Етичен кодекс на AI на LEGIER и групата "SANDIC by LEGIER"

Съдържание

Забележка: Ако автоматичната директория се окаже празна, щракнете с десния бутон на мишката върху Word → "Актуализиране на полето".

1. преамбюл и обхват на приложение

Настоящият кодекс определя задължителните принципи, процеси и контролни механизми за разработването, възлагането на обществени поръчки, експлоатацията и използването на ИИ в групата LEGIER. Той се прилага в цялата Група за служители, мениджъри, обработващи договори, доставчици и партньори.

Той интегрира съществуващите насоки на Групата (защита на данните, процеси за цифрови услуги, корпоративно управление, устойчивост, политика за правата на човека, декларация за модерно робство) и ги разширява, за да включи специфични за AI изисквания.

Цел е да даде възможност за реализиране на ползи и иновации, да направи рисковете управляеми и да защити правата на потребителите, клиентите и широката общественост.

2. основни ценности и ръководни принципи

Човешко достойнство и основни права стои над икономическата ефективност. ИИ служи на хората - никога обратното.
Правно съответствие: Съответствие с Акт за изкуствения интелект на ЕС, GDPR, DSA и специфични за сектора стандарти. Без използване на забранени практики.
Отговорност и отчетност: За всяка система за изкуствен интелект се определя отговорен собственик; решенията могат да бъдат проследени и оспорени.
Пропорционалност: Баланс между цел, риск, интензивност на интервенцията и социално въздействие.
Прозрачност и обяснимост: Адекватна информация, документация и канали за комуникация относно функционалността, ситуациите с данните и ограниченията.
Справедливост и приобщаване: Систематично тестване на пристрастията, защита на уязвимите групи, достъпност и многоезичие.
Сигурност и устойчивост: Сигурност по проект, защита в дълбочина, непрекъснато укрепване и наблюдение.
Устойчивост: Ефективност на моделите и центровете за данни (енергия, PUE/CFE), преглед на жизнения цикъл на данните/моделите.

3. управление и отговорности (Съвет по етика на ИИ, RACI)

Етичен съвет за изкуствен интелект (AIEB): Интердисциплинарни (технологии, право/съответствие, защита на данните, сигурност, редакция/продукт, хора). Задачи: Актуализиране на политиките, издаване на одобрения (особено високорискови), вземане на решения за конфликти, наблюдение на докладите.

Роли: Собственик на случаите на употреба, собственик на модела, управител на данните, DPO, ръководител на сигурността, отговорен редактор, собственик на услугата, ръководител на обществените поръчки.

Комитети и портали: Одобрение от AIIA преди пускането в експлоатация; консултативен съвет по промените за съществени промени; годишни прегледи на ръководството.

Принцип RACI: Ясно разпределение на отговорностите за всяка дейност (отговорни, отговорни, консултирани, информирани).

4. правна и стандартизационна рамка (Закон за изкуствения интелект на ЕС, GDPR, DSA, авторско право, търговско право)

EU-AI-Act: Рамка, основана на риска, със забрани, задължения за високорискови системи, документация, регистриране, управление, задължения за прозрачност; поетапно прилагане от 2025/2026 г.
GDPR: Правни основания (чл. 6/9), права на субектите на данни, неприкосновеност на личния живот по замисъл/по подразбиране, оценка на въздействието върху защитата на данните (ОВЗД), предаване на данни на трети държави (чл. 44 и сл.).
DSA: Процеси на платформата за уведомяване, жалби, доклади за прозрачност, оценки на риска на големи платформи.
Авторско право и сродни права / лични права: Ясни лицензионни вериги, права върху изображения/имена, права на трети страни по местоживеене.
Специфични за индустрията изисквания (напр. авиационно/морско право/здравеопазване) също трябва да се спазват.

5. класификация на риска и оценка на въздействието на изкуствения интелект (AIIA)

Класификация:

Забранени практики (неразрешени)
Високорискови системи (строги задължения)
Ограничен риск (прозрачност)
Минимизиран риск

Процедура на AIIA: Описание Цел/обхват, заинтересовани страни, правно основание, източници на данни; анализ на риска (правен, етичен, безопасност, пристрастие, въздействие върху околната среда); план за смекчаване; решение (одобрение от AIEB).

