EU AI Act GPAI rules actually कब enforceable बनते हैं?

EU AI Act के Chapter V के तहत general-purpose AI model providers के लिए substantive obligations 2 अगस्त 2025 को application में entered हुए। हालांकि, European Commission की enforcement powers, information request करने, evaluations conduct करने, corrective measures order करने, और Article 101 के तहत fines impose करने की authority सहित, केवल 2 अगस्त 2026 को exercisable बनती हैं। 2 अगस्त 2025 से पहले market पर placed GPAI models के Providers के पास एक longer compliance runway है और उन्हें 2 अगस्त 2027 तक conformity में लाया जाना चाहिए।

GPAI models के लिए systemic-risk threshold क्या है?

EU AI Act के Article 51(2) के तहत, एक general-purpose AI model को high-impact capabilities रखने का presumed किया जाता है, और इसलिए systemic risk pose करते हुए, जब इसकी training के लिए used cumulative compute 10^25 floating-point operations (FLOPs) से exceed करे। Presumption rebuttable है: threshold से ऊपर एक provider Article 52(2) के तहत substantiated arguments submit कर सकता है कि model actually systemic risk pose नहीं करता। Commission threshold से नीचे के models को भी designate कर सकता है और state of the art evolve होने पर delegated act के माध्यम से threshold खुद को update कर सकता है।

क्या मुझे GPAI Code of Practice sign करना चाहिए?

नहीं। Code of Practice, 10 जुलाई 2025 को published, voluntary है। इसे sign करना relevant Article 53 और (systemic-risk providers के लिए) Article 55 obligations के साथ conformity का एक presumption grant करता है, जो AI Office assessments के दौरान administrative friction कम करता है। 2025 के mid तक, 26 organisations ने sign किया था, जिनमें Anthropic, Google, Microsoft, और OpenAI शामिल हैं। Meta ने sign करने से inकार किया। Non-signatories को alternative adequate means के through compliance demonstrate करनी होगी और Article 101 enforcement शुरू होने पर closer scrutiny expect कर सकते हैं।

← News

ANNOUNCEMENT · 2026-05-07

EU AI Act: अगस्त 2026 GPAI Enforcement Powers Live होते हैं

2 अगस्त 2026 को, European Commission का AI Office general-purpose AI (GPAI) model providers पर full enforcement powers gain करता है, जिसमें global turnover का 3% या EUR 15 million तक fines शामिल हैं। Pre-2025 models को comply करने के लिए 2 अगस्त 2027 तक है।

2 अगस्त 2026 का milestone actually क्या unlock करता है

GPAI obligations खुद **2 अगस्त 2025** को application में entered हुईं, लेकिन providers को European Commission के supervision और enforcement exercise करना शुरू करने से पहले एक one-year adjustment window दिया गया था। वो window **2 अगस्त 2026** को close होती है, जब AI Office के Chapter V के तहत enforcement powers effect में आते हैं।

*यह article general guidance है, legal advice नहीं। Compliance decisions के लिए qualified EU counsel से consult करें।*

उस date से, AI Office formally documentation और information request कर सकता है, model evaluations conduct कर सकता है, compliance measures demand कर सकता है (risk mitigation, market restriction, recall, या withdrawal सहित), और Regulation के **Article 101** के तहत fines impose कर सकता है। GPAI providers के लिए maximum penalties intentional या negligent infringements के लिए **global annual turnover का 3% या EUR 15 million, जो भी higher हो, तक** हैं। EUR 35 million या 7% of turnover तक का narrower Article 99 tier prohibited AI practices पर applies होता है, GPAI obligations पर नहीं। इसलिए 2 अगस्त 2026 एक नई obligation date नहीं है; यह वो date है जब existing obligations directly Commission द्वारा enforceable बन जाती हैं।

GPAI provider के रूप में कौन count होता है (और systemic-risk threshold)

एक general-purpose AI model को broad data पर trained, significant generality display करते, और regardless कि यह market पर कैसे placed है, distinct tasks की एक wide range competently perform करने में capable एक model के रूप में defined किया गया है। Provider वो entity है जो model develop करती है या develop करवाती है और उसे अपने own name या trademark के तहत EU market पर place करती है।

एक second, narrower category, **systemic risk के साथ GPAI models**, Articles 55 और 56 की heavier obligations trigger करती है। **Article 51** के तहत, एक model को high-impact capabilities रखने का presumed किया जाता है जब training के लिए used cumulative compute **10^25 floating-point operations (FLOPs)** से exceed करे। यह एक rebuttable presumption है: Article 52(2) के तहत, threshold से ऊपर एक provider substantiated arguments submit कर सकता है कि model actually systemic risk present नहीं करता, और Commission threshold से नीचे के models को अन्य criteria के आधार पर भी designate कर सकता है। Commission delegated act द्वारा threshold update कर सकता है।

