Förpliktelser för AI-modeller för allmänna ändamål enligt EU:s AI-förordning trädde i kraft den 2 augusti 2025
Den 2 augusti 2025 markerar en viktig milstolpe i regleringen av artificiell intelligens (AI), då de flesta skyldigheter rörande AI-modeller för allmänna ändamål (GPAI-modeller) i EU:s AI-förordning börjar tillämpas. Dessa regler syftar till att främja innovation, samtidigt som de säkerställer en hög skyddsnivå för hälsa, säkerhet och grundläggande rättigheter. EU-kommissionen har publicerat vägledningar och en mall för att hjälpa leverantörer att förstå och uppfylla sina skyldigheter.
Vad är en AI-modell för allmänna ändamål?
Enligt AI-förordningen definieras en GPAI-modell som en AI-modell som uppvisar betydande generalitet och på ett kompetent sätt kan utföra ett brett spektrum av distinkta uppgifter. Detta inkluderar modeller som är tränade på stora mängder data med hjälp av självövervakad inlärning i stor skala. En modell betraktas som en GPAI-modell oavsett hur den släpps ut på marknaden och kan integreras i en mängd olika nedströmssystem eller applikationer. Modeller som används enbart för forskning, utveckling eller prototyper innan de släpps på marknaden är undantagna. Framträdande exempel på GPAI-modeller inkluderar ChatGPT-4 och DALL-E.
Vägledningen fastställer ett indikativt kriterium för att avgöra när en modell anses vara en GPAI-modell. Kriteriet baseras på mängden beräkningsresurser som används för att träna modellen mätt i floating-point operations (FLOP), samt modellens modaliteter. En modell anses indikativt vara en GPAI-modell om dess training compute är större än 1023 FLOP och den kan generera språk (text eller audio), text-till-bild eller text-till-video. EU-kommissionen noterar dock att den slutgiltiga bedömningen fortfarande baseras på om modellen faktiskt uppvisar betydande generalitet och kan utföra ett brett spektrum av uppgifter.
GPAI-modeller med systemrisk
En särskild klass av GPAI-modeller är de som kan utgöra en systemrisk. Dessa är modeller med high-impact capabilities, vilket innebär kapacitet som motsvarar eller överstiger den som finns i de mest avancerade modellerna. En GPAI-modell antas ha high-impact capabilties om den kumulativa mängden som används för dess träning är större än 1025 FLOP.
Leverantörer av sådana modeller måste utan dröjsmål och senast inom två veckor anmäla detta till Europeiska AI-byrån (AI Office) när detta kriterium uppnås eller det blir känt att det kommer att uppnås. I sin anmälan kan leverantören lägga fram argument för att visa att modellen, på grund av sina specifika egenskaper, inte utgör en systemrisk. Att presentera sådana argument innebär inte att leverantörens skyldigheter under tiden som utredningen pågår. För leverantörer av GPAI-modeller med systemrisk tillkommer ytterligare skyldigheter, såsom att kontinuerligt bedöma och mildra systemrisker och rapportera allvarliga incidenter.
Vem är leverantören?
Vägledningen klargör att en leverantör är en juridisk eller fysisk person som utvecklar en GPAI-modell eller låter en modell utvecklas och sedan släpper ut den på marknaden under sitt eget namn eller varumärke, oavsett om det är mot betalning eller gratis. En modell anses placeras på marknaden när den för första gången görs tillgänglig på unionsmarknaden. Detta kan ske genom olika metoder, som till exempel via API:er, direkt nedladdning eller när en modell integreras i en chatbot som görs tillgänglig på EU-marknaden.
En downstream modifier, det vill säga en aktör som modifierar en GPAI-modell, kan också bli leverantör av den modifierade modellen. Detta sker om modifieringen leder till en signifikant förändring i modellens generalitet, kapacitet eller systemrisk. Ett indikativt kriterium är att training compute som används för modifieringen är större än en tredjedel av training compute för originalmodellen. Om originalmodellens training compute är okänt, kan tröskelvärdet baseras på en tredjedel av 10 ^ 23 FLOP (för GPAI-modeller) eller en tredjedel av 1025 FLOP (för GPAI-modeller med systemrisk).
