← Wróć do bloga

"Czy Jestem Dostawcą Czy Podmiotem Stosującym?" — Pytanie, Na Które Każdy Założyciel Musi Odpowiedzieć

6 min czytania

Trzech założycieli wchodzi do baru. Jeden zbudował AI, jeden kupił AI, jeden zmodyfikował AI. Rozporządzenie AI traktuje ich kompletnie inaczej.

Oto rzecz: Rozporządzenie AI UE nie dba o to, jak się nazywasz. Dba o to, co robisz z AI. I w zależności od tego, czy jesteś "dostawcą" czy "podmiotem stosującym," Twoje obowiązki, koszty i terminy wyglądają całkowicie inaczej.

Większość MŚP, z którymi rozmawiam, zakłada, że po prostu "używają AI." Ale to nie jest klasyfikacja, którą prawo rozpoznaje. Jesteś albo firmą, która tworzy AI (dostawca) albo firmą, która korzysta z AI (podmiot stosujący) — a czasami jesteś oboma.

Pomylenie się oznacza, że przygotowujesz się do złych obowiązków. Naprawmy to.

Dlaczego Klasyfikacja Faktycznie Ma Znaczenie

Rozporządzenie AI ma kompletnie różne regulaminy dla dostawców vs. podmiotów stosujących.

Jeśli jesteś dostawcą, jesteś odpowiedzialny za zaprojektowanie systemu tak, aby był bezpieczny, udokumentowanie jak działa, przeprowadzenie ocen ryzyka i — jeśli jest wysokiego ryzyka — uzyskanie sprawdzeń gotowości przez strony trzecie. Pomyśl: budowanie samochodu.

Jeśli jesteś podmiotem stosującym, jesteś odpowiedzialny za odpowiednie używanie systemu, monitorowanie go w Twoim kontekście i bycie przejrzystym z użytkownikami, gdy wchodzą w interakcję z AI. Pomyśl: prowadzenie samochodu.

Różnica w kosztach? Dostawcy systemów wysokiego ryzyka stoją w obliczu początkowych kosztów gotowości 193-330 tys. €. Podmioty stosujące tych samych systemów? Znacznie prostsze obowiązki, głównie wokół odpowiedniego użycia i przejrzystości.

Więc tak, klasyfikacja ma znaczenie.

Dostawca = Ty To Budujesz (Lub Znacząco To Zmieniasz)

Jesteś dostawcą, jeśli:

  • Rozwijasz system AI i wprowadzasz go na rynek
  • Importujesz system AI spoza UE, aby go tu sprzedawać
  • Znacząco modyfikujesz istniejący system AI poza jego zamierzonym użyciem
  • Umieszczasz swoją nazwę lub znak towarowy na cudzym systemie AI

Zauważ to ostatnie? Jeśli white-labelujesz produkt dostawcy chatbota i sprzedajesz go jako swój, właśnie zostałeś dostawcą.

Podmiot Stosujący = Ty Z Tego Korzystasz

Jesteś podmiotem stosującym, jeśli:

  • Używasz systemu AI pod swoją władzą (co oznacza, że kontrolujesz jak jest używany)
  • To obejmuje gotowe narzędzia SaaS, API i platformy stron trzecich

Nawet jeśli tego nie zbudowałeś, jeśli używasz tego dla swojego biznesu, jesteś podmiotem stosującym.

Prawdziwe Scenariusze — Ponieważ Abstrakcyjne Definicje Nikomu Nie Pomagają

Bądźmy konkretni. Oto 10 scenariuszy, które widzę cały czas:

Używasz chatbota Intercom na swojej stronie. → Jesteś podmiotem stosującym. Nie zbudowałeś chatbota, po prostu z niego korzystasz. Twój obowiązek: ujawnij użytkownikom, że rozmawiają z AI (to Artykuł 50, zasada przejrzystości).

Zbudowałeś niestandardowy silnik rekomendacji dla swojej strony e-commerce. → Jesteś dostawcą. Rozwinąłeś system AI. Twoje obowiązki zależą od tego, czy jest wysokiego ryzyka (spoiler: rekomendacje produktów zwykle nie są).

Używasz API GPT-4 do zasilania funkcji w swoim produkcie. → Jesteś dostawcą. Budujesz nowy system AI używając modelu OpenAI jako komponentu. Twoi klienci wchodzą w interakcję z Twoim systemem, nie z OpenAI.

Używasz Notion AI do wewnętrznych notatek firmowych. → Jesteś podmiotem stosującym. Narzędzia AI tylko do użytku wewnętrznego wciąż liczą się jako "wdrażanie pod Twoją władzą."

Dostroiłeś model open-source na własnym zbiorze danych i zintegrowałeś go ze swoim produktem. → Jesteś dostawcą. Zmodyfikowałeś model i wprowadzasz go na rynek. To podręcznikowa aktywność dostawcy.

