EU AI Act एक जोखिम-आधारित ढांचे का उपयोग करता है। अस्वीकार्य जोखिम (प्रतिबंधित): सामाजिक स्कोरिंग, सार्वजनिक स्थानों में रीयल-टाइम बायोमेट्रिक निगरानी (अपवादों के साथ)। उच्च जोखिम (सख्त आवश्यकताएँ): भर्ती, शिक्षा, कानून प्रवर्तन, महत्वपूर्ण बुनियादी ढांचे में AI — इनके लिए अनुरूपता आकलन, डेटा शासन, मानव निरीक्षण और दस्तावेज़ीकरण आवश्यक है। सीमित जोखिम (पारदर्शिता दायित्व): chatbots को बताना होगा कि वे AI हैं, deepfakes को लेबल करना होगा। न्यूनतम जोखिम (कोई आवश्यकता नहीं): स्पैम फ़िल्टर, वीडियो गेम AI।
EU AI Act विशेष रूप से foundation models (जिन्हें "सामान्य-उद्देश्यीय AI मॉडल" कहा जाता है) को संबोधित करता है। प्रदाताओं को प्रशिक्षण डेटा सारांश प्रकाशित करना, कॉपीराइट कानून का पालन करना और सुरक्षा मूल्यांकन लागू करना होगा। "प्रणालीगत जोखिम" वाले मॉडल (मोटे तौर पर: महत्वपूर्ण compute बजट वाले frontier मॉडल) को adversarial testing, घटना रिपोर्टिंग और साइबर सुरक्षा उपायों सहित अतिरिक्त दायित्वों का सामना करना पड़ता है। यह सीधे Anthropic, OpenAI, Google, और Meta जैसी कंपनियों को प्रभावित करता है।
AI नियमन विश्व भर में असमान रूप से विकसित हो रहा है। EU व्यापक कानून के साथ अग्रणी है। US कार्यकारी आदेशों, NIST frameworks, और क्षेत्र-विशिष्ट एजेंसियों (चिकित्सा AI के लिए FDA, उपभोक्ता संरक्षण के लिए FTC) पर निर्भर करता है। चीन को algorithmic पारदर्शिता, कंटेंट लेबलिंग, और सार्वजनिक-सामना करने वाले जनरेटिव AI के लिए सरकारी अनुमोदन की आवश्यकता है। यह पैचवर्क वैश्विक AI कंपनियों के लिए अनुपालन चुनौतियाँ पैदा करता है जिन्हें विभिन्न बाज़ारों में अलग-अलग नियमों का पालन करना होता है।