Kapan aturan GPAI EU AI Act sebenarnya dapat ditegakkan?

Kewajiban substantif untuk penyedia model general-purpose AI di bawah Chapter V EU AI Act masuk ke aplikasi pada 2 Agustus 2025. Namun, kewenangan penegakan Komisi Eropa, termasuk kewenangan untuk meminta informasi, melakukan evaluasi, memerintahkan tindakan korektif, dan mengenakan denda di bawah Article 101, hanya dapat dilaksanakan pada 2 Agustus 2026. Penyedia model GPAI yang ditempatkan di pasar sebelum 2 Agustus 2025 memiliki runway kepatuhan yang lebih panjang dan harus dibawa ke kesesuaian pada 2 Agustus 2027.

Apa threshold systemic-risk untuk model GPAI?

Di bawah Article 51(2) EU AI Act, model general-purpose AI dianggap memiliki kapabilitas high-impact, dan oleh karena itu menimbulkan systemic risk, ketika compute kumulatif yang digunakan untuk training-nya melebihi 10^25 floating-point operation (FLOPs). Praduga dapat dibantah: penyedia di atas threshold dapat mengajukan argumen yang berdalil di bawah Article 52(2) bahwa model sebenarnya tidak menimbulkan systemic risk. Komisi juga dapat menunjuk model di bawah threshold dan dapat memperbarui threshold itu sendiri via delegated act seiring state of the art berkembang.

Apakah saya perlu menandatangani GPAI Code of Practice?

Tidak. Code of Practice, diterbitkan pada 10 Juli 2025, bersifat sukarela. Menandatanganinya memberikan praduga kesesuaian dengan kewajiban Article 53 dan (untuk penyedia systemic-risk) Article 55 yang relevan, yang mengurangi friksi administratif selama asesmen AI Office. Per pertengahan 2025, 26 organisasi telah menandatangani, termasuk Anthropic, Google, Microsoft, dan OpenAI. Meta menolak untuk menandatangani. Non-signatory harus menunjukkan kepatuhan melalui sarana memadai alternatif dan dapat mengharapkan scrutiny lebih dekat ketika penegakan Article 101 dimulai.

Apa denda maksimum untuk ketidakpatuhan GPAI?

Di bawah Article 101 EU AI Act, Komisi Eropa dapat mendenda penyedia model GPAI hingga 3% dari turnover global tahunan mereka atau EUR 15 juta, mana yang lebih tinggi, untuk pelanggaran yang disengaja atau lalai dari kewajiban GPAI atau untuk kegagalan menyediakan informasi yang diminta. Ini duduk terpisah dari tier Article 99 yang lebih luas, yang termasuk hingga EUR 35 juta atau 7% dari turnover untuk praktek AI yang dilarang. UKM dan start-up dibatasi pada yang lebih rendah dari persentase atau jumlah absolut.

← News

ANNOUNCEMENT · 2026-05-07

EU AI Act: Kewenangan Penegakan GPAI Aktif Agustus 2026

Pada 2 Agustus 2026, AI Office Komisi Eropa memperoleh kewenangan penegakan penuh atas penyedia model general-purpose AI (GPAI), termasuk denda hingga 3% dari turnover global atau EUR 15 juta. Model pra-2025 memiliki waktu hingga 2 Agustus 2027 untuk patuh.

Apa yang sebenarnya dibuka milestone 2 Agustus 2026

Kewajiban GPAI itu sendiri masuk ke aplikasi pada **2 Agustus 2025**, tetapi penyedia diberi jendela penyesuaian satu tahun sebelum Komisi Eropa dapat mulai melaksanakan supervisi dan penegakan. Jendela itu menutup pada **2 Agustus 2026**, ketika kewenangan penegakan AI Office di bawah Chapter V berlaku.