Używasz funkcji scoringu leadów HubSpot. → Jesteś podmiotem stosującym. HubSpot zbudował AI, Ty go używasz zgodnie z przeznaczeniem.

Zbudowałeś narzędzie do sprawdzania CV używając API OpenAI do rankingu kandydatów. → Jesteś dostawcą systemu AI wysokiego ryzyka. Sprawdzanie CV należy do Załącznika III (przypadki użycia wysokiego ryzyka dla zatrudnienia). To najbardziej regulowany scenariusz — będziesz potrzebować oceny zgodności, dokumentacji technicznej, pełnego wyposażenia.

Zmodyfikowałeś chatbota dostawcy, aby obsługiwał wrażliwe dane klientów poza tym, do czego został zaprojektowany. → Właśnie zostałeś dostawcą. "Znacząca modyfikacja poza zamierzonym użyciem" zmienia podmioty stosujące w dostawców. To łapie ludzi w zaskoczeniu cały czas.

Używasz routingu zgłoszeń AI Zendesk dla obsługi klienta. → Jesteś podmiotem stosującym. Używasz go zgodnie z projektem, bez modyfikacji.

Zintegrowałeś API analizy sentymentu strony trzeciej do swojego dashboardu HR, aby monitorować nastrój pracowników. → Jesteś dostawcą potencjalnie systemu wysokiego ryzyka. Monitorowanie HR może wywołać klasyfikację wysokiego ryzyka. Nawet jeśli nie zbudowałeś API sentymentu, zbudowałeś system HR, który go używa.

Przypadek Graniczny, Który Wszystkich Łapie

Oto gdzie robi się podchwytliwe: podmioty stosujące mogą stać się dostawcami.

Jeśli weźmiesz gotowe narzędzie AI i znacząco je zmodyfikujesz — lub użyjesz w sposób, którego dostawca nigdy nie zamierzył — możesz przekroczyć linię na terytorium dostawcy.

Przykład: Zaczynasz z chatbotem Intercom (jesteś podmiotem stosującym). Potem trenujesz go na własnych danych medycznych, aby dawał porady zdrowotne (znacząca modyfikacja + nowy przypadek użycia). Gratulacje, jesteś teraz dostawcą systemu AI wysokiego ryzyka.

Prawo nie dba, że zacząłeś z narzędzia SaaS. Dba o to, z czym skończyłeś.

Macierz Obowiązków: Rola × Poziom Ryzyka

Twoja faktyczna lista rzeczy do zrobienia zależy od zarówno Twojej roli, jak i poziomu ryzyka systemu. Oto prosta wersja:

Podmiot Stosujący Niskiego/Ograniczonego Ryzyka (najczęstszy dla MŚP)

  • Dodaj ujawnienia przejrzystości gdzie wymagane (chatboty, treść wygenerowana przez AI)
  • Używaj systemu zgodnie z przeznaczeniem
  • Monitoruj pod kątem oczywistych problemów

Dostawca Niskiego/Ograniczonego Ryzyka

  • Podstawowe obowiązki przejrzystości
  • Zachowaj dokumentację techniczną
  • Upewnij się, że system działa zgodnie z opisem

Podmiot Stosujący Wysokiego Ryzyka

  • Ujawnienia przejrzystości
  • Monitoruj system w Twoim konkretnym kontekście użycia
  • Przypisz nadzór ludzki
  • Prowadź logi użycia

Dostawca Wysokiego Ryzyka

  • Pełna ocena zgodności (często przez audytora strony trzeciej)
  • Obszerna dokumentacja techniczna
  • System zarządzania ryzykiem
  • Bieżące monitorowanie po uruchomieniu
  • Rejestracja w bazie danych UE
  • To jest scenariusz 193-330 tys. €

Widzisz, dlaczego klasyfikacja ma znaczenie? Podmiot stosujący niskiego ryzyka może spędzić weekend przygotowując się. Dostawca wysokiego ryzyka może spędzić sześć miesięcy i sześć cyfr.

Większość MŚP To Podmioty Stosujące — I To Dobra Wiadomość

Jeśli używasz gotowych narzędzi AI od Intercom, HubSpot, Notion, Zendesk, OpenAI (przez ich produkty konsumenckie/biznesowe), jesteś prawie na pewno podmiotem stosującym.

Podmioty stosujące mają prostsze obowiązki. Nie będziesz potrzebować ocen zgodności. Nie będziesz musiał rejestrować się w bazach danych UE. Nie będziesz musiał zatrudniać zatwierdzonych audytorów.

