Modele AI ogólnego przeznaczenia — w skrócie GPAI — to najszybciej rozwijający się fragment regulacji AI Act i jednocześnie obszar z największą liczbą otwartych kwestii praktycznych. Rozporządzenie regulowało je odrębnie w rozdziale V (art. 51-56) z osobnym progiem ryzyka systemowego, osobnym kalendarzem stosowania i dedykowanymi sankcjami z art. 101. Ten artykuł wyciąga z aktu wszystko, co wiadomo na pewno, i wskazuje, gdzie czekamy na akty wykonawcze.

Pełny kontekst aktu w AI Act 2024/1689 — przewodnik dla firm, harmonogram w Harmonogram stosowania AI Act.

Czym jest model AI ogólnego przeznaczenia?

GPAI to model AI wytrenowany w sposób, który umożliwia mu wykonywanie szerokiego zakresu zadań i integrację z wieloma systemami niższego szczebla.

Z art. 3 pkt 63 wynika, że GPAI to model AI — w tym model AI trenowany przy użyciu znacznych ilości danych z zastosowaniem samonadzorowanego uczenia się na dużą skalę — który wykazuje znaczną ogólność i jest w stanie kompetentnie wykonywać szeroki zakres odrębnych zadań niezależnie od sposobu, w jaki dany model jest wprowadzany do obrotu, oraz który może być zintegrowany z różnymi systemami niższego szczebla lub aplikacjami. Definicja celowo obejmuje współczesne duże modele językowe i multimodalne — niezależnie od formy dystrybucji (API, weights, embedded).

GPAI nie jest jednak „systemem AI" w rozumieniu art. 6. Klasyfikacja systemu AI wysokiego ryzyka dotyczy konkretnego zastosowania — model GPAI może być integrowany w system high-risk, ale sam model jest regulowany rozdziałem V odrębnie. Relacje providera i deployera w łańcuchu wartości GPAI opisaliśmy w Role w AI Act — provider, deployer, importer, dystrybutor.

Kiedy GPAI ma „ryzyko systemowe"?

Z art. 51 ust. 1 wynika, że model GPAI klasyfikuje się jako GPAI z ryzykiem systemowym, jeśli spełnia którykolwiek z dwóch warunków:

  • lit. a — ma zdolności dużego oddziaływania ocenione w oparciu o odpowiednie narzędzia i metodologie techniczne, w tym wskaźniki i poziomy odniesienia;
  • lit. b — w oparciu o decyzję Komisji (z urzędu lub w następstwie ostrzeżenia kwalifikowanego panelu naukowego) ma zdolności lub oddziaływanie równoważne z tymi z lit. a, przy uwzględnieniu kryteriów z załącznika XIII.

Z art. 51 ust. 2 wynika domniemanie: model jest uznawany za mający zdolności dużego oddziaływania, gdy łączna liczba operacji zmiennoprzecinkowych użytych do trenowania jest większa niż 10²⁵ FLOPs.

Z art. 51 ust. 3 wynika, że Komisja może akt delegowanym zmieniać progi z ust. 1 i 2 oraz wskaźniki z załącznika XIII w świetle rozwoju technologicznego.

Jak wygląda procedura powiadamiania Komisji?

Z art. 52 ust. 1 wynika, że dostawca, którego model GPAI spełnia warunek z art. 51 ust. 1 lit. a, powiadamia Komisję niezwłocznie, a w każdym przypadku w terminie dwóch tygodni od spełnienia warunku lub od kiedy wiadomo, że zostanie spełniony.

Powiadomienie zawiera informacje niezbędne do wykazania, że dany warunek został spełniony. Dostawca może wraz z powiadomieniem przedstawić argumenty wykazujące, że model — pomimo spełniania warunku — wyjątkowo nie stwarza ryzyka systemowego (art. 52 ust. 2). Komisja ocenia argumenty i może odrzucić — wtedy model uznaje się za GPAI z ryzykiem systemowym (art. 52 ust. 3).

Komisja może też z urzędu uznać model za stwarzający ryzyko systemowe na podstawie kryteriów z załącznika XIII (art. 52 ust. 4). Dostawcy mogą po sześciu miesiącach od decyzji wnioskować o ponowną ocenę (art. 52 ust. 5). Komisja publikuje aktualizowany wykaz modeli GPAI z ryzykiem systemowym (art. 52 ust. 6).

Jakie obowiązki ciążą na dostawcy „zwykłego" GPAI?