*Artikel ini adalah panduan umum, bukan saran hukum. Konsultasikan dengan penasihat hukum EU yang berkualifikasi untuk keputusan kepatuhan.*

Sejak tanggal tersebut, AI Office dapat secara formal meminta dokumentasi dan informasi, melakukan evaluasi model, menuntut tindakan kepatuhan (termasuk mitigasi risiko, pembatasan pasar, recall, atau penarikan), dan mengenakan denda di bawah **Article 101** Regulation. Penalti maksimum untuk penyedia GPAI adalah **hingga 3% dari turnover global tahunan atau EUR 15 juta, mana yang lebih tinggi**, untuk pelanggaran yang disengaja atau lalai. Tier Article 99 yang lebih sempit hingga EUR 35 juta atau 7% dari turnover berlaku untuk praktek AI yang dilarang, bukan kewajiban GPAI. 2 Agustus 2026 oleh karena itu bukan tanggal kewajiban baru; itu adalah tanggal di mana kewajiban yang ada menjadi dapat langsung ditegakkan oleh Komisi.

Siapa yang dihitung sebagai penyedia GPAI (dan threshold systemic-risk)

Model general-purpose AI didefinisikan sebagai model yang dilatih pada data luas, menampilkan generalitas signifikan, dan mampu secara kompeten melakukan berbagai tugas berbeda terlepas dari bagaimana ditempatkan di pasar. Penyedia adalah entitas yang mengembangkan atau memiliki model dikembangkan dan menempatkannya di pasar EU di bawah nama atau trademark-nya sendiri.

Kategori kedua yang lebih sempit, **model GPAI dengan systemic risk**, memicu kewajiban yang lebih berat dari Article 55 dan 56. Di bawah **Article 51**, model dianggap memiliki kapabilitas high-impact ketika compute kumulatif yang digunakan untuk training melebihi **10^25 floating-point operation (FLOPs)**. Ini adalah praduga yang dapat dibantah: di bawah Article 52(2), penyedia di atas threshold dapat mengajukan argumen yang berdalil bahwa model sebenarnya tidak menghadirkan systemic risk, dan Komisi juga dapat menunjuk model di bawah threshold berdasarkan kriteria lain. Komisi dapat memperbarui threshold dengan delegated act.

Krusial, panduan Komisi Juli 2025 mengklarifikasi bahwa **aktor downstream menjadi penyedia GPAI baru ketika compute training yang digunakan untuk modifikasi melebihi sepertiga dari compute training asli**. Fine-tuning minor tidak membalik role; pre-training berkelanjutan berskala besar dapat.

Tugas transparansi, hak cipta, dan dokumentasi downstream

Semua penyedia GPAI, terlepas dari status systemic-risk, berutang empat tugas baseline di bawah **Article 53**:

1. **Dokumentasi teknis (Annex XI)** yang menjelaskan desain model, proses training, dataset, konsumsi energi, tugas yang dimaksudkan, arsitektur, dan lisensi, dipelihara dan tersedia untuk AI Office atas permintaan. 2. **Dokumentasi downstream (Annex XII)** yang memberikan integrator informasi yang dibutuhkan untuk memahami kapabilitas dan batasan model, penggunaan yang dimaksudkan, dan kendala integrasi. 3. **Kebijakan hak cipta** konsisten dengan hukum hak cipta EU, termasuk opt-out text-and-data-mining Directive 2019/790. Ini berarti menghormati reservasi hak yang dapat dibaca mesin (seperti robots.txt) selama web crawling dan menghindari sumber yang tidak dapat diakses secara hukum. 4. **Ringkasan konten training publik** mengikuti template wajib AI Office, cukup luas untuk membiarkan pemegang hak dan publik memahami kategori konten apa yang digunakan.

Model free dan open-source sepenuhnya yang tidak menghadirkan systemic risk dikecualikan dari tugas 1 dan 2 tetapi **tidak** dari kebijakan hak cipta atau ringkasan training publik.

Deadline grace model pra-2025

Regulation membedakan antara model yang ditempatkan di pasar setelah 2 Agustus 2025 (yang harus patuh sejak hari pertama) dan **model legacy yang ditempatkan di pasar sebelum 2 Agustus 2025**, yang memiliki waktu hingga **2 Agustus 2027** untuk membawa dokumentasi dan kebijakan ke dalam garis.

