GPAI kontra tillhandahållarens skyldigheter — EU:s AI-förordning kapitel V
EU:s AI-förordning reglerar GPAI-modeller (generell AI) separat från AI-system. Kapitel V (artiklarna 51 till 56) fastställer ett tvånivåsystem: en baslinjestandard som gäller varje GPAI-modell (artiklarna 53 och 54), och en ytterligare uppsättning skyldigheter för GPAI-modeller som klassificeras som innebärande systemrisk (artikel 55). Tillhandahållare nedströms ärver skyldigheter endast när de själva blir leverantör enligt artikel 25 eller när de tar ett GPAI-baserat AI-system i drift enligt artikel 26.
Vad som räknas som en GPAI-modell
Artikel 3(63) definierar en GPAI-modell som en AI-modell, inklusive där en sådan AI-modell tränas med en stor mängd data med hjälp av självövervakning i stor skala, som uppvisar betydande generalitet och är kapabel att kompetent utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen placeras på marknaden och som kan integreras i en mängd olika system eller applikationer nedströms. AI-modeller som används för forsknings-, utvecklings- eller prototypaktiviteter innan de placeras på marknaden är undantagna.
Kapitel V gäller modeller, inte AI-system. En GPAI-modell blir ett GPAI-system när den integreras i ett system eller en applikation nedströms; vid den tidpunkten tillämpas artiklarna 6, 25 till 27 och resten av systemregimen.
Tillämpningsdatum
Enligt artikel 113(b) gäller kapitel V-skyldigheterna från och med 2 augusti 2025 — före det förvalda tillämpningsdatumet i augusti 2026 för resten av förordningen. Modeller som redan finns på marknaden före den 2 augusti 2025 drar nytta av en övergångsperiod enligt artikel 111(3).
Artikel 53 — grundläggande skyldigheter för varje GPAI-leverantör
- Upprätta och hålla aktuell teknisk dokumentation om modellen, inklusive dess tränings- och testningsprocess och resultaten av dess utvärdering, innehållande åtminstone den information som anges i bilaga XI.
- Upprätta, hålla aktuell och göra tillgänglig den information och dokumentation som leverantör av AI-system nedströms behöver för att integrera modellen och uppfylla sina egna skyldigheter, innehållande åtminstone den information som anges i bilaga XII.
- Införa en policy för att efterleva unionsrätten om upphovsrätt och närstående rättigheter, i synnerhet för att identifiera och iaktta förbehåll av rättigheter enligt artikel 4(3) i direktiv (EU) 2019/790.
- Offentliggöra en tillräckligt detaljerad sammanfattning av det innehåll som använts för träning av GPAI-modellen, enligt en mall som tillhandahålls av AI-kontoret.
Leverantör av GPAI-modeller som lanserats under en fri och öppen källkodslicens som inte tillåter monetarisering är undantagna från skyldigheterna avseende teknisk dokumentation och integrationsdokumentation nedströms (artikel 53(2)), förutsatt att viss viktinformation och arkitekturinformation görs allmänt tillgänglig och att modellen inte är en GPAI-modell med systemrisk.
Artikel 51 — klassificeringen av systemrisk
Enligt artikel 51(1) klassificeras en GPAI-modell som innebärande systemrisk om den har kapaciteter med hög påverkan (sådana som matchar eller överstiger kapaciteterna hos de mest avancerade GPAI-modellerna). Artikel 51(2) skapar en motbevisbar presumtion att en modell har kapaciteter med hög påverkan när den kumulativa beräkningskapaciteten som använts för dess träning, mätt i flytandepunktsoperationer, är större än 10^25 FLOP. Kommissionen kan också klassificera en modell som systemrisk enligt artikel 51(1)(b) baserat på motsvarande kapaciteter eller påverkan.
Leverantör av GPAI-modeller som presumeras uppfylla systemrisktröskeln måste utan dröjsmål anmäla detta till kommissionen enligt artikel 52(1). Anmälan kan innehålla ett motiverat argument för att motbevisa presumtionen.
Artikel 55 — tilläggsskyldigheter för GPAI med systemrisk
- Genomföra modellutvärdering i enlighet med standardiserade protokoll och verktyg som återspeglar den senaste tekniken, inklusive genomförande och dokumentation av motståndarkraftstestning.
- Bedöma och mildra möjliga systemrisker på unionsnivå, inklusive deras källor, som kan uppstå vid utveckling, marknadsutsläpp eller användning.
- Hålla reda på, dokumentera och utan onödigt dröjsmål rapportera till AI-kontoret och, i förekommande fall, till nationella behöriga myndigheter, relevant information om allvarliga incidenter och möjliga korrigerande åtgärder.
- Säkerställa en adekvat nivå av cybersäkerhetsskydd för modellen och modellens fysiska infrastruktur.
Var tillhandahållarens skyldigheter börjar
En ren GPAI-modellleverantör möter kapitel V-skyldigheter. En nedströmsenhet som integrerar en GPAI-modell i sin egen produkt eller arbetsflöde kan ha flera roller:
- Systemtillhandahållare enligt artikel 26. Att använda ett GPAI-baserat AI-system i yrkesmässig verksamhet gör enheten till tillhandahållare; skyldigheter enligt artikel 26 (tilldela mänsklig tillsyn, övervaka driften mot bruksanvisningarna, föra loggar, informera berörda arbetstagare och personer) gäller om systemet är högrisk enligt artikel 6.
