EU AI Act अनुपालन अवसंरचना: यूरोप के AI विनियमों को पूरा करने वाली प्रणालियों का निर्माण

8 दिसंबर, 2025 को अपडेट किया गया

दिसंबर 2025 अपडेट: GPAI दायित्व 2 अगस्त, 2025 से लागू। AI Office संचालित और मार्गदर्शन जारी कर रहा है। जुलाई 2025 में प्रकाशित Code of Practice अनुपालन मार्ग प्रदान करता है। उच्च-जोखिम AI प्रणाली आवश्यकताएं अगस्त 2026 से प्रभावी होंगी। उल्लंघनों के लिए €35M या वैश्विक टर्नओवर का 7% तक जुर्माना। तकनीकी दस्तावेज़ीकरण, लॉगिंग, और ऑडिट ट्रेल अवसंरचना EU बाजार पहुंच के लिए अनिवार्य होती जा रही है। अनुमानित 18% एंटरप्राइज AI प्रणालियां उच्च-जोखिम के रूप में वर्गीकृत हैं जिन्हें अनुरूपता मूल्यांकन की आवश्यकता है।

EU AI Act दुनिया का पहला व्यापक AI विनियमन बना जब 2 अगस्त, 2025 से प्रवर्तन शुरू हुआ, और संगठनों ने पाया कि अनुपालन के लिए केवल अपडेटेड गोपनीयता नीतियों से कहीं अधिक की आवश्यकता है।¹ यूरोपीय बाजारों की सेवा करने वाली कंपनियों को अब तकनीकी दस्तावेज़ीकरण, स्वचालित लॉगिंग, डेटा वंशावली ट्रैकिंग, और ऑडिट ट्रेल्स जैसी अवसंरचना आवश्यकताओं का सामना करना पड़ रहा है जिन्हें उनकी मौजूदा AI प्रणालियां संतुष्ट नहीं कर सकतीं। उच्च-जोखिम AI प्रणाली अनुपालन के लिए अगस्त 2026 की समय सीमा निकट आ रही है जबकि अधिकांश संगठनों के पास अनुरूपता प्रदर्शित करने के लिए तकनीकी वास्तुकला का अभाव है। अनुपालन AI अवसंरचना बनाने के लिए नियामक आवश्यकताओं और उन्हें पूरा करने के लिए आवश्यक इंजीनियरिंग प्रणालियों दोनों को समझना आवश्यक है।

नियामक ढांचा जिसे संगठनों को समझना होगा

EU AI Act एक जोखिम-आधारित वर्गीकरण प्रणाली स्थापित करता है जो अनुपालन दायित्वों को निर्धारित करती है। प्रतिबंधित प्रथाएं—जिनमें सामाजिक स्कोरिंग, सार्वजनिक स्थानों में रीयल-टाइम बायोमेट्रिक पहचान, और कार्यस्थलों में भावना पहचान शामिल हैं—2 फरवरी, 2025 से अवैध हो गईं।² General-purpose AI (GPAI) मॉडल दायित्व 2 अगस्त, 2025 से प्रभावी हुए। उच्च-जोखिम AI प्रणाली आवश्यकताएं 2 अगस्त, 2026 से लागू होंगी, सभी जोखिम श्रेणियों में पूर्ण प्रवर्तन अगस्त 2027 तक।

प्रतिबंधित AI प्रथाओं पर €35 मिलियन या वैश्विक वार्षिक टर्नओवर के 7% तक—जो भी अधिक हो—के जुर्माने के साथ तत्काल प्रवर्तन का सामना है।³ संगठनों को मौजूदा AI परिनियोजनों का ऑडिट करना चाहिए ताकि किसी भी ऐसी प्रणाली की पहचान की जा सके जो मानव व्यवहार में हेरफेर करती है, कमजोरियों का शोषण करती है, या अधिनियम के तहत प्रतिबंधित रीयल-टाइम बायोमेट्रिक निगरानी को सक्षम करती है।

General-purpose AI मॉडल (जो 10²³ FLOPS से अधिक का उपयोग करके प्रशिक्षित हैं और टेक्स्ट, इमेज, या वीडियो जेनरेट करने में सक्षम हैं) को तकनीकी दस्तावेज़ीकरण बनाए रखना, प्रशिक्षण डेटा सारांश प्रकाशित करना, और EU कॉपीराइट कानून का पालन करना होगा।⁴ 10²⁵ FLOPS से अधिक वाले मॉडलों को मॉडल मूल्यांकन, घटना रिपोर्टिंग, और साइबर सुरक्षा उपायों सहित अतिरिक्त प्रणालीगत जोखिम आवश्यकताओं का सामना है।

उच्च-जोखिम AI प्रणालियां विनियमित उत्पादों में सुरक्षा घटकों के रूप में उपयोग किए जाने वाले AI के साथ-साथ महत्वपूर्ण अवसंरचना, रोजगार, शिक्षा, कानून प्रवर्तन, और सीमा नियंत्रण सहित संवेदनशील क्षेत्रों में तैनात प्रणालियों को शामिल करती हैं।⁵ इन प्रणालियों के लिए जोखिम प्रबंधन प्रक्रियाएं, डेटा शासन ढांचे, तकनीकी दस्तावेज़ीकरण, रिकॉर्ड-कीपिंग क्षमताएं, मानव निगरानी तंत्र, और तृतीय-पक्ष अनुरूपता मूल्यांकन आवश्यक हैं।

यूरोपीय आयोग ने अनुमान लगाया था कि 5-15% AI अनुप्रयोग उच्च-जोखिम के रूप में योग्य होंगे, लेकिन appliedAI द्वारा 106 एंटरप्राइज AI प्रणालियों का विश्लेषण करने वाले शोध में पाया गया कि 18% स्पष्ट रूप से उच्च-जोखिम, 42% निम्न-जोखिम, और 40% को मामला-दर-मामला वर्गीकरण की आवश्यकता है।⁶ संगठन औपचारिक मूल्यांकन के बिना यह नहीं मान सकते कि उनकी प्रणालियां उच्च-जोखिम दायित्वों से बचती हैं।

GPAI अनुपालन अगस्त 2025 में अनिवार्य हो गया

General-purpose AI मॉडलों के प्रदाताओं को 2 अगस्त, 2025 को अपनी पहली बाध्यकारी समय सीमा का सामना करना पड़ा, प्रवर्तन अवसंरचना अब संचालित है। AI Office—GPAI अनुपालन की देखरेख करने वाली EU संस्था—ने मॉडल प्रदाताओं से दस्तावेज़ीकरण का अनुरोध करना शुरू कर दिया है और अगस्त 2026 से जुर्माना जारी कर सकती है।⁷

तकनीकी दस्तावेज़ीकरण आवश्यकताएं अनिवार्य करती हैं कि GPAI प्रदाता मॉडल आर्किटेक्चर, प्रशिक्षण पद्धति, उपयोग किए गए कम्प्यूट संसाधनों, और मूल्यांकन परिणामों के विस्तृत रिकॉर्ड बनाए रखें।⁸ दस्तावेज़ीकरण को यह प्रदर्शित करना चाहिए कि मॉडल इरादे के अनुसार कार्य करते हैं और पूर्वानुमानित जोखिमों की पहचान करें। दस्तावेज़ीकरण मानक सभी GPAI मॉडलों पर लागू होता है, चाहे प्रदाता उन्हें ओपन-सोर्स के रूप में वर्गीकृत करें या नहीं।

प्रशिक्षण डेटा पारदर्शिता दायित्वों के लिए प्रशिक्षण के लिए उपयोग की गई सामग्री का "पर्याप्त विस्तृत सारांश" प्रकाशित करना आवश्यक है।⁹ इस आवश्यकता का उद्देश्य कॉपीराइट धारकों को यह पहचानने में सक्षम बनाना है कि उनके कार्यों का बिना प्राधिकरण के उपयोग किया गया था या नहीं। प्रदाताओं को कॉपीराइट धारकों के लिए ऑप्ट-आउट अधिकारों का प्रयोग करने के लिए तंत्र लागू करना होगा जहां लागू हो।

कॉपीराइट अनुपालन की मांग है कि प्रदाता EU कॉपीराइट कानून का सम्मान करें, जिसमें टेक्स्ट और डेटा माइनिंग अपवाद शामिल हैं। जिन संगठनों ने उचित प्राधिकरण के बिना प्रशिक्षण के लिए कॉपीराइट सामग्री स्क्रैप की, उन्हें AI Act और मौजूदा कॉपीराइट ढांचे दोनों के तहत दायित्व का सामना है।

प्रणालीगत जोखिम मॉडल (10²⁵ FLOPS से अधिक वाले) को विरोधी परीक्षण, जोखिम मूल्यांकन और शमन, घटना ट्रैकिंग और रिपोर्टिंग, और पर्याप्त साइबर सुरक्षा सुरक्षा सहित अतिरिक्त दायित्वों का सामना है।¹⁰ प्रदाताओं को कम्प्यूटेशनल सीमा तक पहुंचने या पूर्वानुमान करने के दो सप्ताह के भीतर आयोग को सूचित करना होगा।

जुलाई 2025 में प्रकाशित GPAI Code of Practice एक स्वैच्छिक अनुपालन मार्ग प्रदान करता है। पालन "आयोग से विश्वास बढ़ाता है" जबकि गैर-पालन "सूचना के लिए अधिक अनुरोधों और पहुंच के अनुरोधों" को ट्रिगर करता है।¹¹ Code पारदर्शिता, कॉपीराइट, और सुरक्षा/संरक्षा डोमेन को कवर करता है। हस्ताक्षरकर्ताओं को अनुमानित अनुपालन का लाभ मिलता है; गैर-हस्ताक्षरकर्ताओं को विस्तृत दस्तावेज़ीकरण या गैप विश्लेषण के माध्यम से स्वतंत्र रूप से अनुरूपता प्रदर्शित करनी होगी।

तकनीकी दस्तावेज़ीकरण अवसंरचना आवश्यकताएं

AI Act का अनुच्छेद 11 अनिवार्य करता है कि उच्च-जोखिम AI प्रणालियां बाजार में प्लेसमेंट से पहले तैयार और निरंतर अपडेट किए गए तकनीकी दस्तावेज़ीकरण को बनाए रखें।¹² दस्तावेज़ीकरण को मूल्यांकन करने वाले राष्ट्रीय अधिकारियों और अधिसूचित निकायों के लिए "स्पष्ट और व्यापक रूप में" नियामक अनुपालन प्रदर्शित करना चाहिए।

आवश्यक दस्तावेज़ीकरण तत्वों में शामिल हैं:

• इच्छित उद्देश्य और प्रदाता पहचान सहित AI प्रणाली का सामान्य विवरण
• प्रणाली तत्वों और विकास प्रक्रियाओं का विस्तृत विवरण
• निगरानी, कार्यप्रणाली, और नियंत्रण तंत्र के बारे में जानकारी
• प्रदर्शन मीट्रिक उपयुक्तता का विवरण
• व्यापक जोखिम प्रबंधन प्रणाली दस्तावेज़ीकरण
• प्रासंगिक जीवनचक्र परिवर्तन और संशोधन इतिहास
• विकास के दौरान लागू तकनीकी मानक
• EU अनुरूपता घोषणा
• बाजार के बाद प्रदर्शन मूल्यांकन प्रणालियां

SMEs और स्टार्टअप सरलीकृत दस्तावेज़ीकरण प्रदान कर सकते हैं, हालांकि कम आवश्यकताएं अभी भी अधिकांश संगठनों द्वारा वर्तमान में बनाए रखने से अधिक हैं।¹³ व्यावहारिक चुनौती में इस दस्तावेज़ीकरण को निरंतर उत्पन्न करना और बनाए रखना शामिल है जैसे-जैसे प्रणालियां विकसित होती हैं—स्थिर दस्तावेज़ बनाना नहीं जो तेजी से पुराने हो जाते हैं।

अवसंरचना प्रभावों के लिए ऐसी प्रणालियों की आवश्यकता है जो स्वचालित रूप से विकास कलाकृतियों को कैप्चर करें, मॉडल संस्करणों को ट्रैक करें, प्रशिक्षण कॉन्फ़िगरेशन रिकॉर्ड करें, और मूल्यांकन परिणामों को संरक्षित करें। मैन्युअल दस्तावेज़ीकरण प्रक्रियाएं Act द्वारा आवश्यक निरंतर अनुपालन निगरानी के लिए स्केल नहीं कर सकतीं। संगठनों को बिल्ट-इन दस्तावेज़ीकरण जनरेशन वाले MLOps प्लेटफॉर्म, निर्णय तर्क को संरक्षित करने वाली संस्करण नियंत्रण प्रणालियां, और विकास वातावरण और अनुपालन रिकॉर्ड के बीच एकीकरण की आवश्यकता है।

MLflow, Weights & Biases, और Neptune.ai जैसे आधुनिक ML प्लेटफॉर्म प्रयोग ट्रैकिंग और मॉडल वर्जनिंग के लिए आंशिक समाधान प्रदान करते हैं। हालांकि, अधिकांश प्लेटफॉर्म में विशेष रूप से नियामक दस्तावेज़ीकरण के लिए डिज़ाइन की गई सुविधाओं का अभाव है—डेवलपर-केंद्रित प्रयोग लॉग के बजाय अधिकारियों द्वारा आवश्यक संरचित रिकॉर्ड जेनरेट करना। इस अंतर को पाटने के लिए उद्देश्य-निर्मित अनुपालन उपकरण उभर रहे हैं।

लॉगिंग और ऑडिट ट्रेल अवसंरचना

अनुच्छेद 12 अनिवार्य करता है कि उच्च-जोखिम AI प्रणालियां "तकनीकी रूप से प्रणाली के जीवनकाल में घटनाओं (लॉग) की स्वचालित रिकॉर्डिंग की अनुमति दें।"¹⁴ लॉगिंग क्षमताओं को प्रणाली के इच्छित उद्देश्य के लिए उपयुक्त ट्रेसेबिलिटी सक्षम करनी चाहिए—अस्पष्ट भाषा जिसे प्रवर्तन समय के साथ स्पष्ट करेगा।

लॉग सामग्री आवश्यकताओं में शामिल हैं:

• लॉग मेटाडेटा: प्रणाली पहचान, टाइमस्टैम्प, प्रतिधारण अवधि दस्तावेज़ीकरण (न्यूनतम 6 महीने आवश्यक)
• ऑपरेशन विवरण: छद्म नाम वाले उपयोगकर्ता और क्लाइंट पहचानकर्ता, अनुरोध पैरामीटर, आह्वान संदर्भ
• मॉडल विवरण: उपयोग किए गए AI मॉडल के बारे में तकनीकी जानकारी, प्रदर्शन मीट्रिक्स, फीचर महत्व स्कोर
• निर्णय विवरण: आउटपुट रिकॉर्ड, विश्वास स्तर, मानव निगरानी क्रियाएं, ओवरराइड दस्तावेज़ीकरण¹⁵

अवसंरचना चुनौतियां उत्पादन स्तर पर बढ़ जाती हैं। AI प्रणालियां बड़े पैमाने पर लॉग वॉल्यूम उत्पन्न करती हैं जिनके लिए कुशल संपीड़न और भंडारण समाधान की आवश्यकता होती है। लॉग में अनुपालन आवश्यकताओं को संतुष्ट करने वाले विशिष्ट मेटाडेटा होने चाहिए जबकि सत्यापन के लिए क्वेरी करने योग्य रहें। लंबे परिचालन जीवनचक्र वाली प्रणालियों के लिए प्रतिधारण अवधि वर्षों तक बढ़ जाती है।¹⁶

पारंपरिक एप्लिकेशन लॉगिंग अवसंरचना अपर्याप्त साबित होती है। Elasticsearch, Splunk, या Datadog जैसे मानक लॉग एग्रीगेशन उपकरण परिचालन टेलीमेट्री कैप्चर करते हैं लेकिन Act द्वारा आवश्यक AI-विशिष्ट संरचित फ़ील्ड का अभाव है। संगठनों को उद्देश्य-निर्मित AI लॉगिंग की आवश्यकता है जो नियामक ऑडिट के लिए उपयुक्त प्रारूपों में मॉडल इनपुट, आउटपुट, निर्णय कारकों, और मानव निगरानी क्रियाओं को कैप्चर करे।

डेटा वंशावली आवश्यकताएं स्पष्ट, ऑडिट करने योग्य इतिहास की मांग करती हैं जो दिखाते हैं कि डेटा कहां से उत्पन्न हुआ, इसे कैसे रूपांतरित किया गया, किन प्रणालियों ने इसे संसाधित किया, और किस डेटा ने विशिष्ट मॉडलों को प्रशिक्षित, परीक्षित और संचालित किया।¹⁷ EU AI Act अनुपालन के लिए, डेटा वंशावली तकनीकी प्रमाण प्रदान करती है कि प्रशिक्षण डेटा गुणवत्ता, प्रासंगिकता, और प्रतिनिधित्व आवश्यकताओं को पूरा करता है। वंशावली अवसंरचना के बिना, डेटा शासन अनुपालन प्रदर्शित करना लगभग असंभव हो जाता है।

अनुपालन लॉगिंग लागू करने के लिए वास्तुशिल्प परिवर्तनों की आवश्यकता होती है जिनकी अधिकांश संगठनों ने योजना नहीं बनाई है। प्रणालियों को विलंबता को प्रभावित किए बिना अनुमान अनुरोधों और प्रतिक्रियाओं को कैप्चर करना होगा। संवेदनशील डेटा को ऑडिटेबिलिटी बनाए रखते हुए छद्म नाम दिया जाना चाहिए। भंडारण प्रणालियों को लागत प्रबंधित करते हुए वर्षों तक पहुंच बनाए रखनी चाहिए। खोज क्षमताओं को ऑडिटर्स को संपूर्ण लॉग इतिहास स्कैन किए बिना विशिष्ट निर्णयों को सत्यापित करने में सक्षम करना चाहिए।

मानव निगरानी अवसंरचना आवश्यकताएं

AI Act उच्च-जोखिम प्रणालियों के लिए एक मुख्य सिद्धांत के रूप में "human in the loop" को एम्बेड करता है। अनुच्छेद 14 मानव निगरानी तंत्र की आवश्यकता है जो व्यक्तियों को प्रणाली क्षमताओं को समझने, आउटपुट की सही व्याख्या करने, यह तय करने में सक्षम बनाते हैं कि आउटपुट को कब ओवरराइड या अनदेखा करना है, और जब आवश्यक हो तो प्रणाली संचालन में हस्तक्षेप करना या रोकना है।¹⁸

तकनीकी कार्यान्वयन के लिए ऐसे इंटरफेस की आवश्यकता है जो मानव निर्णय के लिए पर्याप्त संदर्भ के साथ AI निर्णय प्रस्तुत करें। उपयोगकर्ताओं को न केवल यह समझना चाहिए कि प्रणाली ने क्या निर्णय लिया बल्कि क्यों, कौन सा विश्वास स्तर लागू होता है, और किन कारकों ने आउटपुट को प्रभावित किया। ब्लैक-बॉक्स प्रणालियां जो अस्पष्टीकरणीय निर्णय उत्पन्न करती हैं, सटीकता की परवाह किए बिना निगरानी आवश्यकताओं को संतुष्ट नहीं कर सकतीं।

व्याख्यात्मकता अवसंरचना उच्च-जोखिम अनुप्रयोगों के लिए अनिवार्य हो जाती है। रोजगार, क्रेडिट, स्वास्थ्य सेवा, या कानून प्रवर्तन संदर्भों में मॉडल तैनात करने वाले संगठनों को व्याख्या योग्य आउटपुट की आवश्यकता है जिनकी मनुष्य सार्थक रूप से समीक्षा कर सकें। SHAP मान, ध्यान विज़ुअलाइज़ेशन, प्रतितथ्यात्मक व्याख्याएं, या समान तकनीकें डेवलपर उपकरण बने रहने के बजाय उपयोगकर्ता इंटरफेस के साथ एकीकृत होनी चाहिए।

ओवरराइड और हस्तक्षेप क्षमताओं के लिए आवश्यक है कि मानव ऑपरेटर AI प्रणालियों को रोक सकें, निर्णयों को सही कर सकें, और हस्तक्षेप तर्क का दस्तावेज़ीकरण कर सकें। प्रणालियों को ऑडिट ट्रेल्स के भाग के रूप में मानव निगरानी क्रियाओं को लॉग करना चाहिए। संगठन ओवरराइड निर्णयों के तर्क और परिणामों को कैप्चर किए बिना बस "ओवरराइड बटन" नहीं जोड़ सकते।

योग्यता आवश्यकताएं तकनीकी प्रणालियों से परे विस्तारित हैं। संगठनों को यह सुनिश्चित करना चाहिए कि निगरानी का प्रयोग करने वाले मनुष्यों के पास अपनी भूमिकाओं को प्रभावी ढंग से निभाने के लिए पर्याप्त AI साक्षरता हो।¹⁹ AI साक्षरता दायित्व फरवरी 2025 से प्रभावी हुए, जिसके लिए प्रदाताओं और तैनातकर्ताओं को यह सुनिश्चित करना आवश्यक है कि कर्मचारियों को उनके द्वारा संचालित AI प्रणालियों की पर्याप्त समझ हो।

जोखिम प्रबंधन प्रणाली आवश्यकताएं

उच्च-जोखिम AI प्रणालियों के लिए दस्तावेज़ी

[अनुवाद के लिए सामग्री काटी गई]