EU AI Act lietuviškai — kas tai, kada ir ką tau reikia daryti
Praktinis vadovas Lietuvos verslams ir viešam sektoriui apie Reglamentą (ES) 2024/1689. Be teisinės žargo — su konkrečiom rizikos klasėm, obligacijom, viešo pirkimo formuluotėm ir interaktyvia worksheet'a, kuri per 60s pasako į kurią kategoriją tavo AI patenka.
TL;DR
- EU AI Act yra rizika-paremtas reglamentas: AI klasifikuojamas į 4 kategorijas (Minimal / Limited / High / Unacceptable). Kuo aukštesnė rizika, tuo daugiau obligacijų.
- Dauguma chatbot'ų, content gen tools'ų, recommendation systems patenka į Limited risk — privalomas transparency disclosure, bet ne sudėtinga.
- High-risk sistemos (kreditas, įdarbinimas, švietimas, viešos paslaugos) — turi atitikti griežtus reikalavimus iki 2026-08-02.
- Bauda už non-compliance — iki €35M arba 7% globalios apyvartos (didesnė).
Pirma — pasitikrink savo sistemą
Pasitikrink savo AI sistemos rizikos klasę per 60s
Atsakyk Taip/Ne į 6 klausimus — pamatysi, į kurią EU AI Act kategoriją tavo sistema patenka, ir kokios obligacijos galioja.
Ar AI sistema vertina ar klasifikuoja žmones pagal jų elgesį, asmenybės bruožus ar socialinį statusą (social scoring)?
Pvz. „credit score" tipo sprendimai, viešojo sektoriaus reitingavimas
Ar atliekama realiu laiku biometrinė identifikacija viešose vietose teisėsaugos tikslais?
Live face recognition gatvėje, transporto stotelėse
Ar AI sistema priima sprendimus apie kreditą, švietimą, įdarbinimą, viešą paslaugą ar saugumo komponentą?
Loan approval, student admission, hiring, healthcare diagnosis, automotive safety
Ar sistema valdo kritinę infrastruktūrą (energija, transportas, vanduo)?
Ar sistema sąveikauja su žmonėmis (chatbot, voice agent, virtualus asistentas)?
Ar sistema generuoja ar reikšmingai manipuliuoja content'ą (tekstai, paveiksliukai, video, audio)?
Deepfakes, image generation, AI copywriting
Kada ką reikia padaryti
EU AI Act įsigalioja laipsniškai. Štai kritiniai datos.
EU AI Act įsigaliojo
Reglamentas oficialiai įsigaliojo 2024 m. rugpjūčio 1 d. Pradeda veikti laipsniškai.
Prohibicijos + AI literacy
Pradeda veikti 5 straipsnis (uždraustos AI praktikos) ir AI literacy obligacijos vadovams.
GPAI obligacijos
General Purpose AI (GPAI) modelių providers (OpenAI, Anthropic, Google) turi atitikti technical documentation, copyright, transparency reikalavimus.
High-risk AI sistemos
Pilnas high-risk AI sistemų reglamentavimas — risk management, conformity assessment, CE ženklas, post-market monitoring.
Pilnas reglamentavimas
AI sistemos jau esančios rinkoje turi atitikti visus reikalavimus.
GPAI obligacijos (General Purpose AI)
GPAI modeliai (OpenAI, Anthropic, Google ir kt.) turi specifines obligacijas pagal V antraštinę dalį. Jei naudoji jų API savo produkte — tu downstream developer'is, ir tau galioja kitokios taisyklės nei pačiam modelio provideriui.
Technical documentation
Modelio architektūra, training process, performance metrics, energy consumption, copyright compliance summary.
Copyright compliance
Public summary apie training data šaltinius. Privalomas opt-out mechanizmas content owner'iams (TDM rights reservation).
Transparency į downstream developers
Aiški dokumentacija apie modelio capabilities, limitations, intended use cases.
Systemic risk modeliams (>10^25 FLOPs)
Papildomos obligacijos: model evaluations, adversarial testing, incident reporting, cybersecurity protection. Tai liečia ~10 modelių globaliai (GPT-4o, Claude, Gemini Ultra).
Prohibicijos — kas absoliučiai draudžiama
5 straipsnis išvardija 8 AI praktikas, kurios negali būti tiekiamos, naudojamos ar parduodamos ES rinkoje. Pradeda veikti 2025-02-02.
Subliminal techniques
AI sistemos, kurios manipuliuoja žmogaus elgesį subliminaliom technikom su tikslu pakenkti.
Pažeidžiamų grupių išnaudojimas
Sistemos, išnaudojančios pažeidžiamumus dėl amžiaus, negalios ar socioekonominės situacijos.
Social scoring viešojo sektoriaus tikslams
Žmonių klasifikavimas pagal elgesį/savybes lemiantis discriminatory treatment'ą įvairiose situacijose.
Realtime remote biometric ID viešose vietose
Live face recognition gatvėje teisėsaugos tikslais (su siaurom išimtim teroristinių aktų prevencijai).
Emotion recognition darbe ir mokyklose
AI, kuris fiksuoja emocijas darbo vietoj ar mokyklose (su išimtim sveikatos/saugos tikslams).
Biometric categorization pagal sensitive attributes
Klasifikavimas pagal rasę, religiją, politines pažiūras naudojant biometriją.
Predictive policing tik pagal asmenybės bruožus
Nusikaltimo rizikos vertinimas remiantis tik psichologiniu profiliu.
Untargeted face recognition database scraping
Veidų duomenų bazių sudarymas iš interneto/CCTV be specifinio target'o.
Viešo sektoriaus pirkimas — paruošti contract clauses
Viešo sektoriaus organizacijos perkančios AI sistemas turi užtikrinti EU AI Act compliance per contract terms. Štai paruošti LT-kalbos formuluotės — tinka CPV pirkimo specifikacijai.
Tiekėjas patvirtina, kad siūloma AI sistema priklauso [Minimal / Limited / High] rizikos klasei pagal Reglamentą (ES) 2024/1689 (EU AI Act) ir pateikia rizikos klasifikacijos pagrindimą.
Tiekėjas pateikia AI sistemos techninę dokumentaciją pagal EU AI Act Annex IV reikalavimus, įskaitant training data šaltinius, performance metrics ir žinomus apribojimus.
AI sistema turi user interface elementus, leidžiančius kvalifikuotam operatoriui (a) suprasti sistemos rezultatus, (b) ignoruoti, override'inti ar reverse'inti AI sprendimą, (c) sustabdyti sistemą saugiai.
Tiekėjas teikia kvartalinius monitoring reports apie sistemos performance, incident logs, modelio drift ir bias evaluation rezultatus per visą sutarties laikotarpį.
Tiekėjas atskleidžia visus AI infrastruktūros subprocessor'ius (LLM providers, hosting, vector DBs) ir patvirtina jų EU AI Act + GDPR atitiktį.
Šios formuluotės — pradinis šablonas. Konkrečiam pirkimui rekomenduojam adaptuoti pagal organizacijos teisinį kontekstą.
Ką Corera padaro
Kuriam AI sprendimus, kurie atitinka EU AI Act nuo dienos vienos. Discovery skambučio metu apžvelgsim tavo use case'a, padarysim rizikos klasifikaciją, ir paruošime compliance roadmap'ą.
- AI sistemos design'as su built-in transparency, human oversight, audit trails
- Technical documentation (Annex IV) ir conformity assessment paruošimas
- Subprocessor due diligence (LLM providers, vector DBs, hosting)
- Post-market monitoring dashboards portale + quarterly reports