Opublikowano trzeci projekt Kodeksu postępowania dla AI ogólnego przeznaczenia, który — jako najbardziej zaawansowana wersja — ma zostać sfinalizowany w maju 2025 r.

Struktura i zawartość trzeciego projektu

Trzeci projekt Kodeksu został znacznie uproszczony w stosunku do poprzednich wersji i podzielony na trzy kluczowe sekcje:

Zobowiązania ogólne – przejrzystość i prawa autorskie (dla wszystkich dostawców GPAI)

• Przejrzystość: Wprowadzono Formularz Dokumentacji Modelu, który umożliwia łatwe i jednolite dokumentowanie kluczowych informacji o modelach, takich jak:
  • źródła danych treningowych,
  • metody treningu i testowania,
  • architektura modelu oraz limity użytkowania.
• Prawa autorskie: Sekcja ta zawiera uproszczone, lecz szczegółowe środki z drugiego projektu, zapewniające zgodność z przepisami UE dotyczącymi praw własności intelektualnej. Szczególny nacisk położono na:
  • obowiązek weryfikacji danych treningowych pod kątem utworów chronionych prawem,
  • wdrażanie technicznych środków zarządzania prawami (DRM),
  • stosowanie licencji otwartego dostępu tam, gdzie to możliwe.

Uwaga: Modele typu open-source objęte są pewnymi zwolnieniami, zgodnie z AI Act.

Zobowiązania dodatkowe – bezpieczeństwo i ryzyko systemowe (dla modeli o wysokim ryzyku systemowym)

Dla dostawców najbardziej zaawansowanych modeli (klasyfikowanych na podstawie Art. 51 AI Act jako stwarzające ryzyko systemowe), trzeci projekt przewiduje aż 16 dodatkowych zobowiązań:

• Identyfikacja i ocena zagrożeń
  Opracowanie systematycznej analizy potencjalnych negatywnych skutków użycia modelu w różnych kontekstach społecznych, politycznych, gospodarczych.
• Plan ograniczania ryzyka (risk mitigation)
  Wdrożenie konkretnego planu redukcji ryzyk — zawierającego procedury, techniczne zabezpieczenia oraz protokoły reagowania.
• Mechanizmy wewnętrznego nadzoru
  Powołanie zespołów ds. zgodności i etyki oraz wdrożenie governance structures monitorujących użycie i rozwój modelu.
• Wewnętrzne testy modelu (internal evaluations)
  Regularne testowanie modeli pod kątem halucynacji, uprzedzeń, stabilności i podatności na manipulacje.
• Testy zewnętrzne (external evaluations)
  Umożliwienie niezależnym podmiotom weryfikacji działania modelu poprzez udostępnianie interfejsów API i zestawów testowych.
• Dokumentacja i publiczne raporty
  Publikowanie sprawozdań z ewaluacji, wyników testów i stosowanych ograniczeń.
• Systemy zgłaszania błędów i incydentów (red teaming + incident reporting)
  Umożliwienie społeczności, użytkownikom i badaczom zgłaszania incydentów i nieprawidłowości.
• Mechanizmy audytu
  Wdrożenie audytowalności kodu, decyzji projektowych i danych użytych do trenowania modelu.
• Bezpieczeństwo cybernetyczne
  Zapewnienie zabezpieczeń przed tzw. prompt injection, jailbreakami oraz innymi formami nadużyć.
• Ograniczenia w zakresie generowania nielegalnych treści
  Systemy blokujące możliwość generowania treści niezgodnych z prawem (np. nawoływanie do przemocy, mowa nienawiści).
• Ograniczenia w zakresie generowania deepfake'ów
  Techniczne i prawne środki ograniczające wykorzystanie modelu do tworzenia zmanipulowanych treści wprowadzających w błąd.
• Zabezpieczenia przed użyciem do tworzenia złośliwego oprogramowania
  Wykrywanie i blokowanie prób użycia modelu do generowania kodu malware lub inżynierii odwrotnej.
• Śledzenie wpływu modelu na środowisko i zasoby (resource efficiency)
  Dokumentowanie i optymalizacja zużycia energii, kosztów chmurowych, emisji CO₂.
• Szkolenia dla użytkowników downstream
  Dostarczanie materiałów i wsparcia dla podmiotów wdrażających model, aby zapewnić jego właściwe i bezpieczne użycie.
• Zarządzanie aktualizacjami modelu (lifecycle management)
  Procedury bezpiecznej aktualizacji modelu oraz komunikacji zmian w dokumentacji i API.
• Wersjonowanie i archiwizacja modeli
  Obowiązek zachowania wcześniejszych wersji modelu dla celów analitycznych, prawnych i ewaluacyjnych.

Działania komplementarne Biura ds. AI

Równolegle z pracami nad Kodeksem, AI Office prowadzi niezależne działania legislacyjne i organizacyjne:

- Szablon publicznego streszczenia danych treningowych – zgodnie z art. 53(1)(d) AI Act, ma ułatwić porównywalność i ocenę transparentności modeli.

- Wytyczne interpretacyjne (w przygotowaniu) – mają uściślić:

• definicję modeli GPAI,
• zasady odpowiedzialności w łańcuchu wartości (m.in. dla podmiotów fine-tuningujących modele),
• zastosowanie wyłączeń dla modeli open-source,
• wpływ regulacji na modele wprowadzone na rynek przed sierpniem 2025 r.

Wraz z trzecim projektem przewodniczący i wiceprzewodniczący proponują również dedykowane streszczenie wykonawcze i interaktywną stronę internetową.

Finałowa wersja kodeksu, planowana na maj 2025 r., ma szansę stać się punktem odniesienia dla globalnych standardów w zakresie regulacji sztucznej inteligencji.

Kodeks postępowania umożliwia harmonizację przepisów w całej Unii Europejskiej, co eliminuje ryzyko fragmentacji regulacyjnej na poziomie państw członkowskich. Zapewnia tym samym jednolite standardy operacyjne dla podmiotów funkcjonujących w środowisku transgranicznym.

Więcej:

https://digital-strategy.ec.europa.eu/en/library/third-draft-general-purpose-ai-code-practice-published-written-independent-experts

https://digital-strategy.ec.europa.eu/en/policies/ai-code-practice

https://code-of-practice.ai/?section=summary

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl

• Doradztwo i audyty w zakresie ochrony danych osobowych 
• Outsourcing Inspektora Ochrony Danych / IOD
• Audyt i wdrożenie NIS2 I KSC
• Doradztwo w zakresie sztucznej inteligencji/AI