dostępność, kontrolowane zastosowanie lub inne cechy ograniczające potencjalne oddziaływanie. Komisja może jednak odrzucić taką argumentację i utrzymać klasyfikację. Po upływie sześciu miesięcy od daty wydania decyzji możliwe jest złożenie wniosku o ponowną ocenę. Komisja będzie publikować i aktualizować wykaz modeli uznanych za stwarzające ryzyko systemowe, przy zachowaniu ochrony tajemnic handlowych i poufnych informacji technicznych.

Niezależnie od tego, czy model zostanie zakwalifikowany jako systemowo ryzykowny, każdy dostawca GPAI ma obowiązek prowadzenia dokumentacji technicznej zgodnej z załącznikiem XI do AIAct. Zakres dokumentacji obejmuje m.in. opis architektury modelu, techniki trenowania, wykorzystane dane, liczby parametrów, metody optymalizacji oraz – w miarę możliwości – szacunkowe zużycie energii. Informacje te mają nie tylko służyć celom kontrolnym, ale także wspierać odpowiedzialne wdrażanie modeli przez innych uczestników rynku. Z kolei załącznik XII określa szczegółowy zakres informacji, które dostawcy GPAI muszą przekazywać integratorom – tak aby ci ostatni byli w stanie ocenić przydatność danego modelu, jego ograniczenia i ryzyka, a także spełnić własne obowiązki regulacyjne wynikające z AIAct.

Źródła danych treningowych

Szczególny nacisk położono na przejrzystość źródeł danych treningowych. Dostawcy zobowiązani są do publikowania streszczenia treści wykorzystywanych w trenowaniu modelu, w formie podsumowania, którego format może być określony w przepisach wykonawczych lub wytycznych AI Office. AIAct wymaga także, by podmioty opracowujące modele wdrożyły politykę zgodności z unijnym prawem autorskim, w tym z przepisami dyrektywy 2019/790 (DSM), zwłaszcza w zakresie respektowania zastrzeżeń dotyczących tekstu i danych udostępnianych w internecie.

Dla modeli GPAI uznanych za stwarzające ryzyko systemowe obowiązki zostały rozszerzone. Dostawcy muszą przeprowadzać kontradyktoryjne testy (tzw. red teaming), których celem jest ujawnienie niezamierzonych zachowań modelu, zagrożeń dla praw podstawowych lub możliwości nadużyć. Obowiązkowe jest również wdrożenie mechanizmów monitorowania ryzyka, raportowania poważnych incydentów oraz zapewnienia adekwatnego poziomu cyberbezpieczeństwa, zarówno w odniesieniu do samego modelu, jak i jego infrastruktury obliczeniowej.

Rozdział V nakłada także obowiązki na dostawców mających siedzibę poza Unią Europejską. Podmioty te, o ile zamierzają wprowadzać swoje modele do obrotu lub udostępniać je użytkownikom w UE, są zobowiązane do wyznaczenia upoważnionego przedstawiciela mającego siedzibę w jednym z państw członkowskich. Przedstawiciel ten przechowuje dokumentację techniczną, prowadzi komunikację z Urzędem ds. AI oraz współpracuje z organami krajowymi. Wyjątek przewidziano dla modeli typu open-source, o ile nie zostały one uznane za systemowo ryzykowne.

Zadania Komisji Europejskiej

W myśl art. 56 AIAct, do dnia 2.5.2025 r. do dnia 2.5.2025 r. Komisja została zobowiązana do podjęcia działań wspierających opracowanie kodeksów praktyk, które mogą służyć jako ścieżka zgodności zastępczej do czasu przyjęcia norm zharmonizowanych. W razie braku zatwierdzenia kodeksu lub jego niewystarczającej skuteczności, Komisja Europejska może przyjąć przepisy wykonawcze, ustanawiające obowiązujące standardy w zakresie dokumentacji, testów oraz zarządzania ryzykiem. W tym kontekście istotne znaczenie mają opublikowane 18.7.2025 r. przez Komisję Europejską wytyczne interpretacyjne do przepisów rozdziału V. Dokument ten, choć formalnie niewiążący, precyzuje szereg kluczowych aspektów stosowania AIAct. W szczególności doprecyzowano techniczne progi klasyfikacyjne modeli (m.in. 10²ł FLOPs, jako punkt odniesienia dla uznania modelu za GPAI), ramy odpowiedzialności dostawców i podmiotów dokonujących modyfikacji modeli (np. przez fine-tuning), a także warunki wyłączeń dla modeli otwartoźródłowych.

Kodeks postępowania określa również rekomendowany format dokumentacji technicznej (tzw. „model card”), zestandaryzowane procedury przekazywania informacji do organów nadzorczych oraz wymogi w zakresie polityki zgodności z prawem autorskim. Choć nie ma charakteru prawnie wiążącego, już teraz wywiera wpływ na praktyki wdrożeniowe i może być podstawą interpretacyjną dla organów krajowych w razie braku jednoznacznych przepisów wykonawczych.

Nowe sformalizowane wymogi

W praktyce rozpoczęcie stosowania przepisów rozdziału V AIAct oznacza, iż rynek modeli AI ogólnego przeznaczenia – obejmujący zarówno komercyjnych dostawców, jak i autorów rozwiązań open-source – podlega nowym, sformalizowanym wymogom w zakresie przejrzystości, oceny ryzyka, dokumentacji oraz interakcji z organami nadzorczymi. Modele, które do tej pory funkcjonowały na rynku bez szczególnych ograniczeń prawnych, muszą w tej chwili spełniać wymogi ramowe, niezależnie od skali działalności lub kraju pochodzenia.

W polskim porządku prawnym AIAct, jako akt prawa unijnego, obowiązuje wprost i nie wymaga implementacji. Niemniej jednak brak uchwalonej krajowej ustawy o sztucznej inteligencji, która w dalszym ciągu pozostaje na etapie legislacyjnym, powoduje, iż na poziomie krajowym wciąż nie istnieje infrastruktura prawna umożliwiająca efektywne wykonanie przepisów rozporządzenia. W szczególności brak jest wyznaczonego organu krajowego odpowiedzialnego za nadzór nad stosowaniem przepisów AIAct oraz brak ram proceduralnych dla prowadzenia postępowań, zgłaszania incydentów czy oceny zgodności dokumentacji.

W efekcie, na obecnym etapie ciężar interpretacji i stosowania przepisów spoczywa w praktyce na samych dostawcach oraz użytkownikach modeli AI, którzy już teraz powinni kierować się bezpośrednio treścią AIAct oraz opublikowanymi przez Komisję Europejską wytycznymi. Prace legislacyjne nad krajowym aktem prawnym wciąż trwają, a ich rezultat – niezależnie od ostatecznego kształtu – będzie musiał uwzględniać obowiązki i terminy już stosowane na podstawie przepisów unijnych. Dla podmiotów działających na rynku polskim oznacza to konieczność niezwłocznego wdrożenia wewnętrznych polityk zgodności, procedur dokumentacyjnych oraz systemów oceny ryzyka w relacji do modeli ogólnego przeznaczenia, niezależnie od źródła ich pochodzenia.