EU AI Act és GDPR megfelelés · Lecke 08

Kötelezettségek: provider, deployer, GPAI

Ha egy rendszer magas kockázatúnak minősül, a szolgáltatót és az alkalmazót eltérő, konkrét kötelezettségek terhelik. Emellett az általános célú AI modelleknek (GPAI) saját szabályrendszere van, ami rendszerszintű kockázat esetén tovább szigorodik. Ebben a leckében ezt a három kötelezettségi kört nézzük végig.

Vissza a tananyaghoz


A szolgáltató (provider) kötelezettségei

Magas kockázatú AI rendszer szolgáltatójaként a legszigorúbb megfelelési teher a fejlesztőre és forgalomba hozóra hárul. A providernek kockázatkezelési rendszert kell működtetnie, amely a rendszer teljes életciklusán át azonosítja és csökkenti a kockázatokat. A betanításhoz, validáláshoz és teszteléshez használt adathalmazoknak minőséginek kell lenniük, és minimalizálniuk kell a diszkriminatív torzítás lehetőségét. A providernek biztosítania kell a tevékenységi naplókon (logging) keresztüli nyomon követhetőséget, el kell készítenie a rendszer részletes műszaki dokumentációját, ki kell alakítania a megfelelő emberi felügyeletet lehetővé tevő megoldásokat, és gondoskodnia kell a pontosságról, a robusztusságról és a kiberbiztonságról.

A kötelezettség nem ér véget a forgalomba hozatallal. A providernek forgalomba hozatal utáni monitoring rendszert kell fenntartania, és a súlyos incidenseket jelentenie kell az illetékes hatóságoknak.


Provider kötelezettségei, a rendszer teljes életciklusán át Kockázatkezelési rendszer azonosít, csökkent Minőségi adathalmazok diszkrimináció ellen Tevékenységi naplók nyomon követhetőség Műszaki dokumentáció részletes leírás Emberi felügyelet beépített kontroll Pontosság, robusztusság, kiberbiztonság Forgalomba hozatal utáni monitoring életciklus végéig Súlyos incidens jelentése hatóság felé A kötelezettség a fejlesztéstől a forgalomba hozatal utáni időszakig tart
A magas kockázatú rendszer szolgáltatójának nyolc fő kötelezettsége, a fejlesztéstől a forgalomba hozatal utáni monitoringig.

Az alkalmazó (deployer) kötelezettségei

A deployer nem fejleszti a rendszert, hanem a saját felügyelete alatt használja. Ebből következően más típusú, de nem kevésbé komoly kötelezettséget visel. A deployernek a szolgáltató által mellékelt használati utasítás szerint kell működtetnie a rendszert, biztosítania kell az emberi felügyeletet és a folyamatos monitoringot, és a súlyos incidenseket vagy üzemzavarokat jelentenie kell az illetékes hatóságoknak. Bizonyos esetekben a deployernek alapjogi hatásvizsgálatot (fundamental rights impact assessment, FRIA) is el kell végeznie, ezt a 27. cikk írja elő.


Provider kötelezettségei

  • Kockázatkezelési rendszer működtetése
  • Minőségi, diszkriminációt minimalizáló adathalmazok
  • Tevékenységi naplók, részletes műszaki dokumentáció
  • Emberi felügyelet, pontosság, robusztusság, kiberbiztonság
  • Forgalomba hozatal utáni monitoring, incidensjelentés

Deployer kötelezettségei

  • Működtetés a szolgáltató használati utasítása szerint
  • Emberi felügyelet és monitoring biztosítása
  • Súlyos incidens, üzemzavar jelentése a hatóságnak
  • Egyes esetekben alapjogi hatásvizsgálat, 27. cikk

Az általános célú AI modell (GPAI) alapkötelezettségei

Az AI Act külön szabályrendszert ad az általános célú AI modelleknek (general-purpose AI model, GPAI), amelyeknek fogalmát a 3. cikk (63) bekezdése határozza meg. Az 53. cikk (1) bekezdése minden GPAI modell szolgáltatójára ír elő alapkötelezettséget, függetlenül a modell méretétől. Ez a négy elemből áll: műszaki dokumentáció elkészítése az AI Hivatal és a hatóságok számára, információ és dokumentáció átadása a modellre épülő downstream fejlesztőknek, szerzői jogi megfelelési politika kialakítása, valamint a betanítási tartalom összefoglalójának nyilvános közzététele.