Skyldigheter och undantag
Alla leverantörer av GPAI-modeller måste uppfylla vissa skyldigheter. Dessa inkluderar att:
- upprätta och hålla uppdaterad teknisk dokumentation för modellen, inklusive tränings- och testprocessen,
- tillhandahålla information och dokumentation till nedströmsleverantörer som vill integrera modellen i sina AI-system,
- ha en policy för att följa EU:s upphovsrättslagstiftning, och
- upprätta och göra en tillräckligt detaljerad sammanfattning av innehållet som använts för träningen offentligt tillgänglig.
Vägledningen tillhandahåller undantag från vissa skyldigheter för leverantörer av modeller som släpps under en free and open-source licence, förutsatt att de inte utgör en systemrisk. För att kvalificera sig för undantagen måste licensen tillåta åtkomst, användning, modifiering och distribution av modellen, och dess parametrar, arkitektur och användningsinformation måste göras offentligt tillgängliga. Undantagen gäller dock inte för skyldigheterna gällande upphovsrättspolicyn eller den offentliga sammanfattningen av träningsinnehållet.
Upphovsrätt
Copyright kapitlet i The General-Purpose AI Code of Practice syftar till att ge en djupare förståelse för hur leverantörer kan uppfylla skyldigheterna i artikel 53(1)(c) och (d) i AI-förordningen . Kapitlet är relevant för användningen av upphovsrättsskyddat material i träningsdata och i modellernas utdata.
För de leverantörer som använder upphovsrättsligt skyddat material finns det flera åtaganden att ta hänsyn till. Leverantörerna måste implementera en policy för att följa EU:s upphovsrättslagstiftning. Detta inkluderar åtgärder för att säkerställa att innehåll som hämtas via web crawlers har hämtats på ett lagligt sätt. Leverantörer åtar sig att inte kringgå tekniska skyddsåtgärder som paywalls och att utesluta webbplatser som erkänts av EU-domstolar eller myndigheter som ihärdigt och i kommersiell skala gör intrång i upphovsrätten.
Vidare måste leverantörer respektera machine readable protocols för att hantera upphovsrättsinnehavarnas reservationer av rättigheter (opt-out) enligt artikel 4(3) i direktiv (EU) 2019/790 . Detta innebär att deras web crawlers ska läsa och följa instruktioner i robots.txt och andra liknande protokoll som är vedertagna inom branschen eller av standardiseringsorganisationer. Leverantörer måste också offentliggöra information om de web crawlers de använder och de åtgärder de vidtar för att uppfylla dessa opt-out-protokoll, samt erbjuda en mekanism för upphovsrättsinnehavare att automatiskt bli informerade när sådan information uppdateras.
En annan viktig del är att införa åtgärder för att hindra risken för upphovsrättsintrång i de utdata som modellen genererar. Detta kan ske genom tekniska skyddsåtgärder som förhindrar att modeller reproducerar träningsinnehåll på ett sätt som gör intrång i upphovsrätten. Leverantörerna måste även upprätta en s k acceptable use policy för att förhindra upphovsrättsintrång i modellens användarvillkor. Slutligen ska leverantörer ha en kontaktpunkt för elektronisk kommunikation med upphovsrättsinnehavare och en mekanism för att hantera klagomål på ett skyndsamt sätt.
Efterlevnad och tillsyn
Skyldigheterna för GPAI-modeller som placeras på marknaden den 2 augusti 2025 eller senare träder i kraft från och med detta datum. För modeller som redan fanns på marknaden före detta datum gäller en övergångsperiod, och de måste uppfylla kraven senast den 2 augusti 2027.
EU-kommissionens AI-byrå har exklusiv behörighet att övervaka och kontrollera efterlevnaden av dessa skyldigheter. Tillsynen kommer dock att vara samarbetsinriktad, och kommissionens bötesbefogenheter träder i kraft först den 2 augusti 2026. Leverantörer som frivilligt ansluter sig till den godkända General-purpose AI Code of Practice kan visa att de uppfyller sina skyldigheter och kommer att gynnas av ökat förtroende från kommissionen. Om de inte ansluter sig, förväntas de kunna visa sin efterlevnad på andra sätt och kan bli föremål för fler förfrågningar om information från AI-byrån.
_____
Se hur vi hjälper klienter med IT rätt