Повторни оценки: За съществени промени, ежегодно за висок риск; документиране в централния регистър.

6. етика и защита на данните (правно основание, DPIA, бисквитки, трета страна)

Минимизиране на данните и ограничаване на целите; Предпочита се псевдонимизация/анонимизация.
Прозрачност: Информация за защита на данните, информация и канали за изтриване; преносимост; възможности за възражение.
Бисквитки/проследяване: Управление на съгласието; оттегляне; анонимизиране на IP; само одобрени инструменти.
Трансфери от трети страни: Само с подходящи гаранции (SCC/адекватност); редовно тестване на подизпълнителите.
DPIA: Задължително за обработка с висок риск; документиране на технически/организационни мерки (TOM).

7. жизнен цикъл на модела и данните (жизнен цикъл на ML, карти на данни, карти на модели)

Жизнен цикъл на данните: Придобиване → Куриране → Етикетиране → Портове за качество → Версия → Съхранение/изтриване.

Жизнен цикъл на модела: Определяне на проблема → Избор на архитектура → Обучение/настройка → Оценка (офлайн/онлайн) → Пускане в експлоатация → Експлоатация → Мониторинг → Преквалификация/пенсиониране.

Карти с данни: Произход, представителност, качество, констатации за отклонения, ограничения за използване.

Карти за модели: Предназначение, данни за обучение, еталони, показатели, ограничения, очаквани модели на грешки, препоръки/препоръки.

Произход и възпроизводимост: Хешове, версии на данни/модели, проверки на тръбопроводи.

8. прозрачност, обяснимост и инструкции за потребителите

Етикетиране за взаимодействие с изкуствен интелект и съдържание, генерирано от изкуствен интелект.
Обяснимост: Използвайте съобразени с конкретния случай обяснения, които са удобни за неспециалисти (местни/глобални).
Инструкции за потребителя: Цел, основни фактори на влияние, граници; методи за обратна връзка и корекция.

9. "човек в цикъла" и надзорни функции

Човешки надзор като стандарт за съответните решения (особено при висок риск).
Принцип на "четирите очи" за редакционно/социално чувствителни задачи.
Функции за отменяне/премахване; пътища за ескалация; документация.

10. сигурност, надеждност и red-teaming (prompt injection, jailbreaks)

Моделиране на заплахите (STRIDE + специфични за AI): Вкарване на подкана, отравяне на данни за обучение, кражба на модели, изтичане на данни за защита.
Червени екипи и тестове срещу противници; предотвратяване на бягство от затвора; ограничаване на скоростта; филтриране на изхода; тайно сканиране.
Устойчивост: Съобщения за резервни варианти, предпазни огради, планове за връщане; освобождаване на "канарчета"; хаос тестове за безопасност.

11. верига за доставки, права на човека и справедлив труд (модерно робство, аналог на LkSG)

Надлежна проверка на правата на човека: Анализ на риска, кодекс за поведение на доставчика, договорни ангажименти, одити, коригиращи действия.
Съвременно робство: Годишна декларация, повишаване на осведомеността, канали за докладване.
Трудови стандарти: Справедливо заплащане, работно време, защита на здравето; защита на лицата, подаващи сигнали за нередности.

12. управление на пристрастията, справедливост и приобщаване (уязвими клиенти, достъпност)

Проверки на пристрастията: Анализи на набори от данни, балансиране, различни тестови групи, показатели за справедливост; документирано смекчаване.
Клиенти в риск: Цели за защита, алтернативни канали, ясен език; без използване на когнитивните слабости.
Достъпност: WCAG-конформизъм; многоезичие; приобщаващ подход.

13. генеративен изкуствен интелект, доказване на произход и етикетиране (C2PA, воден знак)

Етикетиране: Видими етикети/метаданни за съдържание с изкуствен интелект; подсказка за взаимодействията.
Гаранции за произход: C2PA-контекст, подписи/водни знаци, доколкото това е технически възможно.
Авторски права/защита на услуги: Изясняване на лицензите; обучение за съответствие на данните; документиране на веригата на правата.

14. съдържание, модериране и процеси на DSA (докладване, жалби, прозрачност)

Канали за докладване: Докладване от страна на потребителите при нисък праг; приоритетна обработка на незаконно съдържание.
Процедури за подаване на жалби: Прозрачна обосновка, възражение, ескалация.
Доклади за прозрачност: Периодично публикуване на съответните ключови данни и мерки.