Będziesz musiał:

  • Ujawnić, gdy użytkownicy wchodzą w interakcję z AI (Artykuł 50)
  • Używać systemów zgodnie z przeznaczeniem
  • Monitorować pod kątem problemów
  • Jeśli jest wysokiego ryzyka, przypisać człowieka do nadzorowania decyzji

To jest możliwe do zarządzania. To projekt weekendowy, nie sześciomiesięczna gehenna.

Jeśli Budujesz Funkcje AI Do Swojego Produktu — Prawdopodobnie Jesteś Dostawcą

Jeśli jesteś firmą SaaS dodającą funkcje AI, jesteś prawie na pewno dostawcą.

"Ale po prostu używamy API OpenAI!" Nie ma znaczenia. Budujesz system, który używa AI jako komponentu. Twoi klienci wchodzą w interakcję z Twoim produktem, nie z OpenAI. Jesteś dostawcą.

Dobra wiadomość: większość funkcji produktu nie jest wysokiego ryzyka. Rekomendacje, generowanie treści, ulepszenia wyszukiwania — zwykle niskie lub ograniczone ryzyko. Będziesz miał obowiązki, ale nie pełną ścieżkę oceny zgodności wysokiego ryzyka.

Wyjątek: jeśli Twoja AI podejmuje ważne decyzje o ludziach (zatrudnianie, zwalnianie, kredyt, uprawnienie do świadczeń, egzekwowanie prawa), jesteś na terytorium wysokiego ryzyka. Obsługuj z ostrożnością.

Co Zrobić Teraz

Krok 1: Rozwiąż nasz quiz Klasyfikatora Ról z 5 pytaniami Odpowiedz na pięć prostych pytań o to, jak używasz AI. Powiemy Ci, czy jesteś dostawcą, podmiotem stosującym czy oboma — i co to oznacza dla Twojego terminu 2 sierpnia.

Krok 2: Zrób listę każdego systemu AI, którego używasz lub budujesz Poważnie. Czas na arkusz kalkulacyjny. Wypisz narzędzie, co robi, czy to zbudowałeś czy kupiłeś i jak z niego korzystasz.

Krok 3: Dla każdego systemu sklasyfikuj swoją rolę Czy to zbudowałeś, kupiłeś czy zmodyfikowałeś? To określa status dostawcy vs. podmiotu stosującego.

Krok 4: Sprawdź poziom ryzyka Czy podejmuje ważne decyzje o ludziach? Wysokie ryzyko. Wszystko inne? Prawdopodobnie niskie lub ograniczone ryzyko.

Krok 5: Zmapuj swoje obowiązki Rola + Ryzyko = Twoja Lista Rzeczy Do Zrobienia Gotowości.

Nie przesadzaj z tym. Nie próbujesz pisać dysertacji prawnej. Próbujesz dowiedzieć się, który regulamin się do Ciebie stosuje.

Podsumowanie

Jeśli używasz chatbota Intercom, jesteś podmiotem stosującym. Dodaj ujawnienie, gotowe.

Jeśli zbudowałeś niestandardowy silnik rekomendacji, jesteś dostawcą. Udokumentuj to, oceń ryzyko, przygotuj się odpowiednio.

Jeśli używasz API GPT-4 do zasilania swojego produktu, jesteś dostawcą. Planuj dokumentację i ocenę ryzyka.

Jeśli zmodyfikowałeś narzędzie dostawcy poza jego zamierzonym użyciem, mogłeś właśnie zostać dostawcą nie zdając sobie z tego sprawy. Sprawdź to.

Większość MŚP to podmioty stosujące. Większość podmiotów stosujących stoi w obliczu prostych obowiązków. Większość prostych obowiązków można obsłużyć w weekend.

Ale musisz wiedzieć, w której kategorii jesteś — ponieważ zła klasyfikacja oznacza, że przygotowujesz się do złego terminu ze złą listą kontrolną.

Rozwiąż quiz. Uzyskaj klasyfikację. Przestań zgadywać.

Rozwiąż Quiz Klasyfikatora Ról → [5 pytań, 2 minuty, jasność na zawsze]

Ten dokument wspiera przygotowanie do regulacji. Nie stanowi porady prawnej. Definicje dostawcy i podmiotu stosującego Rozporządzenia AI znajdują się w Artykule 3. Klasyfikacja zależy od Twoich konkretnych okoliczności. W przypadku wątpliwości udokumentuj swoje rozumowanie i skonsultuj się z wykwalifikowanym doradcą prawnym.

Chcesz wiedzieć, czy to dotyczy Twojej firmy?

Assessment AI Act zajmuje 3 minuty. Bez rejestracji. Klasyfikację zobaczysz natychmiast.

Wykonaj assessment

Lub bądź na bieżąco

Otrzymuj aktualizacje, gdy zasady się zmienią. Bez spamu.