Critically, Commission की July 2025 guidelines ने clarify किया कि **एक downstream actor नया GPAI provider बन जाता है जब modification के लिए used training compute original training compute के one-third से exceed करे**। Minor fine-tuning role flip नहीं करता; large-scale continued pretraining करता है।

Transparency, copyright, और downstream documentation duties

Systemic-risk status के regardless, सभी GPAI providers **Article 53** के तहत चार baseline duties owe करते हैं:

1. **Technical documentation (Annex XI)** model के design, training process, datasets, energy consumption, intended tasks, architecture, और licensing का describe करते हुए, maintained और request पर AI Office के लिए available बनाया गया। 2. **Downstream documentation (Annex XII)** integrators को model की capabilities और limitations, intended uses, और integration constraints understand करने के लिए ज़रूरी information providing करना। 3. **Copyright policy** EU copyright law के साथ consistent, Directive 2019/790 text-and-data-mining opt-outs सहित। इसका मतलब है web crawling के दौरान machine-readable rights reservations (जैसे robots.txt) को respect करना और lawfully inaccessible sources avoid करना। 4. **Public training-content summary** AI Office के mandatory template के following, इतना broad कि rights-holders और public समझ सकें कि content की कौन सी categories use हुईं।

Fully free और open-source models जो systemic risk present नहीं करते उन्हें duties 1 और 2 से exempt किया गया है लेकिन copyright policy या public training summary से **नहीं**।

Pre-2025 model grace deadlines

Regulation 2 अगस्त 2025 के बाद market पर placed models (जिन्हें day one से compliant होना था) और **2 अगस्त 2025 से पहले market पर placed legacy models** के बीच distinguish करता है, जिनके पास documentation और policies को line में लाने के लिए **2 अगस्त 2027** तक है।

यह grace period दो ways में narrow है। पहला, यह post-August 2025 models के against enforcement delay नहीं करता, जिन्हें AI Office अपनी powers August 2026 में activate होने के बाद immediately pursue कर सकता है। दूसरा, यह *model* पर applies है जैसा कि वो cutover से पहले existed था। Substantial post-cutoff modification, particularly कोई भी retraining जो ऊपर described one-third compute trigger को exceed करे, एक legacy model को post-2025 regime में pull कर सकती है और clock reset कर सकती है।

Legacy window पर rely करने वाले Providers को अभी भी 2025-2027 के दौरान AI Office से informal engagement expect करनी चाहिए। Commission ने signal किया है कि adjustment period के दौरान good-faith collaboration इस बात में एक factor है कि Article 101 available होने के बाद enforcement discretion कैसे exercised होगा।

GPAI Code of Practice: opt-in benefits और risks

**General-Purpose AI Code of Practice**, **10 जुलाई 2025** को published, एक voluntary instrument है जो independent experts द्वारा एक multi-stakeholder process के through drafted है। इसके तीन chapters हैं: **Transparency** और **Copyright** सभी GPAI providers पर apply होते हैं; **Safety and Security** केवल systemic-risk providers पर apply होता है।

Code sign करना corresponding AI Act obligations के साथ **conformity का एक presumption** grant करता है: signatories assessments में एक lighter administrative burden और greater legal certainty से benefit करते हैं। 2025 के mid तक, **26 organisations** ने sign किया था, जिनमें Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI, और OpenAI शामिल हैं। **Meta ने sign करने से inकार किया।** xAI ने केवल Safety and Security chapter sign किया, जिसका मतलब है कि उसे transparency और copyright compliance को AI Office assessment के subject alternative means के through demonstrate करना होगा।

Risk side real है। Signatories standardised Model Documentation Form, designated copyright contact points, और ongoing reporting cadence जैसे structured commitments accept करते हैं। Non-signatories कोई extra obligations carry नहीं करते, लेकिन वे conformity presumption भी lose करते हैं और जब Commission August 2026 में Article 101 powers exercise करना शुरू करे तो closer scrutiny face कर सकते हैं।

Downstream deployers के लिए Practical compliance checklist

एक compliant GPAI model का use downstream obligations discharge **नहीं** करता। एक GPAI model पर built AI *systems* के Providers अपनी own duties carry करते हैं, particularly यदि resulting system Annex I या III के तहत high-risk हो, या यदि Article 50 transparency obligations apply हों (उदाहरण के लिए, chatbots, deepfakes, या emotion-recognition systems पर)।

एक realistic deployer checklist:

हर GPAI model से जिसे आप integrate करते हैं **Annex XII information package request और archive करें**; upstream provider की Chapter V compliance position verify करें।
यह determine करने के लिए कि आपका system high-risk है, **Annex III के against intended use cases map करें**; यदि हां, तो Chapter III के तहत conformity assessment evidence prepare करें।
**Upstream model card और limitations को अपनी own technical documentation**, risk assessment, और post-market monitoring plan में incorporate करें।
जहां generative या interactive outputs user-facing हों **Article 50 transparency notices implement करें**।
system risk के proportionate **audit logs और human-oversight controls maintain करें**; Article 4 के तहत AI literacy obligations February 2025 से applied हैं।

Deployer obligations model provider की status से independent हैं, इसलिए एक incomplete या vague upstream model card escalate करने के लिए *आपकी* problem है, अपनी own documentation delay करने का एक reason नहीं।

Self-hosted और BYOK paths audit trail को क्यों simplify करते हैं

Deployer duties presuppose करती हैं कि आप दो questions on demand answer कर सकते हैं: *कौन से model ने यह output किस configuration के तहत और किसकी infrastructure पर produce किया*, और *वहां पहुंचने के लिए आपके environment से क्या data निकला*। Shared multi-tenant inference endpoints दोनों questions को harder बनाते हैं, क्योंकि logging, retention, और routing surface एक third party द्वारा owned है जिसकी disclosures आपके Annex XII package से match कर भी सकती हैं और नहीं भी।

Self-hosted inference और bring-your-own-key (BYOK) deployment patterns surface को एक useful तरीके से narrow करते हैं। जब model उस infrastructure में run करे जिसे आप control करते हैं, आप inference logs, data residency posture, और वो audit trail own करते हैं जिसे एक enforcement request अंततः ask करेगी। जब BYOK calls को आपके tenant से upstream provider को directly आपकी contractual terms के तहत route करे, तो metadata path end-to-end auditable है। इस pattern के around designed Platforms, जैसे **osFoundry**, audit logs, data residency controls, और privacy-first defaults को orchestration layer का हिस्सा treat करते हैं, add-ons के बजाय।

इसमें से कुछ भी upstream provider पर substantive Article 53 obligations को substitute नहीं करता, लेकिन यह materially evidence chain को shorten करता है जिसे आपको assemble करना होगा जब regulators ask करें।

Frequently asked questions

EU AI Act GPAI rules actually कब enforceable बनते हैं?: EU AI Act के Chapter V के तहत general-purpose AI model providers के लिए substantive obligations 2 अगस्त 2025 को application में entered हुए। हालांकि, European Commission की enforcement powers, information request करने, evaluations conduct करने, corrective measures order करने, और Article 101 के तहत fines impose करने की authority सहित, केवल 2 अगस्त 2026 को exercisable बनती हैं। 2 अगस्त 2025 से पहले market पर placed GPAI models के Providers के पास एक longer compliance runway है और उन्हें 2 अगस्त 2027 तक conformity में लाया जाना चाहिए।
GPAI models के लिए systemic-risk threshold क्या है?: EU AI Act के Article 51(2) के तहत, एक general-purpose AI model को high-impact capabilities रखने का presumed किया जाता है, और इसलिए systemic risk pose करते हुए, जब इसकी training के लिए used cumulative compute 10^25 floating-point operations (FLOPs) से exceed करे। Presumption rebuttable है: threshold से ऊपर एक provider Article 52(2) के तहत substantiated arguments submit कर सकता है कि model actually systemic risk pose नहीं करता। Commission threshold से नीचे के models को भी designate कर सकता है और state of the art evolve होने पर delegated act के माध्यम से threshold खुद को update कर सकता है।
क्या मुझे GPAI Code of Practice sign करना चाहिए?: नहीं। Code of Practice, 10 जुलाई 2025 को published, voluntary है। इसे sign करना relevant Article 53 और (systemic-risk providers के लिए) Article 55 obligations के साथ conformity का एक presumption grant करता है, जो AI Office assessments के दौरान administrative friction कम करता है। 2025 के mid तक, 26 organisations ने sign किया था, जिनमें Anthropic, Google, Microsoft, और OpenAI शामिल हैं। Meta ने sign करने से inकार किया। Non-signatories को alternative adequate means के through compliance demonstrate करनी होगी और Article 101 enforcement शुरू होने पर closer scrutiny expect कर सकते हैं।
GPAI non-compliance के लिए maximum fines क्या हैं?: EU AI Act के Article 101 के तहत, European Commission GPAI model providers को GPAI obligations के intentional या negligent infringements या requested information provide करने की failures के लिए उनके global annual turnover का 3% या EUR 15 million, जो भी higher हो, तक fine कर सकता है। यह broader Article 99 tiers से अलग बैठता है, जिसमें prohibited AI practices के लिए EUR 35 million या 7% of turnover तक शामिल है। SMEs और start-ups percentage या absolute amount में से lower पर capped हैं।