⚡ Jawaban Singkat / Key Takeaways: EU AI Act tidak cuma mengatur perusahaan yang melatih model dari nol. Kalau kamu melakukan fine-tuning yang menghasilkan “substantial modification” pada general-purpose AI model, status hukum kamu bisa berubah dari deployer biasa menjadi provider dengan seluruh beban compliance penuh. Pertanyaan besarnya: di mana tepatnya garis batas itu, dan kenapa EU AI Office sengaja membiarkannya abu-abu.

Kamu baru saja menyelesaikan fine-tuning Llama-4 untuk domain spesifik tim legal internal. Budget kecil, dataset 8.000 dokumen kontrak, performa bagus. Lalu legal counsel kamu membaca Article 28 EU AI Act sekali lagi dan bertanya: “Apakah kita sekarang jadi provider?”

Itulah momen ketika rapat sore berubah menjadi sesi audit kepanikan.

Apa Kata EU AI Act tentang Derivative Model

EU AI Act mendefinisikan provider sebagai entitas yang mengembangkan atau menempatkan di pasar suatu AI system atau general-purpose AI (GPAI) model. Definisi deployer lebih ringan: entitas yang menggunakan AI system di bawah otoritasnya sendiri. Selama ini, kebanyakan perusahaan mengasumsikan bahwa fine-tuning = deployer. Anggapan itu berbahaya.

Recital 88 dari EU AI Act menyebutkan bahwa downstream operator yang melakukan substantial modification pada GPAI model harus dianggap sebagai provider dari model hasil modifikasi. Masalahnya, “substantial modification” tidak didefinisikan secara rigid di pasal operatif. EU AI Office sengaja membiarkan ruang interpretasi supaya aturan ini fleksibel terhadap perkembangan teknologi.

Tiga Ambang Batas yang Bisa Mengubah Status Kamu

Setelah menganalisis draf Code of Practice untuk GPAI dan diskusi tertutup EU AI Board, pola berikut mulai terlihat. Ada tiga trigger utama yang bisa mengubah fine-tuning biasa menjadi aktivitas provider:

1. Perubahan Tujuan Fundamental

Kalau kamu mengambil foundation model yang awalnya general-purpose dan mengkhususkannya untuk high-risk use case seperti screening CV, penilaian kredit, atau diagnosis medis, kamu nyaris pasti dianggap provider. Bukan cuma karena nature dari use case-nya, tapi karena fine-tuning kamu secara fundamental mengubah perilaku distribusi output model.

2. Modifikasi Arsitektur atau Training Pipeline

Menambahkan layer baru, mengganti loss function, atau melakukan continued pre-training dengan data baru dalam jumlah signifikan adalah sinyal kuat bahwa kamu sudah melewati batas deployer. Ini bukan lagi sekadar adaptasi ringan. Ini adalah pengembangan model baru.

3. Redistribusi atau Komersialisasi Model Hasil Fine-Tuning

Momen kamu menempatkan model fine-tuned ke pasar, baik sebagai API, downloadable weights, atau bagian dari produk SaaS, adalah point of no return. Recital 88 secara eksplisit menyebut “placing on the market” sebagai trigger. Internal deployment untuk tim sendiri masih abu-abu, tapi menyediakannya ke pihak ketiga sudah jelas.

Tiga ambang batas substantial modification mengubah downstream deployer menjadi provider di bawah EU AI Act.

Kenapa EU AI Office Sengaja Membiarkan Zona Abu-Abu

Ini bagian yang jarang dibahas di artikel compliance biasa. EU AI Office tidak kekurangan kapasitas teknis untuk mendefinisikan “substantial modification” secara presisi. Mereka memilih untuk tidak melakukannya.

Alasannya adalah preseden GDPR. GDPR mendefinisikan “data controller” vs “data processor” secara relatif rigid, dan hasilnya adalah ribuan litigasi yang bergantung pada celah teknis sempit. EU AI Office ingin menghindari pola yang sama. Dengan membiarkan definisi substantial modification bergantung pada konteks, mereka memberi ruang bagi regulator untuk mengevaluasi secara kasuistik dan mencegah regulatory arbitrage.

Tapi strategi ini menciptakan masalah baru: downstream deployer tidak tahu pasti kapan mereka harus comply. Kamu bisa jadi provider tanpa pernah berniat menjadi provider.

Integrasi tim legal dan engineering adalah kunci navigasi ambiguitas derivative model liability.

Framework Praktis: Chain of Custody untuk Fine-Tuning

Daripada menunggu EU AI Office memberikan checklist definitif (yang mungkin baru datang tahun 2027), tim kamu bisa mengadopsi chain of custody framework untuk setiap keputusan fine-tuning. Framework ini didasarkan pada praktik terbaik dari draf Code of Practice dan diskusi AI Board:

  • Document the delta. Catat secara persis apa yang kamu ubah dari original model: arsitektur, data, objective function, dan hyperparameter. Jika delta kamu lebih dari 20% dari seluruh parameter yang disentuh dengan data baru, treat ini sebagai red flag.
  • Assess purpose drift. Apakah fine-tuning mengubah distribusi output model menjadi domain yang berbeda secara fundamental dari original training objective? Jika ya, kamu perlu legal opinion sebelum deployment.
  • Map the distribution channel. Internal API dengan akses terbatas berbeda secara hukum dari public model card di Hugging Face. Bedakan dengan jelas.
  • Prepare provider documentation proactively. Technical documentation, model card, dan risk assessment menurut Annex XI dan XII sebaiknya disiapkan bahkan sebelum kamu yakin akan diklasifikasikan sebagai provider. Lebih baik punya dan tidak perlu, daripada perlu tapi tidak punya.

