AI Act wkroczył w kolejną kluczową fazę – nowe obowiązki dla modeli ogólnego przeznaczenia

2 sierpnia 2025 r. rozpoczął się istotny etap wdrażania unijnego rozporządzenia AI Act, który wprost dotyka dostawców modeli sztucznej inteligencji ogólnego przeznaczenia (GPAI – General Purpose AI). To właśnie te modele – ze względu na swój szeroki zakres zastosowań i potencjalny wpływ na wiele sektorów gospodarki – znalazły się w centrum uwagi ustawodawcy. Nowe regulacje obejmują szczegółowe obowiązki dokumentacyjne, wymogi transparentności, procedury oceny ryzyka oraz wymogi w zakresie nadzoru i raportowania. Ich celem jest nie tylko zwiększenie bezpieczeństwa i odpowiedzialności w wykorzystaniu AI, ale również stworzenie ram prawnych sprzyjających zaufaniu do technologii w całej Unii Europejskiej.

Szczegółowe obowiązki dokumentacyjne i techniczne

Zgodnie z rozdziałem V AI Act, każdy dostawca GPAI wprowadzający model na rynek unijny musi przygotować i utrzymywać obszerną dokumentację techniczną zgodną z załącznikiem XI rozporządzenia. Wymogi te nie ograniczają się do ogólnych opisów działania – dokumentacja powinna zawierać precyzyjne informacje dotyczące architektury modelu, zastosowanych metod uczenia, parametrów technicznych (w tym liczby parametrów modelu), źródeł danych treningowych oraz szacunkowego zużycia energii na etapie trenowania. Przepisy wymagają także wskazania zastosowanych metod ograniczania ryzyka oraz procedur walidacji wyników. Celem jest umożliwienie organom nadzorczym i użytkownikom zrozumienia, w jaki sposób model działa, jakie dane zostały użyte do jego stworzenia i w jakim stopniu można mu ufać w kontekście zgodności z prawem oraz bezpieczeństwa.

Klasyfikacja i identyfikacja modeli o ryzyku systemowym

Jednym z kluczowych elementów nowych przepisów jest wyodrębnienie kategorii modeli stwarzających tzw. ryzyko systemowe. Kryteria tej klasyfikacji obejmują m.in. przekroczenie określonego progu mocy obliczeniowej (obecnie wskazywanego jako 10²⁵ operacji zmiennoprzecinkowych – FLOPs – podczas procesu trenowania) lub ocenę jakościową dokonaną przez Komisję Europejską, opartą na dodatkowych czynnikach takich jak liczba użytkowników, zdolność adaptacji, multimodalność czy możliwość integracji z innymi systemami. Jeśli dostawca stwierdzi, że jego model spełnia te kryteria, musi w ciągu 14 dni powiadomić KE, przedstawiając stosowne dane techniczne i ocenę ryzyka. Przepisy przewidują też możliwość odwołania się od decyzji o nadaniu statusu modelu ryzykownego po upływie sześciu miesięcy od jej wydania, jeśli dostawca wykaże, że podjęte działania ograniczyły potencjalne zagrożenia.

Transparentność danych treningowych i ochrona praw autorskich

AI Act wprowadza obowiązek publikowania streszczenia treści wykorzystywanych w procesie trenowania modeli GPAI, zgodnie z wytycznymi AI Office. Nie chodzi o ujawnienie pełnych zbiorów danych, lecz o dostarczenie informacji umożliwiających ocenę pochodzenia i charakteru treści – w tym stopnia ich zgodności z prawem autorskim. Wymóg ten ma kluczowe znaczenie w kontekście unijnej dyrektywy DSM, która reguluje m.in. prawo do tekstu i eksploracji danych. Dostawcy muszą wdrożyć wewnętrzne procedury gwarantujące, że materiały wykorzystywane do uczenia modeli pochodzą z legalnych źródeł i że ich użycie nie narusza praw własności intelektualnej. W praktyce oznacza to konieczność prowadzenia szczegółowej ewidencji źródeł oraz mechanizmów filtrowania danych, a w razie potrzeby – uzyskiwania stosownych licencji.

Testy bezpieczeństwa i monitorowanie zagrożeń

Modele sklasyfikowane jako ryzykowne systemowo podlegają dodatkowemu nadzorowi, obejmującemu m.in. obowiązkowe testy typu red teaming. Są to zaplanowane, kontrolowane próby “atakowania” modelu w celu zidentyfikowania jego podatności na generowanie szkodliwych treści, dezinformację, dyskryminację czy inne naruszenia praw podstawowych. AI Act nakłada też na dostawców obowiązek stałego monitorowania funkcjonowania modelu w środowisku rzeczywistym, raportowania incydentów związanych z jego działaniem oraz podejmowania działań korygujących w przypadku wykrycia niepożądanych efektów. Kluczowe jest także zapewnienie cyberbezpieczeństwa modeli – w tym ochrony przed ingerencją zewnętrzną i manipulacją danymi wejściowymi.

Obowiązki dostawców spoza Unii Europejskiej

Przepisy AI Act nie pomijają podmiotów spoza UE. Każdy dostawca GPAI mający siedzibę poza Unią, a wprowadzający model na rynek europejski, musi wyznaczyć upoważnionego przedstawiciela na terenie jednego z państw członkowskich. Taka osoba lub podmiot pełni rolę pośrednika między dostawcą a organami nadzorczymi, odpowiada za przechowywanie dokumentacji, udostępnianie jej na żądanie oraz reprezentowanie dostawcy w postępowaniach administracyjnych. Wyjątek przewidziano dla modeli o otwartym kodzie źródłowym, o ile nie zostały uznane za ryzykowne systemowo.

Podsumowanie

Wejście w życie nowych przepisów 2 sierpnia 2025 r. oznacza, że regulacja AI w Unii Europejskiej wchodzi w fazę wymagającą od dostawców realnych działań organizacyjnych, technicznych i prawnych. Modele ogólnego przeznaczenia, ze względu na swoją wszechstronność i potencjał oddziaływania, znalazły się pod szczególnym nadzorem. Dokumentacja, transparentność danych, ocena ryzyka, testy bezpieczeństwa oraz ścisła współpraca z organami nadzoru stanowią teraz obowiązkowe elementy działalności w tym obszarze. Przedsiębiorcy powinni jak najszybciej dostosować swoje procedury i zasoby, aby uniknąć sankcji i móc w pełni legalnie korzystać z potencjału sztucznej inteligencji w ramach unijnych regulacji.