Periode grace ini sempit dalam dua cara. Pertama, tidak menunda penegakan terhadap model pasca-Agustus 2025, yang AI Office dapat kejar segera setelah kewenangannya aktif pada Agustus 2026. Kedua, berlaku untuk *model* sebagaimana adanya sebelum cutover. Modifikasi pasca-cutoff yang substansial, terutama re-training apa pun yang melebihi trigger sepertiga compute yang dijelaskan di atas, dapat menarik model legacy ke regime pasca-2025 dan mereset jam.

Penyedia yang mengandalkan jendela legacy tetap harus mengharapkan keterlibatan informal dari AI Office selama 2025-2027. Komisi telah menyinyalkan bahwa kolaborasi itikad baik selama periode penyesuaian adalah faktor dalam bagaimana diskresi penegakan akan dilaksanakan setelah Article 101 menjadi tersedia.

Code of Practice GPAI: manfaat dan risiko opt-in

**General-Purpose AI Code of Practice**, diterbitkan pada **10 Juli 2025**, adalah instrumen sukarela yang disusun oleh pakar independen melalui proses multi-stakeholder. Memiliki tiga chapter: **Transparency** dan **Copyright** berlaku untuk semua penyedia GPAI; **Safety and Security** berlaku hanya untuk penyedia systemic-risk.

Menandatangani Code memberikan **praduga kesesuaian** dengan kewajiban AI Act yang berkorespondensi: signatory mendapat manfaat dari beban administratif yang lebih ringan dalam asesmen dan kepastian hukum yang lebih besar. Per pertengahan 2025, **26 organisasi** telah menandatangani, termasuk Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI, dan OpenAI. **Meta menolak untuk menandatangani.** xAI menandatangani hanya chapter Safety and Security, yang berarti harus menunjukkan kepatuhan transparansi dan hak cipta melalui sarana alternatif yang tunduk pada asesmen AI Office.

Sisi risiko nyata. Signatory menerima komitmen terstruktur seperti Model Documentation Form yang distandardisasi, contact point hak cipta yang ditunjuk, dan cadence pelaporan berkelanjutan. Non-signatory tidak membawa kewajiban tambahan, tetapi mereka juga kehilangan praduga kesesuaian dan dapat menghadapi scrutiny lebih dekat ketika Komisi mulai melaksanakan kewenangan Article 101 pada Agustus 2026.

Checklist kepatuhan praktis untuk deployer downstream

Menggunakan model GPAI yang patuh **tidak** menghapus kewajiban downstream. Penyedia *sistem* AI yang dibangun pada model GPAI membawa tugas mereka sendiri, terutama jika sistem yang dihasilkan adalah high-risk di bawah Annex I atau III, atau jika kewajiban transparansi Article 50 berlaku (misalnya, untuk chatbot, deepfake, atau sistem emotion-recognition).

Checklist deployer realistis:

**Minta dan arsipkan paket informasi Annex XII** dari setiap model GPAI yang Anda integrasikan; verifikasi posisi kepatuhan Chapter V penyedia upstream.
**Petakan use case yang dimaksudkan terhadap Annex III** untuk menentukan apakah sistem Anda high-risk; jika ya, siapkan bukti asesmen kesesuaian di bawah Chapter III.
**Gabungkan model card upstream dan batasan ke dalam dokumentasi teknis Anda sendiri**, asesmen risiko, dan rencana monitoring pasca-pasar.
**Implementasi notifikasi transparansi Article 50** di mana output generatif atau interaktif menghadap pengguna.
**Pertahankan log audit dan kontrol pengawasan manusia** proporsional terhadap risiko sistem; kewajiban literasi AI di bawah Article 4 telah berlaku sejak Februari 2025.

Kewajiban deployer independen dari status penyedia model, jadi model card upstream yang tidak lengkap atau samar adalah *masalah Anda* untuk dieskalasi, bukan alasan untuk menunda dokumentasi Anda sendiri.

