Grijze gebieden in de AI Act

De AI-verordening van de EU heeft een nieuwe regelgevende dimensie gecreëerd met de categorie AI-modellen voor algemeen gebruik (GPAI) (artikelen 51-56 van de AI-verordening), waarbij rekening wordt gehouden met het diverse gebruik van deze modellen.

Wanneer een AI-model als GPAI wordt beschouwd en welke nalevingsrisico’s daarbij horen

Wij danken de auteurs David Rappenglueck, Sara Kapur en Maximilian Vonthien en experts Phillip Heinzke en Björn Herbers van CMS en in het bijzonder Jana Schöneborn, Shokoofeh Ketabchi, Moritz von Negenborn, Jülide Bredée, Lars Bennek en Oliver Stuke, en Robert Keruger voor hun waardevolle bijdragen.

De AI-verordening van de EU heeft een nieuwe regelgevende dimensie gecreëerd met de categorie AI-modellen voor algemeen gebruik (GPAI) (artikelen 51-56 van de AI-verordening), waarbij rekening wordt gehouden met het diverse gebruik van deze modellen. Net als in het eerste artikel in deze serie brengt de brede toepasbaarheid van GPAI-modellen speciale nalevingsvereisten met zich mee. Het is juist hun veelzijdigheid die deze modellen zowel zeer krachtig als moeilijk te regelen maakt.

Een AI-model voor algemeen gebruik wordt in artikel 3, punt 63, van de AI-verordening van de EU gedefinieerd als:

“AI-model dat een aanzienlijke algemene bruikbaarheid heeft en in staat is om een breed scala aan verschillende taken competent uit te voeren, en dat kan worden geïntegreerd in een verscheidenheid aan downstream-systemen of applicaties.”

Deze definitie heeft doorgaans betrekking op multimodale modellen (bijv. tekst-, beeld- en audiomodellen) die niet zijn getraind voor een specifieke use case.

Sancties

Overtredingen van GPAI-verplichtingen kunnen bedrijven duur komen te staan: Ze kunnen resulteren in boetes tot 3% van de wereldwijde jaaromzet, of tot 15 miljoen euro, afhankelijk van welk bedrag hoger is. Wanneer wordt een model als GPAI beschouwd? De kritische drempels

De classificatie als GPAI-model hangt niet alleen af van de functionaliteit, maar ook van meetbare drempels – met name de gebruikte rekenkracht (compute) gemeten in FLOP’s (floating point operations) tijdens de training, de verscheidenheid aan mogelijke toepassingen en de multimodaliteit van de output.

De AI-wet definieert twee GPAI-categorieën:

• Standaard GPAI-modellen: Hier is een indicatiewaarde volgens de Gedragscode 10²³ FLOP’s
• GPAI-modellen met systeemrisico: drempel 10²⁵ FLOP’s

Met een classificatie als GPAI met systeemrisico zijn modellen onderworpen aan strengere verplichtingen op het gebied van transparantie en risicobeheer.

Grijs gebied: Rol vervaagt door finetuning

De roldefinitie, en de bijbehorende verplichtingen, is minder duidelijk voor modellen die door finetuning onafhankelijke GPAI-modellen worden.

De belangrijkste uitdaging is dat iedereen die GPAI-modellen wijzigt, integreert of implementeert, drempels en gebruiksscenario’s nauwkeurig moet evalueren. Als gevolg hiervan kan een bedrijf onbedoeld in de rol van leverancier vallen, met alle bijbehorende compliance-verplichtingen.

Een organisatie kwalificeert als GPAI-aanbieder wanneer aan alle drie onderstaande criteria wordt voldaan:

• Aanpassing boven de drempelwaarde: natraining met ten minste een derde van de oorspronkelijke rekenkracht. Een up-to-date EU-gids wordt hier concreter en stelt dat vanaf 3,33 × 10²² FLOP’s een nieuw model kan worden aangenomen.
• In de handel brengen: in de handel brengen voor commercieel of niet-commercieel gebruik
• Levering onder uw eigen naam: Het model wordt aangeboden onder de naam of het merk van het bedrijf

Voorbeeld 1 Finetuning leidt tot de leveranciersrol: Een bedrijf gebruikt een GPAI-model dat is getraind met 10²⁴ FLOPS en voert finetuning uit met 4 × 10²³ FLOPS. Aangezien dit overeenkomt met meer dan een derde van de oorspronkelijke berekening, wordt het bedrijf beschouwd als een aanbieder van een nieuw GPAI-model, met alle bijbehorende verplichtingen.

Voorbeeld 2 Drempel overschreden maar geen GPAI: Een bedrijf gebruikt een GPAI-model dat is getraind met 10²⁴ FLOPS en finetunt met 4 × 10²³ FLOPS. Er wordt slechts één modaliteit gebruikt, audio-naar-audio. Hoewel het model boven de drempel van een derde ligt, voldoet het niet aan de eisen voor een GPAI-model, omdat niet aan de voorwaarde van multimodaliteit wordt voldaan. Het bedrijf valt daarom niet onder de verplichtingen die horen bij de rol van een GPAI-aanbieder. Toch is het raadzaam om het model en het gebruik ervan te monitoren en om eventuele finetuning te documenteren om te kunnen voldoen aan de eisen van een rol die in de toekomst kan veranderen. 

Deze regelgeving laat ruimte voor interpretatie en de daarmee gepaard gaande onzekerheden: veel bedrijven voeren aanpassingen door zonder de rekendrempels te documenteren of te controleren. Het risico van een latere herclassificatie en de bijbehorende documentatie is aanzienlijk.

Uitzondering: Puur intern gebruik

Uit overweging 97 van de AI-verordening kan worden afgeleid dat GPAI-modellen die uitsluitend voor interne doeleinden worden ontwikkeld en gebruikt, niet onderworpen zijn aan de verplichtingen van de aanbieder. Deze uitzondering zal echter waarschijnlijk strikt worden geïnterpreteerd:

• Het model mag niet op de markt worden aangeboden.
• Het mag niet worden opgenomen in producten of diensten die aan derden ter beschikking worden gesteld.
• De rechten van natuurlijke personen mogen niet worden aangetast.
• De vrijstelling is niet van toepassing op GPAI-modellen met systeemrisico.

Aanbevelingen voor actie, hoe bedrijven naleving garanderen:

• Inventarisatie van de gebruikte en gewijzigde modellen om op elk moment informatie te kunnen verstrekken.
• Documentatie van eventuele wijzigingen, inclusief herbeoordeling als gedefinieerde drempels worden overschreden. Dit moet zowel op organisatorisch als technisch niveau worden gedaan om de hoge kosten van latere documentatie te vermijden.
• Zorg voor duidelijkheid over de rol volgens de AI-wet per AI-systeem en/of -model, alleen zo kan proactief worden voldaan aan de bijbehorende verplichtingen.

Conclusie en vooruitzichten: Handel nu, doe er later voordeel van en positioneer uzelf als een betrouwbare partner binnen het AI-ecosysteem

De grijze gebieden in de AI Act rondom GPAI-modellen vormen flinke uitdagingen voor bedrijven. De drempels voor rekenkracht, de 1/3-regel voor wijzigingen en de risico’s die gepaard gaan met integratie in downstream-systemen vereisen nauwkeurig nalevingsbeheer en vroege planning. Wie de GPAI-regelgeving proactief aanpakt, vermijdt niet alleen risico’s, maar positioneert zich ook als een verantwoordelijke innovator en veerkrachtige samenwerkingspartner binnen een steeds complexer wordend AI-ecosysteem.