90% organizacijų, naudojančių DI, yra naudotojai, integruojantys trečiųjų šalių modelius — OpenAI, Anthropic, Azure AI ar DI SaaS įrankius. Supraskite savo įpareigojimus: ką teikėjas privalo jums pateikti, ką turite daryti jūs ir kada tampate teikėju.
Trečiųjų šalių DI tikrovė: dauguma organizacijų yra naudotojai
Dauguma Europos organizacijų, naudojančių DI, nėra nei OpenAI, nei Mistral, nei tyrimų laboratorija. Jos integruoja esamus modelius — per API, SaaS platformą, Azure AI komponentą ar verslo įrankio papildinį. Salesforce Einstein, Copilot for Microsoft 365, DI pokalbių robotas, pagrįstas dideliu kalbos modeliu, specialisto pardavėjo kreditų vertinimo sprendimas: visais šiais atvejais jūs esate kieno nors kito sukurtos DI sistemos naudotojas.
Šią poziciją užima didžioji dauguma organizacijų, paveiktų ES DI akto. Ji turi tikslius įpareigojimus — skirtingus nuo teikėjų, bet ne nereikšmingus. Ji taip pat gali evoliucionuoti: jei modifikuojate sistemą ar ją perparduodate, jūsų teisinis statusas pasikeičia.
Supratimas savo pozicijos DI vertės grandinėje yra pirmasis žingsnis bet kuriame atitikties pastangose.
Jūsų įsipareigojimai kaip naudotojui
Naudotojo įsipareigojimai skiriasi priklausomai nuo jūsų naudojamos DI sistemos rizikos lygio.
Didelės rizikos DI sistemoms (Annex III)
Jei diegiate trečiosios šalies DI sistemą, kvalifikuojamą kaip didelės rizikos (kreditingumo vertinimas, biometrinė identifikacija, įdarbinimo atranka, ypatingos svarbos infrastruktūros valdymas ir kt.), jūsų įsipareigojimai pagal Art. 26 yra:
1. Laikykitės naudojimo instrukcijų Naudokite sistemą tik jos numatytam tikslui ir pagal instrukcijas, kurias teikėjas privalo pateikti. Didelės rizikos DI sistemos naudojimas už jos patvirtintų ribų yra atitikties nepaisymas net jei esate tik naudotojas.
2. Paskirkite žmogaus priežiūrą Paskirkite fizinį asmenį su kompetencija, valdžia ir ištekliais vykdyti prasmingą žmogaus priežiūrą DI sistemos išvestims. Šis asmuo turi gebėti suprasti, ką sistema daro, aptikti anomalijas ir nepaisyti ar sustabdyti sistemą, kai būtina.
3. Užtikrinkite įvesties duomenų kokybę Užtikrinkite, kad jums teikiami sistemos duomenys būtų aktualūs, pakankamai reprezentatyvūs ir tinkami numatytam tikslui jūsų konkrečiame diegimo kontekste. Sistema, patvirtinta vienai populiacijai, gali kitaip veikti jūsų populiacijai — tai yra jūsų rizika valdyti.
4. Stebėkite veikimą ir aptinkite anomalijas Aktyviai stebėkite sistemos veikimą dėl anomalijų, netikėtų išvestų ar veikimo pablogėjimo. Tai nėra teikėjo atsakomybė diegimo metu — tai yra jūsų.
5. Saugokite žurnalus Aktyvuokite ir saugokite sistemos generuojamus automatinius žurnalus akto reikalaujamą laikotarpį (ir bet kokio sektoriaus reglamento, kuris gali būti taikomas). Neišjunkite registravimo, kad sutaupytumėte saugyklos sąnaudas.
6. Pranešti apie rimtus incidentus Jei sužinote apie rimtą incidentą ar gedimą — tokį, kuris sukėlė ar galėjo sukelti mirtį, rimtą žalą, pagrindinių teisių pažeidimus ar reikšmingą nuosavybės žalą — praneškite teikėjui be nepagrįsto delsimo. Kai kuriais atvejais (ypač kur diegimas susijęs su visuomenei prieinamomis paslaugomis ar teisėsaugai artimomis veiklomis) gali taip pat būti reikalingas tiesioginis pranešimas nacionalinei rinkos priežiūros institucijai.