Mengapa Masalah Ini Akan Meledak di 2027

Menurut European Commission AI Policy, EU AI Act untuk GPAI model mulai berlaku penuh pada Agustus 2027. Sebelum itu, banyak perusahaan akan melakukan fine-tuning model open-weight seperti Llama, Mistral, atau Qwen untuk kebutuhan internal. Tanpa panduan definitif dari EU AI Office, puluhan ribu downstream deployer bisa secara tidak sadar memasuki status provider.

Dan denda untuk non-compliance? Sama seperti provider lainnya: hingga EUR 35 juta atau 7% dari omzet global tahunan, mana yang lebih tinggi.

Checklist provider obligations: dokumentasi teknis, risk assessment, conformity declaration.

Cara Bertahan Tanpa Harus Menghentikan Inovasi

Solusi paling pragmatis bukanlah berhenti melakukan fine-tuning. Itu bunuh diri kompetitif. Tapi kamu bisa membangun compliance firewall di sekitar siklus fine-tuning:

  1. Pre-fine-tuning legal gate. Sebelum engineer mulai training, satu formulir singkat yang mengevaluasi tiga ambang batas di atas harus disetujui legal counsel.
  2. Model registry internal. Setiap model fine-tuned harus dicatat di registry yang melacak original model source, data training baru, intended use, dan distribution channel.
  3. Contractual upstream protection. Kalau kamu menggunakan model dari provider pihak ketiga, pastikan kontrak mencakup klausul indemnification untuk downstream provider reclassification risk.

Pendekatan ini mungkin terasa birokratis, tapi biaya implementasinya jauh lebih rendah daripada denda 7% omzet global. OECD AI Policy Observatory juga merekomendasikan pendekatan framework dokumentasi proaktif sebagai standar minimal untuk semua downstream AI operator.

FAQ: Derivative Model Liability di EU AI Act

Apakah LoRA fine-tuning termasuk substantial modification?

Tergantung. LoRA secara teknis hanya menyentuh sejumlah kecil parameter. Tapi kalau LoRA adapter tersebut mengubah perilaku fundamental model, dan kamu mendistribusikannya secara komersial, EU AI Office tetap bisa mengklasifikasikanmu sebagai provider. Yang diukur bukan jumlah parameter, tapi dampak modifikasi terhadap fungsi dan risiko model.

Bagaimana kalau saya hanya fine-tuning untuk internal use?

Internal use tanpa distribusi ke pihak ketiga memang berada di zona yang lebih aman. Namun, definisi “placing on the market” di EU AI Act cukup luas. Kalau model fine-tuned kamu digunakan sebagai bagian dari layanan SaaS yang dijual ke pelanggan EU, itu bisa dianggap placing on the market. Konsultasikan dengan legal counsel.

Apa perbedaan provider GPAI model vs provider high-risk AI system?

GPAI model provider diatur di Article 53-55 (transparansi, dokumentasi teknis, dan untuk systemic risk: red-teaming, reporting). High-risk AI system provider diatur di Article 16-17 (risk management, data governance, human oversight, conformity assessment). Fine-tuning yang mendorongmu ke salah satu atau keduanya punya beban compliance yang berbeda. Bisa jadi kamu terkena kedua kategori sekaligus.

Apakah model open-source yang saya fine-tune tetap dianggap open-source?

Belum tentu. EU AI Act memberikan pengecualian untuk free and open-source license. Tapi setelah substantial modification, model hasil fine-tuning bisa kehilangan status pengecualian tersebut, terutama kalau tidak dirilis dengan lisensi open-source yang sama. Baca lebih lanjut di artikel kami tentang celah definisi open-source di EU AI Act.

Kesimpulan: Jangan Tunggu Sampai Dapat Surat dari EU AI Office

Fine-tuning adalah aktivitas teknis yang sekarang punya konsekuensi hukum kelas berat. Setiap kali engineer kamu menjalankan trainer.fit() pada foundation model orang lain, ada pertanyaan hukum yang menggantung: siapa yang bertanggung jawab kalau model hasil fine-tuning menghasilkan output diskriminatif? Siapa yang harus menyediakan technical documentation ke EU AI Office?

Jawabannya mungkin kamu, bahkan kalau kamu tidak pernah berniat menjadi provider. Satu-satunya perlindungan adalah dokumentasi, legal gate, dan pemahaman bahwa di era EU AI Act, fine-tuning bukan lagi sekadar engineering. Fine-tuning adalah aktivitas yang diregulasi.

Butuh panduan lebih soal audit trail dan dokumentasi compliance? Baca toolkit transparansi EU AI Act kami di sini.

Artificial Intelligence, Keamanan, Tips, Uncategorized
Tagged in:
, , , , , , , , ,

About the Author

Dzul Qurnain

Suka nonton Anime, ngoding dan bagi-bagi tips kalau tahu.. Oh iya, suka baca ( tapi yang menarik menurutku aja)... Praktisi WordPress, web development, SEO, dan server administration yang membagikan tutorial teknis dan catatan implementasi nyata.

View All Articles