Pierwszy projekt Kodeksu Postępowania dla dostawców modeli sztucznej inteligencji ogólnego przeznaczenia (GPAI) opublikowany przez Unię Europejską
Unia Europejska, w związku z wdrożeniem przepisów dotyczących sztucznej inteligencji, opublikowała pierwszy projekt Kodeksu Postępowania, który będzie obowiązywał dostawców modeli sztucznej inteligencji ogólnego przeznaczenia (GPAI). Dokument ten ma na celu zapewnienie zgodności z nowymi regulacjami prawnymi zawartymi w europejskim AI Act. Jednocześnie, UE zachęca do przesyłania opinii i uwag na temat projektu do 28 listopada, co pozwoli na dalsze doskonalenie przepisów przed ich ostatecznym wdrożeniem.
Ryzyko a sztuczna inteligencja
AI Act, który wszedł w życie w lecie 2024 roku, przyjmuje podejście oparte na analizie ryzyka w odniesieniu do zastosowań sztucznej inteligencji. Chociaż ustawa dotyczy szerokiego spektrum aplikacji AI, szczególny nacisk kładzie się na modele sztucznej inteligencji ogólnego przeznaczenia (GPAI), które stanowią fundament dla różnych zaawansowanych systemów AI. Przykładami takich modeli są między innymi GPT od OpenAI, Gemini od Google, Llama od Meta, Claude od Anthropic oraz Mistral.
Kodeks Postępowania ma pomóc producentom tych modeli spełnić wymagane normy, a zarazem uniknąć problemów związanych z nieprzestrzeganiem przepisów AI Act. Warto jednak zaznaczyć, że Kodeks nie narzuca sztywnej drogi postępowania – dostawcy mogą wybrać alternatywne metody spełnienia wymogów, o ile będą w stanie udowodnić zgodność z przepisami.
Struktura projektu Kodeksu
Pierwszy projekt liczy obecnie 36 stron, jednak twórcy podkreślają, że dokument będzie się rozwijał, a jego objętość może znacznie wzrosnąć. Obecna wersja jest jedynie zarysem strategicznym, który określa główne zasady i cele Kodeksu.
Jednym z kluczowych elementów jest zaproszenie do współpracy różnych interesariuszy, zarówno z przemysłu, jak i z organizacji społecznych. Ich wkład będzie kluczowy w kształtowaniu szczegółowych miar i wskaźników kluczowych (KPI), które jeszcze nie zostały zawarte w dokumencie.
Terminy wprowadzenia przepisów
Ważnym terminem jest 1 sierpnia 2025 roku – to wtedy mają zacząć obowiązywać przepisy dotyczące przejrzystości, które będą dotyczyć producentów modeli GPAI. Z kolei dla tych systemów, które będą klasyfikowane jako niosące „systemowe ryzyko”, wymagania dotyczące oceny ryzyka i jego ograniczania wejdą w życie 36 miesięcy po wejściu ustawy w życie, czyli 1 sierpnia 2027 roku.
Projekt Kodeksu zakłada, że tylko niewielka liczba dostawców modeli AI będzie miała do czynienia z systemowym ryzykiem. Jednakże, jeśli ta prognoza okaże się błędna, przyszłe wersje Kodeksu mogą wymagać gruntownej rewizji, aby wprowadzić bardziej złożony system miar, koncentrujący się na modelach o największym ryzyku systemowym.
Wymogi dotyczące przejrzystości i prawa autorskie
Na polu przejrzystości, Kodeks postępowania przewiduje, że producenci GPAI będą musieli spełniać wymogi informacyjne, w tym w zakresie materiałów objętych prawami autorskimi. Przykładem może być „Podśrodek 5.2”, który zobowiązuje sygnatariuszy do ujawnienia nazw robotów indeksujących wykorzystywanych do tworzenia modeli GPAI oraz przedstawienia szczegółów dotyczących ich działania w momencie indeksowania.
Kwestie związane z prawami autorskimi budzą liczne kontrowersje, szczególnie w kontekście sposobu, w jaki niektóre firmy AI pozyskiwały dane do szkolenia swoich modeli. W związku z tym wiele pozwów zostało złożonych przez właścicieli praw, którzy twierdzą, że ich materiały zostały przetworzone bez zgody.
Kodeks postępowania przewiduje również konieczność ustanowienia jednolitego punktu kontaktowego dla dostawców GPAI, który ułatwi zgłaszanie roszczeń przez właścicieli praw autorskich, co ma przyspieszyć proces komunikacji i zażegnywania sporów.
Ryzyko systemowe
Najpotężniejsze modele GPAI będą musiały spełniać dodatkowe wymogi związane z tzw. ryzykiem systemowym. Modele te są definiowane jako te, które zostały wytrenowane przy użyciu mocy obliczeniowej większej niż 10^25 FLOP-ów. Wśród rodzajów ryzyka systemowego, które wymienia projekt Kodeksu, znajdują się m.in. zagrożenia dla bezpieczeństwa cybernetycznego, ryzyko związane z substancjami chemicznymi, biologicznymi, radiologicznymi lub nuklearnymi, a także ryzyko związane z utratą kontroli nad modelami AI.
Kodeks zachęca również producentów do identyfikacji innych rodzajów ryzyka systemowego, które mogłyby nie zostać uwzględnione w pierwotnym dokumencie. Przykłady to np. naruszenia prywatności, masowy nadzór lub zagrożenia dla zdrowia publicznego. Jednym z pytań otwartych, które dokument stawia, jest także to, jakie ryzyka powinny zostać dodane do głównej klasyfikacji oraz jak uwzględnić zagrożenia związane z deepfake’ami, zwłaszcza w kontekście tworzenia treści o charakterze nadużyć seksualnych i obrazów intymnych bez zgody.
Bezpieczeństwo i zarządzanie ryzykiem
Kodeks poświęca również uwagę kwestii bezpieczeństwa. Przewiduje utworzenie tzw. „Ram Bezpieczeństwa i Ochrony” (SSF), które będą wymagać od producentów GPAI szczegółowego opisu swoich polityk zarządzania ryzykiem oraz regularnej identyfikacji potencjalnych zagrożeń systemowych.
Jednym z interesujących środków jest „Prognozowanie ryzyk”, które zobowiązywałoby producentów do dostarczania najlepszych możliwych szacunków dotyczących momentu, w którym ich modele osiągną poziom ryzyka systemowego. Dzięki temu od 2027 roku możemy zobaczyć, jak najwięksi dostawcy AI zaczynają publikować prognozy dotyczące przyszłych zagrożeń związanych z ich modelami.
Kodeks w fazie rozwoju
Ostateczne brzmienie Kodeksu Postępowania ma być gotowe na 1 maja 2025 roku, jednak już teraz dokument jest otwarty na konsultacje i uwagi. Twórcy podkreślają, że obecna wersja jest jedynie szkicem, a wszystkie zaproponowane środki mogą ulec zmianie na podstawie zebranych opinii.
Ważne jest, aby dostawcy GPAI skorzystali z tej okazji, by dostosować swoje praktyki do wchodzących regulacji, unikając w przyszłości problemów związanych z niezgodnością z przepisami.