7. Pagrindinių teisių poveikio vertinimas (viešojo sektoriaus įstaigos) Jei esate viešojo sektoriaus įstaiga arba privati įmonė, diegianti DI sistemas srityse, galinčiose paveikti pagrindines teises (sveikatos priežiūra, socialinės paslaugos, švietimas, teisėsauga), prieš diegimą turite atlikti Pagrindinių teisių poveikio vertinimą (Art. 27).
Tik skaidrumo DI sistemoms (Art. 50)
Jei diegiate pokalbių robotą, DI generuoto turinio sistemą ar emocijų atpažinimo įrankį, kuris nėra didelės rizikos, tačiau patenka į Art. 50 skaidrumo įpareigojimus, turite:
- Informuoti naudotojus, kad jie bendrauja su DI sistema (Art. 50(1))
- Užtikrinti, kad DI generuotas turinys yra techniškai žymimas (Art. 50(4)), kur taikoma
- Informuoti paveiktus asmenis, kai naudojamas emocijų atpažinimas ar biometrinis kategorizavimas (Art. 50(2)–(3))
Šie įsipareigojimai taikomi net naudojant trečiosios šalies API ar SaaS įrankį. Teikėjas atsakingas už techninės galimybės sukūrimą; jūs atsakingas už jos aktyvavimą ir užtikrinamumą, kad atskleidimas tikrai pasiektų naudotojus.
Minimalios rizikos DI sistemoms
Jokių konkrečių teisinių įpareigojimų pagal DI aktą. Taikomi savanoriški elgesio kodeksai. Gera valdysenos praktika vis dėlto rekomenduoja pagrindinę naudojamų DI sistemų dokumentaciją ir periodinę jų veikimo peržiūrą.
Ko reikalauti iš savo trečiosios šalies DI teikėjo
Jūsų gebėjimas vykdyti naudotojo įpareigojimus tiesiogiai priklauso nuo to, ką jums pateikia teikėjas. ES DI aktas reikalauja, kad didelės rizikos DI sistemų teikėjai teiktų konkrečią informaciją — ir GPAI modelių teikėjai turi lygiagretinius dokumentavimo įpareigojimus. Naudokite šį kontrolinį sąrašą įsigijant trečiosios šalies DI:
Bet kuriai DI sistemai
- Sistemos aprašymas: Ką sistema daro, kokias įvestis ji priima, kokias išvestis gamina ir kokius sprendimus gali daryti įtaką?
- Numatytas tikslas: Tiksliai kuriais naudojimo atvejais sistema buvo suprojektuota, patvirtinta ir patvirtinta?
- Žinomi apribojimai: Kokiomis sąlygomis sistema veikia prastai? Kokios populiacijos, kalbos ar duomenų tipai yra už jos patvirtinto taikymo srities?
- Naudojimo instrukcijos: Pilnas instrukcijų rinkinys, kurį teikėjas privalo pateikti pagal Art. 13 didelės rizikos sistemoms
Konkrečiai didelės rizikos sistemoms
- Atitikties deklaracija arba atitikties vertinimo rezultatų santrauka
- Rizikos valdymo dokumentacija — kokios rizikos buvo nustatytos ir kaip jos buvo sumažintos?
- Šališkumo ir sąžiningumo testavimo rezultatai — kokie saugomi požymiai buvo testuojami, kokie rodikliai buvo naudojami ir kokie rezultatai buvo rasti?
- Veiklos rodikliai — tikslumas, klaidingai teigiamų / klaidingai neigiamų rodikliai ir disaggregatinis veikimas pagal aktualias demografines grupes
- Registravimo galimybė — patvirtinimas, kad sistema generuoja Art. 12 reikalaujamus žurnalus, ir instrukcijos jų prieigai bei saugojimui
- Incidentų pranešimo procesas — su kuo susisiekti, per kiek laiko ir kokiu kanalu, kai nutinka rimtas incidentas
- Atnaujinimų politika — kaip teikėjas informuoja apie esminius atnaujinimus ir koks pakartotinis patvirtinimas reikalingas po atnaujinimų?
