Kodeks GPAI ma charakter dobrowolny i stanowi ramy mające pomóc dostawcom modeli AI ogólnego przeznaczenia w spełnieniu kluczowych wymogów AI Act, szczególnie w zakresie bezpieczeństwa, przejrzystości, praw autorskich oraz zarządzania ryzykiem. Choć nie ma mocy prawnej, może stanowić praktyczne narzędzie – po zatwierdzeniu przez państwa członkowskie i Komisję Europejską – które oferuje pewność regulacyjną i zmniejsza obciążenia administracyjne w porównaniu z innymi sposobami wykazywania zgodności.

Ogólny przegląd Rozdziału 1 Kodeksu GPAI

Rozdział ten koncentruje się na przejrzystości i dokumentowaniu działań. Kodeks GPAI jest dobrowolnym zbiorem zasad mającym pomóc dostawcom modeli AI ogólnego przeznaczenia w spełnieniu wymogów wynikających z przepisów UE, zwłaszcza artykułów 53 i 55 AI Act. Jego głównym celem jest wspieranie AI zorientowanej na człowieka, godnej zaufania, chroniącej zdrowie, bezpieczeństwo i prawa podstawowe, przy jednoczesnym wspieraniu innowacyjności – zgodnie z art. 1 ust. 1 AI Act.

Najważniejsze środki obejmują:

1) przygotowanie i aktualizacja dokumentacji modelu: dostawcy muszą przygotować pełną dokumentację w momencie udostępnienia modelu i aktualizować ją przy każdej istotnej zmianie. Dokumentacja musi być przechowywana przez co najmniej 10 lat;

2) udostępnianie informacji interesariuszom: dostawcy mają obowiązek udostępniania danych kontaktowych, odpowiadania na żądania Urzędu ds. AI i użytkowników końcowych, przekazując dokumentację w ciągu 14 dni od oficjalnego wezwania. Część informacji może być publikowana dla zwiększenia przejrzystości. W razie potrzeby należy przekazać dodatkowe informacje umożliwiające zgodność dalszych użytkowników;

3) zapewnienie jakości, bezpieczeństwa i integralności dokumentacji: dokumentacja musi być odpowiednio kontrolowana, możliwa do śledzenia oraz zabezpieczona przed nieautoryzowanymi zmianami. Zaleca się zgodność ze standardami branżowymi i wdrażanie solidnych rozwiązań technicznych.

Ogólny przegląd Rozdziału 2 Kodeksu GPAI

Rozdział ten dotyczy przestrzegania praw autorskich i pokrewnych w procesie opracowywania i wykorzystywania modeli sztucznej inteligencji ogólnego przeznaczenia. Dostawcy modeli muszą wdrożyć jasną politykę poszanowania własności intelektualnej zarówno w odniesieniu do danych treningowych, jak i wyników działania modelu.

Zobowiązanie to opiera się na art. 53 ust. 1 lit. c AI Act, który wymaga od dostawców modeli GPAI przyjęcia polityki zapewniającej zgodność z prawem UE dotyczącym praw autorskich i pokrewnych – w szczególności w odniesieniu do zastrzeżeń praw wynikających z art. 4 ust. 3 dyrektywy (UE) 2019/790. Sygnatariusze muszą nie tylko opracować i wdrożyć taką politykę, ale także zweryfikować jej zgodność z krajowymi wdrożeniami unijnego prawa autorskiego przed rozpoczęciem jakiejkolwiek działalności istotnej z punktu widzenia praw autorskich.

Aby spełnić ten obowiązek, sygnatariusze zobowiązują się do wdrożenia pięciu środków:

1) przyjęcia i utrzymywania udokumentowanej polityki praw autorskich;

2) zapewnienia, że web-crawling obejmuje jedynie treści dostępne legalnie;

3) identyfikacji i poszanowania maszynowo odczytywalnych zastrzeżeń praw;

4) ograniczania ryzyka generowania wyników naruszających prawa autorskie poprzez odpowiednie zabezpieczenia i warunki korzystania;

5) ustanowienia punktu kontaktowego oraz mechanizmu składania skarg dla właścicieli praw.

Środki te mają na celu wspieranie zgodności z prawem przy jednoczesnym poszanowaniu istniejących umów licencyjnych i zachowaniu zasady proporcjonalności w zależności od typu dostawcy.

Ogólny przegląd Rozdziału 3 Kodeksu GPAI

Rozdział dotyczący bezpieczeństwa i ochrony koncentruje się na ciągłym, obejmującym cały cykl życia zarządzania modelami AI ogólnego przeznaczenia, które mogą generować ryzyko systemowe – definiowane jako szkody wynikające z zaawansowanych możliwości, które mogą rozprzestrzeniać się szeroko w obrębie rynku i społeczeństwa UE. Nadrzędnym celem jest ochrona zdrowia publicznego, bezpieczeństwa, praw podstawowych i instytucji demokratycznych poprzez zapewnienie, że takie modele nigdy nie zostaną wdrożone ani utrzymane bez odpowiednich środków ochronnych.

W tym celu dostawcy muszą ustanowić nowoczesne ramy bezpieczeństwa i ochrony, prowadzić iteracyjny proces identyfikacji ryzyka, analizy i akceptacji, wdrażać proporcjonalne środki bezpieczeństwa i ochrony, a także utrzymywać aktualne raporty dotyczące modeli oraz kanały zgłaszania incydentów.

Każde zobowiązanie jest osadzone w zestawie zasad przewodnich:

1) zasada odpowiedniego zarządzania cyklem życia (Appropriate Lifecycle Management): wymaga prowadzenia ciągłej oceny ryzyka – od fazy rozwoju po wykorzystanie modelu po wprowadzeniu go na rynek;

2) zasada proporcjonalności (Proportionality): zobowiązuje dostawców do dostosowania głębokości analizy i środków ograniczających ryzyko do jego potencjalnej powagi i prawdopodobieństwa;

3) kontekstowa ocena ryzyka (Contextual Risk Assessment): zobowiązuje do uwzględniania nie tylko samego modelu, lecz także jego integracji z szerszymi systemami oraz rzeczywistymi warunkami użytkowania;

4) integracja z obowiązującym prawem (Integration with Existing Laws): zapewnia zgodność z przepisami o poufności i ochronie sygnalistów;

5) zasady współpracy i innowacji (Principles of Cooperation and Innovation): zachęcają do opracowywania wspólnych metod oceny oraz rozwijania ukierunkowanych środków ograniczających ryzyko, które nie blokują korzystnych zastosowań technologii.