A szolgáltató (provider) kötelezettségei
Magas kockázatú AI rendszer szolgáltatójaként a legszigorúbb megfelelési teher a fejlesztőre és forgalomba hozóra hárul. A providernek kockázatkezelési rendszert kell működtetnie, amely a rendszer teljes életciklusán át azonosítja és csökkenti a kockázatokat. A betanításhoz, validáláshoz és teszteléshez használt adathalmazoknak minőséginek kell lenniük, és minimalizálniuk kell a diszkriminatív torzítás lehetőségét. A providernek biztosítania kell a tevékenységi naplókon (logging) keresztüli nyomon követhetőséget, el kell készítenie a rendszer részletes műszaki dokumentációját, ki kell alakítania a megfelelő emberi felügyeletet lehetővé tevő megoldásokat, és gondoskodnia kell a pontosságról, a robusztusságról és a kiberbiztonságról.
A kötelezettség nem ér véget a forgalomba hozatallal. A providernek forgalomba hozatal utáni monitoring rendszert kell fenntartania, és a súlyos incidenseket jelentenie kell az illetékes hatóságoknak.
Az alkalmazó (deployer) kötelezettségei
A deployer nem fejleszti a rendszert, hanem a saját felügyelete alatt használja. Ebből következően más típusú, de nem kevésbé komoly kötelezettséget visel. A deployernek a szolgáltató által mellékelt használati utasítás szerint kell működtetnie a rendszert, biztosítania kell az emberi felügyeletet és a folyamatos monitoringot, és a súlyos incidenseket vagy üzemzavarokat jelentenie kell az illetékes hatóságoknak. Bizonyos esetekben a deployernek alapjogi hatásvizsgálatot (fundamental rights impact assessment, FRIA) is el kell végeznie, ezt a 27. cikk írja elő.
Provider kötelezettségei
- Kockázatkezelési rendszer működtetése
- Minőségi, diszkriminációt minimalizáló adathalmazok
- Tevékenységi naplók, részletes műszaki dokumentáció
- Emberi felügyelet, pontosság, robusztusság, kiberbiztonság
- Forgalomba hozatal utáni monitoring, incidensjelentés
Deployer kötelezettségei
- Működtetés a szolgáltató használati utasítása szerint
- Emberi felügyelet és monitoring biztosítása
- Súlyos incidens, üzemzavar jelentése a hatóságnak
- Egyes esetekben alapjogi hatásvizsgálat, 27. cikk
Az általános célú AI modell (GPAI) alapkötelezettségei
Az AI Act külön szabályrendszert ad az általános célú AI modelleknek (general-purpose AI model, GPAI), amelyeknek fogalmát a 3. cikk (63) bekezdése határozza meg. Az 53. cikk (1) bekezdése minden GPAI modell szolgáltatójára ír elő alapkötelezettséget, függetlenül a modell méretétől. Ez a négy elemből áll: műszaki dokumentáció elkészítése az AI Hivatal és a hatóságok számára, információ és dokumentáció átadása a modellre épülő downstream fejlesztőknek, szerzői jogi megfelelési politika kialakítása, valamint a betanítási tartalom összefoglalójának nyilvános közzététele.
- Műszaki dokumentációA modellről szóló részletes dokumentációt átadja az AI Hivatalnak és az illetékes nemzeti hatóságoknak.
- Downstream tájékoztatásA modellre épülő fejlesztők számára elegendő információt és dokumentációt biztosít a megfelelő felhasználáshoz.
- Szerzői jogi politikaKialakítja és fenntartja a szerzői jogi megfelelést biztosító belső politikát.
- Betanítási tartalom összefoglalójaNyilvánosan közzéteszi a modell betanításához felhasznált tartalom összefoglalóját.
Rendszerszintű kockázatú GPAI, a magasabb küszöb
Az AI Act külön kategóriát alkot azoknak a GPAI modelleknek, amelyek rendszerszintű kockázatot (systemic risk) jelentenek. Az 51. cikk (1)(a) és (2) bekezdése szerint egy modell akkor minősül rendszerszintű kockázatúnak, ha a betanításához felhasznált kumulatív számítási teljesítmény meghaladja a 10 a 25. hatványon lebegőpontos műveletet (FLOP). Amint a szolgáltató szembesül azzal, hogy a modell eléri ezt a küszöböt, az 52. cikk szerint két héten belül be kell jelentenie ezt a Bizottságnak.
A rendszerszintű kockázat küszöbe. Ha egy általános célú AI modell betanításához felhasznált kumulatív számítási teljesítmény eléri vagy meghaladja ezt az értéket, a modell rendszerszintű kockázatúnak minősül (51. cikk (1)(a), (2)), és a szolgáltatónak 2 héten belül be kell jelentenie ezt a Bizottságnak (52. cikk).
Rendszerszintű kockázatú GPAI többletkötelezettségei
A rendszerszintű kockázatú GPAI modell szolgáltatójára az 53. cikk (1) bekezdés szerinti alapkötelezettségeken felül az 55. cikk további, szigorúbb kötelezettségeket ír elő. Ezek közé tartozik a modell szisztematikus értékelése (model evaluation), az adversarial tesztelés elvégzése és dokumentálása, a rendszerszintű kockázatok folyamatos azonosítása és csökkentése, a súlyos incidensek jelentése, valamint a megfelelő szintű kiberbiztonság biztosítása a modell és a fizikai infrastruktúra védelmére.
Mi következik ebből
A provider, a deployer és a GPAI szolgáltató kötelezettségei egymásra épülnek, és mind a kockázat mértékéhez igazodnak. Minél nagyobb a rendszer vagy a modell hatóköre és lehetséges kockázata, annál részletesebb a dokumentációs, tesztelési és jelentési kötelezettség. A következő leckében azt nézzük meg, milyen idővonal szerint lépnek életbe ezek a szabályok, milyen szankciók fenyegetik a megfelelés hiányát, és milyen gyakorlati checklist mentén érdemes elindulni a felkészülésben.
Workshop
AI Transformation Day
Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.
Érdekel a program →