GPAI modeliams (API ir pagrindų modelių prieiga)
- Modelio kortelė ar techninė santrauka — galimybės, apribojimai, mokymo duomenų santrauka, vertinimo rezultatai
- Autorių teisių atitikties pareiškimas — kaip teikėjas sprendžia autorių teisių teisę dėl mokymo duomenų ir išvesties?
- Priimtino naudojimo politika — kokius naudojimo atvejus draudžia teikėjas ir kas nutinka, jei juos pažeidžiate?
- Duomenų tvarkymo sąlygos — kaip teikėjas tvarko jūsų įvesties duomenis? Ar jie naudojami tolesniam mokymui?
Kada tampate teikėju
ES DI akto Art. 25 yra esminis trečiųjų šalių DI naudotojams: jis apibrėžia, kada naudotojas pereinamas į teikėją ir prisiima visus teikėjo įpareigojimus.
Tampate teikėju, kai:
1. Iš esmės modifikuojate didelės rizikos DI sistemą
Jei primate didelės rizikos DI sistemą ir darote esminius pakeitimus, viršijančius tai, ką teikėjas numatė — keičiate modelį, perkvalifikuojate savo duomenimis, keičiate pagrindinę logiką — dabar esate naujos ar iš esmės modifikuotos sistemos teikėjas. Taikomi visi teikėjo įsipareigojimai: atitikties vertinimas, techninė dokumentacija, CE ženklinimas, ES duomenų bazės registracija.
Pagrindinis klausimas: Ar jūsų tinkinimas yra „naudojimas numatytų parametrų ribose" ar „naujų galimybių kūrimas"? Modelio puoselėjimas jūsų sritims gali arba negali būti esminis modifikavimas, priklausomai nuo pakeitimo laipsnio ir ar tai daro poveikį rizikos profilimui.
2. Keičiate numatytą tikslą į didelę riziką
Jei primate sistemą, neklasifikuotą kaip didelės rizikos, ir diegiate ją didelės rizikos naudojimo atveju — naudojant bendrą teksto klasifikatorių užimtumo sprendimams priimti, pavyzdžiui — pakeitėte numatytą tikslą taip, kad suaktyvinama didelės rizikos klasifikavimas. Tampate didelės rizikos DI sistemos teikėju ir turite laikytis visų teikėjo įpareigojimų tam diegimui.
3. Pateikiate sistemą rinkai savo vardu
Jei perkate ar licencijuojate DI sistemą ir ją perparduodate ar siūlote kitiems kaip savo gaminį (balto etiketės žymėjimas), pateikiate ją rinkai savo vardu ir tampate teikėju. Tai dažna SaaS sektoriuje: trečiosios šalies modelio integravimas į savo produkto pasiūlymą daro jus teikėju tam produktui.
4. Darote didelius GPAI modelio pakeitimus
Jei primate GPAI modelį ir darote didelius jo galimybių ar naudojimo atvejo pakeitimus — peržengiant puoselėjimą teikėjo numatytų parametrų ribose — galite tapti naujo GPAI modelio teikėju su savo V skyriaus įpareigojimais.
Sutartinė apsauga naudotojams
Kadangi jūsų atitiktis priklauso nuo to, ką pateikia teikėjas, jūsų sutartys su trečiųjų šalių DI pardavėjais yra svarbus atitikties įrankis. Pagrindinės sąlygos, kurias reikia įtraukti:
Informacijos teisės
- Teisė gauti ir reguliariai atnaujintą naudojimo instrukcijų versiją
- Teisė prieiti prie atitikties deklaracijos ir atitikties vertinimo santraukos
- Teisė gauti šališkumo testavimo rezultatus ir veiklos rodiklius
- Teisė gauti esminių modelio atnaujinimų dokumentaciją prieš diegimą
Incidentų valdymas
- Teikėjo įsipareigojimas pranešti jums apie bet kokius rimtus incidentus ar pažeidžiamumus, apie kuriuos sužino, per nustatytą laiką
- Aiškus kanalas ir procesas, kaip jūs pranešate incidentus teikėjui
- Teikėjo įsipareigojimas bendradarbiauti su jūsų incidentų tyrimais ir reguliavimo užklausomis
Audito teisės
- Teisė atlikti auditą arba gauti audito ataskaitas dėl teikėjo atitikties DI akto įpareigojimams
