Hugging Face가 EU AI Act 규정 분석을 통해 오픈소스 개발자를 위한 컴플라이언스 준비 가이드 제시

Context

EU AI Act가 세계 최초의 포괄적 AI 규제법으로 공식 발효되면서 오픈소스 AI 시스템과 모델 개발자들이 새로운 규제 환경에 직면하게 되었다. 오픈소스 커뮤니티의 개발자들은 자신의 프로젝트에 적용되는 구체적인 의무사항을 파악하기 어려운 상황에 처해 있다.

Technical Solution

• Model Cards, Dataset Cards를 통한 AI 모델과 데이터세트 문서화: 모델 정보와 데이터 출처를 체계적으로 기록
• Gradio Watermarking을 활용한 배포 시 모델 정보 공개 메커니즘 구현: 최종 사용자에게 배포 시점에 모델 정보 자동 표시
• Opt-out 메커니즘 및 개인정보 삭제(Redaction) 기능 제공: 학습 데이터에서 개인정보 제거 프로세스 지원
• 위험 수준 기반 규제 적용 차등화: 최소 위험(Minimal), 제한된 위험(Limited), 높은 위험(High), 수용 불가능(Unacceptable), 시스템적 위험(Systemic Risk)의 5단계로 의무사항 구분
• 범용 AI(GPAI) 모델의 시스템적 위험 판단 기준 명확화: 10^25 FLOPs 이상의 컴퓨팅 파워로 학습된 모델을 시스템적 위험으로 분류

Impact

2024년 8월 기준 시스템적 위험 기준(10^25 FLOPs)을 충족하는 모델은 7개 개발사(Google, Meta, OpenAI, Mistral, NVIDIA, ByteDance, Inflection)의 8개 모델(Gemini 1.0 Ultra, Llama 3.1-405B, GPT-4, Mistral Large, Nemotron-4 340B, MegaScale, Inflection-2, Inflection-2.5)에 불과하다.

Key Takeaway

오픈소스 개발자는 EU AI Act의 범위에 따라 차등적인 의무를 지게 되며, 이미 모델 카드와 데이터세트 카드 등 기존의 오픈소스 모범 사례가 컴플라이언스 요구사항의 대부분을 충족한다. EU 외부 개발자라도 EU 사용자에게 영향을 미치는 AI 시스템은 규제 대상이 되므로, 2025년 8월 의무 이행 시작 전에 문서화와 개인정보 처리 프로세스를 미리 구축해야 한다.