  1. Műszaki dokumentációA modellről szóló részletes dokumentációt átadja az AI Hivatalnak és az illetékes nemzeti hatóságoknak.
  2. Downstream tájékoztatásA modellre épülő fejlesztők számára elegendő információt és dokumentációt biztosít a megfelelő felhasználáshoz.
  3. Szerzői jogi politikaKialakítja és fenntartja a szerzői jogi megfelelést biztosító belső politikát.
  4. Betanítási tartalom összefoglalójaNyilvánosan közzéteszi a modell betanításához felhasznált tartalom összefoglalóját.

Minden GPAI szolgáltató53. cikk (1), alapkötelezettség
Rendszerszintű kockázatú GPAI53. cikk (1) + 55. cikk többlet

Rendszerszintű kockázatú GPAI, a magasabb küszöb

Az AI Act külön kategóriát alkot azoknak a GPAI modelleknek, amelyek rendszerszintű kockázatot (systemic risk) jelentenek. Az 51. cikk (1)(a) és (2) bekezdése szerint egy modell akkor minősül rendszerszintű kockázatúnak, ha a betanításához felhasznált kumulatív számítási teljesítmény meghaladja a 10 a 25. hatványon lebegőpontos műveletet (FLOP). Amint a szolgáltató szembesül azzal, hogy a modell eléri ezt a küszöböt, az 52. cikk szerint két héten belül be kell jelentenie ezt a Bizottságnak.


10^25 FLOP

A rendszerszintű kockázat küszöbe. Ha egy általános célú AI modell betanításához felhasznált kumulatív számítási teljesítmény eléri vagy meghaladja ezt az értéket, a modell rendszerszintű kockázatúnak minősül (51. cikk (1)(a), (2)), és a szolgáltatónak 2 héten belül be kell jelentenie ezt a Bizottságnak (52. cikk).


Rendszerszintű kockázatú GPAI többletkötelezettségei

A rendszerszintű kockázatú GPAI modell szolgáltatójára az 53. cikk (1) bekezdés szerinti alapkötelezettségeken felül az 55. cikk további, szigorúbb kötelezettségeket ír elő. Ezek közé tartozik a modell szisztematikus értékelése (model evaluation), az adversarial tesztelés elvégzése és dokumentálása, a rendszerszintű kockázatok folyamatos azonosítása és csökkentése, a súlyos incidensek jelentése, valamint a megfelelő szintű kiberbiztonság biztosítása a modell és a fizikai infrastruktúra védelmére.


Rendszerszintű kockázatú GPAI kumulatív képzési FLOP ≥ 10^25 55. cikk, többletkötelezettségek az 53. cikken felül Modellértékelés szisztematikus model evaluation Adversarial tesztelés dokumentált Kockázat- csökkentés folyamatos azonosítás Incidensjelentés és kiberbiztonság súlyos esemény Az alapkötelezettség mindenkire vonatkozik, a többlet csak a küszöböt átlépőkre
A rendszerszintű kockázatú GPAI modell szolgáltatójának négy többletkötelezettsége az 55. cikk szerint, az 53. cikk (1) alapkötelezettségein felül.

Mi következik ebből

A provider, a deployer és a GPAI szolgáltató kötelezettségei egymásra épülnek, és mind a kockázat mértékéhez igazodnak. Minél nagyobb a rendszer vagy a modell hatóköre és lehetséges kockázata, annál részletesebb a dokumentációs, tesztelési és jelentési kötelezettség. A következő leckében azt nézzük meg, milyen idővonal szerint lépnek életbe ezek a szabályok, milyen szankciók fenyegetik a megfelelés hiányát, és milyen gyakorlati checklist mentén érdemes elindulni a felkészülésben.


← Előző lecke Következő lecke →

Workshop

AI Transformation Day

Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.

Érdekel a program →