- Leverantör enligt artikel 25. En tillhandahållare blir leverantör om den (a) sätter sitt namn eller varumärke på ett högrisk-AI-system som redan placerats på marknaden; (b) gör en väsentlig ändring av ett högrisk-AI-system på ett sådant sätt att det förblir högrisk; eller (c) ändrar det avsedda ändamålet för ett AI-system, inklusive ett GPAI-system, på ett sådant sätt att det resulterande systemet blir högrisk enligt artikel 6. I fall (c) ärver den nedströmsenheten det fullständiga leverantörsregelverket — inklusive konformitetsbedömning enligt artikel 43 och teknisk dokumentation enligt bilaga IV.
Praktiskt exempel för HR-tech: ett företag finjusterar en GPAI-modell så att den kan poängsätta CV:n mot en jobbeskrivning. Den ursprungliga GPAI-leverantören förblir föremål för kapitel V; HR-tech-företaget blir leverantör av det resulterande högrisk-rekryterings-AI-systemet enligt artikel 25(1)(c) och bilaga III punkt 4(a), och måste genomföra konformitetsbedömningen enligt bilaga VI på egen hand.
GPAI:s uppförandekod
Artikel 56 instruerar AI-kontoret att underlätta utarbetandet av en uppförandekod. Den första versionen av uppförandekoden för GPAI täcker transparens, upphovsrätt och säkerhet för leverantör med systemrisk, och är den främsta frivilliga vägen för att visa efterlevnad av artiklarna 53 till 55 i avvaktan på harmoniserade standarder. Anslutning är frivillig men signalerar god tro gentemot AI-kontoret.
Bötesexponering
Bristande efterlevnad av GPAI-leverantörsregimen sanktioneras enligt artikel 101: kommissionen kan ålägga leverantör av GPAI-modeller böter på upp till 3 % av deras totala globala årsomsättning under det föregående räkenskapsåret eller 15 000 000 euro, beroende på vilket belopp som är högst, på grundval av tillsynsåtgärder av AI-kontoret.
Checklista för tillhandahållare vid användning av en GPAI-modell
- Leverantören bekräftar om modellen är klassificerad som systemrisk enligt artikel 51.
- Leverantören tillhandahåller integrationsdokumentationen nedströms enligt bilaga XII.
- Internt beslutsprotokoll: är det resulterande AI-systemet högrisk enligt artikel 6 / bilaga III?
- Test av artikel 25-utlösare: innebär finjustering eller ändring av ändamål att vi omklassificeras till leverantör?
- Täckning av AI-läskunnighet enligt artikel 4 utvidgas till personal som använder GPAI-systemet.
- Transparensskyldigheter enligt artikel 50 kontrolleras separat (chatbotmeddelande, röjande av djupförfalskning, märkning av AI-genererad text).
Vanliga missuppfattningar
- "Kapitel V är ett regelverk för tillhandahållare." Nej — kapitel V riktar sig till GPAI-modellleverantör. Tillhandahållare möter systemregimen (artiklarna 26, 27 och 50) och reglerna för artikel 25-utlösare.
- "Under 10^25 FLOP har vi inga kapitel V-skyldigheter." Felaktigt om du är modellleverantör — artikel 53 gäller ändå. Presumtionen på 10^25 FLOP med möjlighet till motbevisning styr endast om du också faller under artikel 55.
- "Öppen källkod för GPAI är fullt undantagen." Artikel 53(2) undantar GPAI med öppen källkod från vissa dokumentationsskyldigheter men inte från upphovsrättspolicyn och skyldigheterna avseende sammanfattning av träningsinnehåll, och inte från artikel 55 om modellen har systemrisk.
- "Finjustering är inte en väsentlig ändring." En finjustering som ändrar avsett ändamål eller beteende bortom vad leverantören fördeklarerat i bilaga IV punkt 2(f) presumeras vara en väsentlig ändring enligt artikel 43(4) och kan utlösa omklassificering enligt artikel 25.
Relaterade EU-guider
- EU:s AI-förordning — konformitetsbedömning
- Teknisk dokumentation enligt bilaga IV
- AI-läskunnighetsskyldigheten — artikel 4
- Förbjudna AI-metoder — artikel 5
- NIS2 — tidsplan för incidentrapportering
Källor
- Förordning (EU) 2024/1689, artiklarna 3(63), 25, 26, 27, 50, 51, 52, 53, 54, 55, 56, 101, 111(3), 113(b); bilaga XI; bilaga XII — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
- Europeiska kommissionen — uppförandekoden för GPAI: digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
- Europeiska kommissionen — frågor och svar om GPAI-modeller: digital-strategy.ec.europa.eu/en/faqs/general-purpose-ai-models-ai-act-questions-answers
Obs: GPAI-regimen är den mest dynamiska delen av EU:s AI-förordning — kommissionens mallar, uppförandekoden och AI-kontorets tillsynspraxis fortsätter att utvecklas. PowerQuant tillhandahåller programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning.