EU AI Act को AI पर ताला लगाने वाला कानून समझना आसान है, लेकिन कंपनियों के लिए इसका असली मतलब इससे ज्यादा व्यावहारिक है। यह जोखिम-आधारित अनुपालन ढांचा है: किस काम में AI लगाया जा रहा है, आपकी कंपनी की भूमिका क्या है, और वह इस्तेमाल prohibited practices, General-Purpose AI यानी GPAI, या high-risk AI के दायरे में आता है या नहीं।[2][
3][
5]
अगर कोई tool सिर्फ internal summaries बनाता है, तो उसकी जांच उस system से अलग होगी जो उम्मीदवारों की shortlisting, कर्मचारियों के performance data या लोगों से जुड़ी decisions को प्रभावित करता है। उपलब्ध स्रोत EU AI Act को चरणों में लागू होने वाला framework बताते हैं: पहले prohibited practices, फिर GPAI model providers की obligations, फिर high-risk obligations का बड़ा हिस्सा, और बाद में regulated products में embedded कुछ AI systems।[1][
2][
3][
5]
इसलिए कंपनियों के लिए असली सवाल यह नहीं है कि क्या हम AI इस्तेमाल कर सकते हैं। असली सवाल है: यह specific use case किस category में आता है?
पहले तीन बातें साफ करें
EU AI Act की तैयारी किसी बड़े legal memo से नहीं, बल्कि तीन बुनियादी सवालों से शुरू होती है।
- Use case: AI असल में कर क्या रहा है, किन data पर काम कर रहा है, और decision-making पर उसका असर कितना है?
- Role: आपकी कंपनी deployer यानी AI system को उपयोग/संचालित करने वाली संस्था है, provider यानी system उपलब्ध कराने वाली संस्था है, या GPAI model provider है?[
2][
5][
8]
- Risk: मामला prohibited practice, GPAI, high-risk AI या कम संवेदनशील इस्तेमाल में आता है?[
1][
2][
3][
5]
यह role mapping बहुत जरूरी है, क्योंकि obligations सिर्फ system के risk पर नहीं, आपकी कंपनी की भूमिका पर भी निर्भर करती हैं।[2][
5][
8]
प्रमुख समयसीमाएं: किस तारीख का क्या मतलब है
यह overview कानूनी सलाह का विकल्प नहीं है, लेकिन planning के लिए सबसे जरूरी milestones दिखाता है।
| समय | क्या relevant होता है | कंपनियों के लिए मतलब |
|---|---|---|
| फरवरी 2025 से | Prohibited AI practices | सबसे पहले यह देखें कि कोई use case prohibited category में तो नहीं आता। Implementation plan में सबसे नुकसानदेह AI practices को पहले address किया गया है।[ |
| अगस्त 2025 से | GPAI model obligations | General-Purpose AI models के providers को अपनी GPAI responsibilities जांचनी होंगी। एक स्रोत के अनुसार, जो GPAI products अगस्त 2025 से पहले release नहीं हुए थे, उन्हें अगस्त 2025 से नई regulation follow करनी होगी।[ |
| 2 अगस्त 2026 से | Annex III high-risk AI systems | Annex III में listed high-risk AI systems पर full compliance framework 2 अगस्त 2026 से लागू होता है। एक स्रोत इस date को अधिकतर businesses के लिए central deadline बताता है।[ |
| 2027/2028, product regime पर निर्भर | Regulated products में embedded कुछ high-risk AI | जो high-risk AI systems पहले से EU product safety legislation के तहत regulated products में embedded हैं, उनके लिए 2027 और 2028 तक extended transition periods हो सकते हैं, product regime के अनुसार।[ |
अपना use case कैसे जांचें
1. Tool का नाम नहीं, काम का उद्देश्य देखें
किसी product में AI है, इससे obligations तय नहीं हो जातीं। पहले यह लिखें कि system करता क्या है। क्या वह सिर्फ text draft बनाता है? क्या वह किसी व्यक्ति की suitability assess करता है? क्या वह access, benefit, hiring, scoring या safety-related process को प्रभावित करता है?
स्रोतों में बायोमेट्रिक्स, critical infrastructure, education, employment और public services जैसे क्षेत्रों का उल्लेख है, जहां high-risk questions विशेष रूप से relevant हो सकते हैं।[3]
2. अपनी भूमिका तय करें
एक ही कंपनी अलग-अलग use cases में अलग role निभा सकती है। खरीदे गए AI tool का इस्तेमाल करते समय आप अक्सर deployer या user की स्थिति में होंगे। अगर आप अपने product में AI feature बाजार में दे रहे हैं, तो provider obligations relevant हो सकती हैं। अगर आप General-Purpose AI model develop या उपलब्ध करा रहे हैं, तो अलग GPAI obligations जुड़ सकती हैं।[2][
5][
8]
यही कारण है कि AI Act readiness को सिर्फ IT department का काम मानना ठीक नहीं। Legal, compliance, privacy, procurement और business teams को भी यह समझना होगा कि कौन-सा system किस जिम्मेदारी के साथ इस्तेमाल हो रहा है।
3. Risk की शुरुआती छंटनी करें
एक practical first check इस क्रम में किया जा सकता है:
- Prohibited risk हटाएं: अगर use case prohibited practice में आता है, तो यह बाद की compliance planning नहीं, तुरंत critical issue है।[
2][
5]
- GPAI link देखें: क्या आपकी कंपनी खुद GPAI model उपलब्ध कराती है, या सिर्फ किसी और के model को एक specific application में इस्तेमाल कर रही है?[
3][
5]
- High-risk possibility देखें: क्या use case sensitive field में है या व्यक्तियों से जुड़े decisions को प्रभावित करता है?[
1][
3]
- Product regime देखें: क्या AI किसी regulated product में embedded है, जहां अलग transition period लागू हो सकता है?[
1]
अभी क्या करें: तैयारी की मजबूत शुरुआत
AI register बनाएं
पहला practical कदम है एक पूरा AI register। इसमें सिर्फ बड़े strategic AI projects नहीं, बल्कि internal assistants, खरीदे गए SaaS AI features, automations, product features और इस्तेमाल किए जा रहे models भी शामिल करें।
एक उपयोगी AI register में कम से कम ये बातें दर्ज होनी चाहिए:
- Tool या system का नाम
- उद्देश्य और business function
- Internal use है या external offering
- इस्तेमाल होने वाले data की categories
- प्रभावित व्यक्ति या groups
- Decisions पर system का असर
- Provider, internal owner और जिम्मेदार teams
- पहली risk note: prohibited risk, GPAI link, high-risk possibility या lower-risk use
यह inventory आगे role और risk category को use case के हिसाब से जांचने की बुनियाद बनती है।[2][
3][
5]
Sensitive use cases को पहले उठाएं
हर AI tool को एक ही priority देना व्यावहारिक नहीं है। पहले उन systems को देखें जो लोगों को evaluate करते हैं, अवसरों या सेवाओं तक access प्रभावित करते हैं, या sensitive क्षेत्रों में इस्तेमाल होते हैं। उपलब्ध स्रोतों में बायोमेट्रिक्स, critical infrastructure, education, employment और public services जैसे क्षेत्रों का उल्लेख है।[3]
व्यवहार में HR tools, applicant shortlisting, performance evaluation, safety-adjacent applications और ऐसे systems जल्दी review में आने चाहिए जो लोगों से जुड़े decisions तैयार या प्रभावित करते हैं। कोई specific system सच में high-risk है या नहीं, यह उसके exact workflow और आपकी role पर निर्भर करेगा।[1][
3]
Governance और documentation तैयार करें
High-risk systems के लिए स्रोत risk management, technical documentation और conformity assessment जैसी requirements का उल्लेख करते हैं। कौन-सी responsibility आपकी company पर आएगी, यह role और system पर निर्भर करेगा।[8] Annex III high-risk systems के लिए full compliance framework 2 अगस्त 2026 से relevant होता है।[
1]
तैयारी के practical steps:
- Business, IT, data protection, legal और compliance में responsible owners तय करें
- नए AI tools के लिए approval process बनाएं
- Vendors से technical documentation, risk information और contractual commitments मांगें
- Purpose, data, risks, human oversight और system changes document करें
- Borderline cases की legal review जल्दी कराएं
AI literacy को हल्का न लें
AI literacy सिर्फ high-risk systems का विषय नहीं है। एक स्रोत AI literacy requirements को providers और deployers के लिए broad obligation बताता है, risk level से अलग; यहां तक कि minimal-risk AI systems वाली organizations को भी AI literacy requirements का ध्यान रखना और prohibited practices से बचना होगा।[2]
सरल भाषा में इसका मतलब है: जो लोग AI tool चुनते, configure करते या इस्तेमाल करते हैं, उन्हें system की limits, common errors और human review की जरूरत समझनी चाहिए। Training सिर्फ certificate के लिए नहीं, गलत भरोसे और गलत decisions से बचने के लिए होनी चाहिए।
तीन आम business situations
1. कंपनी सिर्फ internal AI assistant इस्तेमाल करती है
यहां key question है कि tool किस काम में लग रहा है। Internal drafting, summarisation या research support की risk profile उस use case से अलग होगी जो HR, performance review, benefit access या किसी sensitive process में decision support देता है। फिर भी ऐसे tools AI register में होने चाहिए, और lower-risk use में भी AI literacy और clear usage rules relevant रहते हैं।[2]
2. कंपनी AI feature वाला SaaS product बनाती है
ऐसे मामले में देखें कि क्या आपकी company AI system provider की role में आती है और क्या feature high-risk context में इस्तेमाल हो सकता है। अगर system high-risk category में आता है, तो 2026 से risk management, technical documentation और conformity assessment जैसे compliance सवाल खास तौर पर relevant हो जाते हैं।[1][
8]
3. AI recruiting, scoring या customer support में इस्तेमाल हो रहा है
Recruiting और employment contexts को जल्दी review करना चाहिए, क्योंकि employment स्रोतों में उन क्षेत्रों में शामिल है जहां high-risk scrutiny relevant हो सकती है।[3] Scoring या customer support में classification इस पर निर्भर करेगी कि AI केवल support देता है या individuals से जुड़े decisions को तैयार, प्रभावित या automate करता है। Exact workflow जाने बिना final classification भरोसेमंद तरीके से नहीं की जा सकती।
अगला कदम: छोटी लेकिन काम की checklist
- AI applications list करें: सभी tools, models, product features और automations को document करें।
- Use cases triage करें: पहले prohibited practices हटाएं, फिर GPAI link और possible high-risk scenarios देखें।[
2][
3][
5]
- Role तय करें: हर application के लिए साफ करें कि आप deployer, provider या GPAI model provider हैं।[
2][
5][
8]
- Sensitive areas prioritize करें: HR, बायोमेट्रिक्स, critical infrastructure, education, public services और decision-heavy processes को पहले assess करें।[
3]
- Vendors से सवाल पूछें: खरीदी गई AI के लिए documentation, risk information, updates और contractual commitments स्पष्ट करें।
- Governance बनाएं: ownership, approvals, documentation और training को process में डालें।
- High-risk preparation schedule करें: possible Annex III systems के लिए 2 अगस्त 2026 को central preparation milestone मानें।[
1]
Bottom line
EU AI Act की तैयारी डर से नहीं, map से शुरू होती है। पहले पता करें कि आपके पास कौन-कौन से AI use cases हैं, आपकी भूमिका क्या है, और हर case के लिए कौन-सी timeline relevant है।
अगर आपकी company सिर्फ कुछ internal tools इस्तेमाल करती है, तो workload सीमित हो सकता है, लेकिन AI register, usage rules और AI literacy फिर भी practical और कुछ contexts में expressly relevant हैं।[2] अगर आप sensitive areas में AI इस्तेमाल करते हैं, AI product उपलब्ध कराते हैं या GPAI models provide करते हैं, तो 2026 तक इंतजार करना समझदारी नहीं होगी।[
1][
3][
5]
