아래 해커뉴스 댓글에 나온 Latham & Watkins의 EU AI Act 첫번째 드래프트 설명

European Commission Releases First Draft of General-Purpose AI Code of Practice

• EU AI Act는 2024년 8월 1일 발효되었으며, 관련 의무 사항은 단계적으로 시행될 예정임
• 집행위원회 산하 AI Office는 실천 강령 마련을 주도하며, 2025년 5월까지 준비 후 8월 2일부터 발효될 계획임
• 2024년 11월 14일, EC는 범용 AI 실천 강령 초안을 처음 발표함
• 초안은 EU 원칙 및 가치에 맞춘 명확한 목표, 조치, 핵심성과지표(KPI)를 제시함

EU AI Act 초안의 주요 내용

투명성

• 투명성은 실천 강령의 핵심 원칙임
• GPAI 모델 제공자는 다음 정보를 문서화하고 유지해야 함
  • 모델 자체에 대한 정보
  • 통합 가능한 AI 시스템 유형 및 용도
  • 허용된 사용 정책
  • 모델 라이선스의 핵심 요소
  • 설계 명세 및 학습 과정
  • 테스트 및 검증 방식
• 위 정보는 AI Office와 국가 기관, 또는 AI 시스템 제공자에 요청 시 제공해야 함
• 가능하면 대중에게 정보 공개도 권장함

저작권 준수

• EU 저작권 및 관련 권리 준수가 강조됨
• GPAI 모델 제공자는 전체 수명주기 동안 포괄적 내부 저작권 정책을 수립해야 함
• 타사와 데이터셋 계약 전 저작권 실사 및 Article 4(3) 권리 보유자 준수 확인 필요
• SME를 제외한 GPAI 제공자는 모델이 저작권 침해 산출물을 생성하지 않도록 합리적 예방 조치 필요
• 모델 제공 시, 상대방이 반복적 저작권 침해 방지 조치를 약속하도록 계약 조건화 권장함

Text and Data Mining(TDM)

• TDM을 수행할 때, 저작권 보호 콘텐츠에 합법적 접근 권한 확보 의무
• Robot Exclusion Protocol을 준수하는 크롤러만 사용
• 크롤러 제외가 검색엔진 내 콘텐츠 검색성에 부정적 영향 미치지 않도록 주의
• 기계판독 가능한 권리 보유 표시에 적극 대응
• 권리 보유 표준 개발에 협력
• 불법 복제 소스의 크롤링을 방지하기 위한 합리적 조치 필요

저작권 준수 투명성

• 저작권 관련 조치 및 권리 보유 준수 사항 공개 의무
• 권리 보유자가 이의제기할 수 있는 단일 연락 창구 제공 필요
• 학습·테스트·검증 데이터 소스와 접근 권한 정보를 AI Office에 제공해야 함

시스템 리스크 분류

• GPAI 제공자는 시스템 리스크 분류 체계를 기반으로 리스크를 지속 평가·대응해야 함
• 주요 리스크 항목:
  • 사이버 범죄
  • 화학·생물·방사능·핵 위험
  • 모델 통제력 상실
  • AI 연구·개발 목적 자동화
  • 대규모 설득·조작
  • 대규모 차별

시스템 리스크 관리 프레임워크

• 시스템 리스크가 확인된 GPAI 모델 제공자는 안전 및 보안 프레임워크를 구축해야 함
• 투명성·책임성 강화를 위한 문서화와 거버넌스 구조(독립적 전문가 평가 포함) 필요
• 사고 보고, 내부고발 보호, 공공 투명성 조치 등도 명시