Mengapa jalur self-hosted dan BYOK menyederhanakan audit trail

Tugas deployer mengandaikan bahwa Anda dapat menjawab dua pertanyaan atas permintaan: *model mana yang menghasilkan output ini, di bawah konfigurasi apa, dan pada infrastruktur siapa*, dan *data apa yang meninggalkan lingkungan Anda untuk mencapainya*. Endpoint inferensi multi-tenant bersama membuat kedua pertanyaan lebih sulit, karena permukaan logging, retensi, dan routing dimiliki oleh pihak ketiga yang disclosure-nya mungkin atau mungkin tidak cocok dengan paket Annex XII Anda.

Inferensi self-hosted dan pola deployment bring-your-own-key (BYOK) mempersempit permukaan dengan cara yang berguna. Ketika model berjalan di infrastruktur yang Anda kontrol, Anda memiliki log inferensi, postur data residency, dan audit trail yang akhirnya akan ditanyakan permintaan penegakan. Ketika BYOK merutekan panggilan langsung dari tenant Anda ke penyedia upstream di bawah syarat kontraktual Anda, jalur metadata dapat diaudit end-to-end. Platform yang dirancang di sekitar pola ini, seperti **osFoundry**, memperlakukan log audit, kontrol data residency, dan default privacy-first sebagai bagian dari lapisan orkestrasi alih-alih sebagai add-on.

Tidak ada dari ini yang menggantikan kewajiban Article 53 substantif pada penyedia upstream, tetapi secara material mempersingkat rantai bukti yang harus Anda susun ketika regulator bertanya.

Frequently asked questions

Kapan aturan GPAI EU AI Act sebenarnya dapat ditegakkan?: Kewajiban substantif untuk penyedia model general-purpose AI di bawah Chapter V EU AI Act masuk ke aplikasi pada 2 Agustus 2025. Namun, kewenangan penegakan Komisi Eropa, termasuk kewenangan untuk meminta informasi, melakukan evaluasi, memerintahkan tindakan korektif, dan mengenakan denda di bawah Article 101, hanya dapat dilaksanakan pada 2 Agustus 2026. Penyedia model GPAI yang ditempatkan di pasar sebelum 2 Agustus 2025 memiliki runway kepatuhan yang lebih panjang dan harus dibawa ke kesesuaian pada 2 Agustus 2027.
Apa threshold systemic-risk untuk model GPAI?: Di bawah Article 51(2) EU AI Act, model general-purpose AI dianggap memiliki kapabilitas high-impact, dan oleh karena itu menimbulkan systemic risk, ketika compute kumulatif yang digunakan untuk training-nya melebihi 10^25 floating-point operation (FLOPs). Praduga dapat dibantah: penyedia di atas threshold dapat mengajukan argumen yang berdalil di bawah Article 52(2) bahwa model sebenarnya tidak menimbulkan systemic risk. Komisi juga dapat menunjuk model di bawah threshold dan dapat memperbarui threshold itu sendiri via delegated act seiring state of the art berkembang.
Apakah saya perlu menandatangani GPAI Code of Practice?: Tidak. Code of Practice, diterbitkan pada 10 Juli 2025, bersifat sukarela. Menandatanganinya memberikan praduga kesesuaian dengan kewajiban Article 53 dan (untuk penyedia systemic-risk) Article 55 yang relevan, yang mengurangi friksi administratif selama asesmen AI Office. Per pertengahan 2025, 26 organisasi telah menandatangani, termasuk Anthropic, Google, Microsoft, dan OpenAI. Meta menolak untuk menandatangani. Non-signatory harus menunjukkan kepatuhan melalui sarana memadai alternatif dan dapat mengharapkan scrutiny lebih dekat ketika penegakan Article 101 dimulai.
Apa denda maksimum untuk ketidakpatuhan GPAI?: Di bawah Article 101 EU AI Act, Komisi Eropa dapat mendenda penyedia model GPAI hingga 3% dari turnover global tahunan mereka atau EUR 15 juta, mana yang lebih tinggi, untuk pelanggaran yang disengaja atau lalai dari kewajiban GPAI atau untuk kegagalan menyediakan informasi yang diminta. Ini duduk terpisah dari tier Article 99 yang lebih luas, yang termasuk hingga EUR 35 juta atau 7% dari turnover untuk praktek AI yang dilarang. UKM dan start-up dibatasi pada yang lebih rendah dari persentase atau jumlah absolut.