- Teisė prašyti atnaujintos dokumentacijos, kai įvyksta reikšmingi pakeitimai
Atnaujinimų įsipareigojimai
- Teikėjas turi pranešti jums prieš diegiant esminius DI sistemos atnaujinimus
- Teikėjas turi patarti, ar atnaujinimas sudaro esminį modifikavimą, reikalaujantį pakartotinio patvirtinimo
- Dokumentacijos tęstinumas — atnaujinta techninė dokumentacija turi būti pateikta su kiekvienu esminiu atnaujinimu
Atsakomybės paskirstymas
- Aiškumas, kuri šalis yra atsakinga už kuriuos įpareigojimus pagal Art. 25
- Žalos atlyginimas dėl nuostolių, kylančių iš teikėjo nesilaikymosi tiekėjų įpareigojimų
- Atsakomybės ribojimo nuostatos, nepakenkiančios jūsų gebėjimui vykdyti reguliavimo įpareigojimus
Pardavėjų DI rinka: ką stebėti
DI įrankių ir paslaugų rinka sparčiai vystosi, ir pardavėjų ES DI akto atitikties laikysena labai skiriasi:
- Didieji debesų ir DI teikėjai (Microsoft, Google, AWS, OpenAI, Anthropic) nemažai investavo į DI valdyseną ir GPAI atitikties dokumentaciją. Jų paslaugų teikimo sąlygos ir modelių kortelės teikia daugiau informacijos nei dauguma kitų pardavėjų.
- Specialistų vertikalūs DI pardavėjai (HR tech, teisės tech, fintech, sveikatos tech) yra skirtinguose ES DI akto pasirengimo etapuose. Daugelis yra MVĮ, dar nevisiškai suplanavusios savo įpareigojimus.
- Įterptoji DI SaaS įrankiuose (DI funkcijos CRM, ERP, produktyvumo įrankiuose) gali nebūti parduodama kaip „DI produktai" — bet jei jie priima ar daro įtaką svarbiems sprendimams dėl asmenų, ES DI akto įsipareigojimai taikomi.
Pirkimų komandos turėtų pridėti DI akto atitikties tikrinimą prie pardavėjų deramo patikrinimo — prašydamos pardavėjų patvirtinti savo atitikties statusą, pateikti atitikties dokumentaciją didelės rizikos sistemoms ir įsipareigoti nuolatos dalytis informacija, kai reguliavimo kraštovaizdis vystosi.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Taip, kaip naudotojai. API teikėjas (OpenAI, Anthropic) yra GPAI modelio teikėjas ir prisiima GPAI įpareigojimus. Jei kuriate programą jų API pagrindu ir pateikiate ją naudotojams, tampate tos programos teikėju (DI sistema). Turite naudotojo įsipareigojimus pagrindinio GPAI modelio atžvilgiu ir teikėjo įsipareigojimus savo DI sistemai.
Didelės rizikos DI sistemoms: pardavėjas (kaip teikėjas) turi pateikti naudojimo instrukcijas (Art. 13) ir atitikties vertinimo ar atitikties deklaracijos santrauką. GPAI modeliams: teikėjai turi pateikti techninę dokumentaciją ir informaciją, reikalingą tolesnei atitikčiai. Sutartiniai reikalavimai: sistemos aprašymas, žinomi apribojimai, šališkumo testavimo rezultatai, veiklos rodikliai ir incidentų pranešimo procedūros.
Sutartiškai galite paskirstyti atsakomybę tarp šalių — tačiau reguliacinė atsakomybė negali būti sutartinai perduota. Jei diegiate didelės rizikos DI sistemą, turite naudotojo įpareigojimus neatsižvelgiant į jūsų susitarimą. Naudokite sutartis, kad teikėjas pateiktų tai, ko reikia jūsų įpareigojimams vykdyti, o ne jų išvengti.
ES DI aktas taikomas DI sistemoms, pateikiamoms Europos rinkai, neatsižvelgiant į tai, kur yra teikėjas. Ne ES teikėjai turi paskirti įgaliotąjį atstovą ES (Art. 22), turintį tokius pat teisinius įpareigojimus kaip ES įsteigtas teikėjas. Prieš diegiant jų DI sistemą, patikrinkite, ar pardavėjas turi įgaliotąjį atstovą.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.