Evropská unie vstupuje s přijetím Kodexu zásad pro obecnou umělou inteligenci (Kodex) do nové fáze regulace umělé inteligence (AI). Tento dobrovolný nástroj vznikl ve spolupráci nezávislých odborníků a dalších zúčastněných stran, především zástupců průmyslu a akademické obce. Jeho hlavním cílem je usnadnit poskytovatelům obecných modelů umělé inteligence (GPAI) plnění povinností, které jim ukládá Akt o umělé inteligenci (Akt o AI), zejména v oblastech transparentnosti, autorských práv a bezpečnosti.
Kodex představuje praktický rámec, jehož dodržování by mělo snížit administrativní zátěž poskytovatelů a přinést jim vyšší právní jistotu. V tomto článku se proto zaměříme na obsah jednotlivých kapitol kodexu, jejich právní základ a praktické dopady.
Transparentnost
Jednou z klíčových povinností poskytovatelů GPAI je transparentnost. Kodex v souvislosti s touto povinností představuje jednotný vzorový dokumentační formulář (Model Documentation Form), který umožňuje komplexně zdokumentovat mj.:
- zdroje tréninkových dat a jejich původ,
- zamýšlené oblasti použití modelu,
- licenční podmínky a omezení,
- identifikátor modelu nebo
- spotřebu energie.
Tato rozsáhlá dokumentace splňuje požadavky Aktu o AI na transparentnost a zajišťuje, že klíčové informace o modelu jsou soustředěny na jednom místě. Zároveň je určena jak pro poskytovatele, kteří model nasazují ve vlastních systémech, tak pro regulátory při výkonu dohledu. V praxi tak budou poskytovatelé sdílet příslušnou dokumentaci s firemními zákazníky, kteří na modelu staví vlastní systémy AI, a na formální žádost také s dozorovými orgány. Takové regulatorní žádosti musí být odůvodněny právním základem a účelem. Kodex zároveň zajišťuje ochranu obchodního tajemství, jelikož povinnost zveřejnit dokumentaci neznamená povinnost veřejného zpřístupnění citlivých údajů.
Významným prvkem tohoto formuláře je především sledování původu dat a transparentní popis metod jejich získávání. Kodex totiž požaduje mj. jasné informace o původu dat modelu (např. důkazy o pravosti nebo původu dat použitých k vývoji či trénování modelu) a o původu a zpracování tréninkových dat. Poskytovatelé GPAI by měli zveřejnit, jak byla tréninková data shromážděna (např. zda šlo o web scraping nebo soukromé databáze). Dokumentace o pravosti modelu pak pomáhá následným uživatelům a regulátorům ověřit, že model je autentický a nebyl dodatečně pozměněn. Tento prvek má zásadní význam pro hodnocení zákonnosti tréninkových procesů, zejména s ohledem na ochranu autorských práv a osobních údajů.
Kodex rovněž uznává výjimku pro určité open-source GPAI, pokud nejsou dodatečně vyhodnoceny jako modely představující systémové riziko. Pokud se však i open-source model dostane do zmíněné kategorie, musí splnit přísnější požadavky na transparentnost a bezpečnost.
Autorská práva a odpovědné nakládání s daty
Otázka ochrany autorských práv je řešena v kapitole o autorském právu, která poskytovatelům doporučuje zavést vnitřní politiku souladu s právem EU. Tento dokumentovaný postup zahrnuje mj.:
- legální získávání tréninkových dat,
- respektování technických opatření chránících autorská díla (např. neobcházení tzv. paywallů) nebo
- používání nástrojů pro filtrování výstupů, aby nedocházelo k reprodukci chráněných děl.
Kodex rovněž doporučuje jmenovat odpovědné osoby nebo týmy pro dohled nad dodržováním autorského práva. Klíčovým závazkem je především respektování vůle nositelů práv při sběru tréninkových dat. Signatáři se proto zavazují neobcházet technická opatření chránící autorsky chráněný obsah, např. musí při sběru dat pomocí web scrapingu respektovat standardní instrukce označující zákaz data miningu.
Poskytovatelé GPAI musí rovněž implementovat technická a organizační opatření, aby model negeneroval výstupy, které jsou v podstatě doslovnou reprodukcí chráněných děl z tréninkových dat. Těmito opatřeními mohou být např. filtrační mechanismy, omezení zadávání promptů či následné kontroly detekující a blokující pravděpodobně porušující obsah.
Důležitým prvkem je také mechanismus spolupráce s nositeli práv. Poskytovatelé musí vytvořit kanál, kterým mohou nositelé práv podávat stížnosti či dotazy. Pokud je stížnost oprávněná, mají poskytovatelé povinnost jednat v dobré víře a problém napravit, například prošetřením a odstraněním neautorizovaného obsahu.
Bezpečnost a systémová rizika
Pro poskytovatele pokročilých modelů, které mohou představovat systémové riziko, kodex zavádí přísnější rámec řízení rizik. Ten zahrnuje např.:
- průběžné hodnocení systémových rizik,
- stanovení „úrovní rizika“ a odpovídajících bezpečnostních opatření,
- externí audity bezpečnostních mechanismů nezávislými odborníky a
- kontinuální monitoring a aktualizaci modelu po jeho uvedení na trh.
Významným prvkem této oblasti jsou především zmíněné úrovně rizik. Poskytovatelé by totiž měli stanovit jasná kritéria pro různé úrovně systémového rizika a předem určit, jaká bezpečnostní opatření budou vyžadována, jakmile model dosáhne určité úrovně schopností.
Pro každý identifikovaný scénář rizika je pak poskytovatel povinen stanovit kritéria přijatelnosti rizika a zdokumentovat, jaká dodatečná opatření se aktivují, pokud model dosáhne vyšší úrovně rizika. Tento přístup umožňuje vývojářům zavést preventivní opatření (nebo v případě potřeby upustit od nasazení), pokud by schopnosti modelu překročily bezpečné meze. V případě, že dojde k závažnému incidentu, jsou poskytovatelé povinni informovat Úřad pro AI a příslušné vnitrostátní orgány bez zbytečného odkladu.
Praktické dopady pro poskytovatele
Kodex je sice dobrovolný, avšak přináší řadu výhod. Evropská komise sama uvedla, že pokud poskytovatelé dodržují schválený Kodex, bude to pro úřady zjednodušená cesta k prokázání souladu, neboť místo složitých auditů jednotlivých systémů se kontrola zaměří na plnění závazků právě z Kodexu. To může signatářům přinést předvídatelnější a méně administrativně náročný dohled.
Naopak společnosti, které Kodex nepodepíší, budou muset prokazovat soulad jinými cestami a mohou čelit přísnějším kontrolám. Dodržování Kodexu může být také zohledněno při posuzování výše případných sankcí za porušení Aktu o AI.
Závěr
Kodex zásad pro GPAI představuje významný krok směrem k odpovědnému a bezpečnému využívání umělé inteligence v Evropské unii. Ačkoli jde o dobrovolný nástroj, jeho přijetí poskytuje poskytovatelům nejen jasný rámec pro naplnění povinností podle Aktu o AI, ale i konkurenční výhodu v podobě vyšší důvěry a předvídatelnosti regulatorních procesů. S ohledem na dynamický vývoj v oblasti umělé inteligence lze očekávat, že tento kodex bude dále rozvíjen a stane se klíčovým referenčním bodem pro odpovědné poskytování a využívání obecných modelů AI.