Z art. 53 wynika cztery podstawowe grupy obowiązków:

  • Dokumentacja techniczna modelu — sporządzona i utrzymywana w aktualności, z elementami z załącznika XI; do udostępnienia Urzędowi ds. AI i właściwym organom krajowym na ich uzasadniony wniosek.
  • Informacje i dokumentacja dla integratorów — dostawca udostępnia podmiotom integrującym model w swoich systemach AI informacje umożliwiające im zrozumienie zdolności i ograniczeń modelu oraz spełnienie obowiązków rozporządzenia. Zakres szczegółowy w załączniku XII.
  • Polityka zgodności z prawem autorskim — dostawca wdraża politykę zgodności z unijnym prawem autorskim, w szczególności w celu zidentyfikowania i przestrzegania zastrzeżenia praw, o którym mowa w art. 4 ust. 3 dyrektywy 2019/790.
  • Streszczenie danych treningowych — dostawca sporządza i podaje do wiadomości publicznej „dostatecznie szczegółowe streszczenie" treści wykorzystywanych do trenowania modelu, według wzoru udostępnionego przez Urząd ds. AI.

Dla GPAI wprowadzonych do obrotu na podstawie wolnej i otwartej licencji, w sposób umożliwiający dostęp, wykorzystywanie, modyfikację i dystrybucję modelu, art. 53 ust. 2 ogranicza obowiązki — z wyłączeniem GPAI z ryzykiem systemowym.

Dostawcy z państw trzecich ustanawiają upoważnionego przedstawiciela w UE zgodnie z art. 54 (analogicznie do upoważnionego przedstawiciela providerów systemów AI wysokiego ryzyka).

Jakie dodatkowe obowiązki ma GPAI z ryzykiem systemowym?

Z art. 55 wynika, że dostawca modelu GPAI z ryzykiem systemowym, oprócz obowiązków z art. 53, wykonuje także:

  • ocenę modelu zgodną ze zaktualizowanymi protokołami i narzędziami odzwierciedlającymi stan techniki, w tym przeprowadzanie i dokumentację testów ataku konfrontacyjnego (adversarial testing);
  • ocenę i ograniczanie możliwych ryzyk systemowych na poziomie UE, w tym ich źródeł, które mogą wynikać z rozwoju, wprowadzenia do obrotu lub wykorzystywania modelu;
  • śledzenie, dokumentowanie i niezwłoczne raportowanie poważnych incydentów oraz związanych z nimi środków naprawczych do Urzędu ds. AI i właściwych organów krajowych;
  • zapewnienie odpowiedniego poziomu cyberbezpieczeństwa modelu i jego infrastruktury fizycznej.

Dostawcy mogą wykazywać zgodność z tymi obowiązkami w drodze przestrzegania kodeksów praktyk (art. 56) — Code of Practice opracowywanego pod nadzorem Urzędu ds. AI.

Tabela — daty stosowania reżimu GPAI

DataCo dotyczy
2 sierpnia 2025 r.Stosowanie rozdziału V (art. 51-56) dla modeli GPAI wprowadzonych do obrotu od tej daty (art. 113 lit. b)
2 sierpnia 2026 r.Stosowanie art. 101 — administracyjne kary pieniężne dla dostawców GPAI
2 sierpnia 2027 r.Termin dostosowania modeli GPAI wprowadzonych do obrotu przed 2 sierpnia 2025 r. (art. 111 ust. 3)

Jakie sankcje grożą dostawcy GPAI?

Z art. 101 wynika, że za naruszenie obowiązków rozdziału V Komisja może nałożyć na dostawcę GPAI administracyjną karę pieniężną do 3% rocznego globalnego obrotu z poprzedniego roku lub do 15 000 000 EUR, w zależności od tego, która kwota jest wyższa.

Sankcje stosuje się od 2 sierpnia 2026 r. — od tej daty Komisja może wszczynać postępowania w sprawie naruszeń. Pełne omówienie reżimu sankcji w Kary i nadzór w AI Act (art. 99-101).

Co z integratorami GPAI w systemach high-risk?

Integrator GPAI, który wykorzystuje model w systemie z zastosowaniem z załącznika III, zwykle staje się dostawcą tego konkretnego systemu (art. 25). Wówczas pełni dwie role: deployer modelu GPAI oraz provider systemu AI wysokiego ryzyka, który ten model wykorzystuje. Mapa obowiązków dla obu ról — w Obowiązki dostawcy systemu AI wysokiego ryzyka i Obowiązki deployera i FRIA (art. 26-27).

Jak możemy Ci pomóc?

W Legal Geek prowadzimy projekty zgodności GPAI w trzech wariantach. Audyt klasyfikacji — czy model spełnia warunki z art. 51 (próg 10²⁵ FLOPs lub kryteria załącznika XIII) i czy wymaga powiadomienia Komisji. Dokumentacja modelu — przygotowanie dokumentacji technicznej (załącznik XI), informacji dla integratorów (załącznik XII), polityki copyright i streszczenia danych treningowych. Klauzule kontraktowe dla integratorów — dla firm, które kupują GPAI od dostawców i integrują w produktach. Chcę pomocy z GPAI!

Co dalej w cyklu?

Źródła