15. специфична употреба на домейни (новини, данни, здраве, авиация, яхти, имоти, плащане/търговия/доверие/монети, автомобили)

Новини/издаване: Помощ при изследванията, превод, модериране; ясно обозначаване на генериращото съдържание.
СКАНДИЧНИ ДАННИ: Сигурна инфраструктура за AI/HPC, разделяне на клиентите, HSM/KMS, наблюдаемост, артефакти за съответствие.
Здраве: Използване, основано на доказателства, окончателно решение, взето от човек, без непроверени диагнози.
Авиация/яхти: Процеси на безопасност, контрол на хората, процедури при извънредни ситуации.
Имоти: Модели за оценка с проверки за справедливост; интегриране на ESG.
Плащане/търговия/доверие/монета: Предотвратяване на измами, KYC/AML, наблюдение на пазара, обясними решения.
Автомобили: Персонализирани услуги със строга защита на данните.

16. трети страни, обществени поръчки и управление на риска при доставчиците

Надлежна проверка преди включване в системата: Ниво на сигурност/защита на данните, местоположения на данните, подизпълнители, сертификати.
Договори: Одиторски права, клаузи за прозрачност и отстраняване на нередности, показатели за SLA/OLA.
Наблюдение: Ключови показатели за ефективност, обмен на констатации/инциденти, планове за излизане от ситуацията.

17. експлоатация, наблюдаемост, аварийни планове и планове за рестартиране

Работа: Наблюдаемост (логове, метрики, проследявания), управление на SLO/SLI, планиране на капацитета.
Спешна помощ: Ръководства за изпълнение, тестове за DR, време за възстановяване, комуникационни планове.
Управление на конфигурацията/секретността: Най-малки права, ротации, втвърдяване.

18. инциденти и средства за защита (етика, защита на данните, сигурност)

Етични инциденти: Нежелана дискриминация, дезинформация, неясен произход - незабавни мерки и преглед от AIEB.
Инциденти, свързани със защитата на данните: Процеси на докладване на ОЗД/надзор; информация за засегнатите страни; анализ на първопричината.
Инциденти, свързани със сигурността: Процедури на CSIRT, криминалистика, научени уроци, превантивни мерки.

19. показатели, ключови индикатори за ефективност и гаранции (вътрешни/външни)

Задължителни ключови показатели за ефективност: 100 % AIIA покритие на продуктивни случаи на използване на изкуствен интелект; 95 % процент на обучение; 0 открити критични одитни констатации.
Показатели за справедливост: Разнопосочно въздействие, изравнени шансове (използвайте за конкретен случай).
Устойчивост: Данни за енергийната ефективност на центровете за данни; ефективност на моделите.

20. обучение, осведоменост и културна промяна

Задължително обучение (ежегодно): Етика в областта на изкуствения интелект, защита на данните, сигурност, медийна етика; модули, специфични за целевите групи.
Кампании за повишаване на осведомеността: Наръчници, сесии "кафяв пакет", часове за консултации; вътрешни общности на практиката.
Култура: Лидерство като модел за подражание, култура на грешките, възнаграждаване на отговорното поведение.

21. изпълнение и пътна карта (0-6 / 6-12 / 12-24 месеца)

0-6 месеца: Опис на случаите на използване на изкуствен интелект; процес на AIIA; минимални проверки; вълна на обучение; проверка на доставчиците.
6-12 месеца: Разгръщане на червения екип; първи доклади за прозрачност; енергийна програма; финализиране на RACI.
12-24 месеца: Привеждане в съответствие с ISO/IEC-42001; ограничено осигуряване; непрекъснато подобряване; подготовка на CSRD/ESRS (ако е приложимо).

22. ролки и RACI матрица

Собственик на случай на употреба (A): Цел, ползи, ключови показатели за ефективност, бюджет, повторни оценки.
Модел-собственик (R): Данни/обучение/оценка, карта на модела, наблюдение на дрейфа.
ДЛЗД (отговорник за защита на данните): Правно основание, ОВОС, права на субектите на данни.
Ръководител по сигурността (C): Моделиране на заплахите, разработване на червени екипи, TOM.
Отговорен редактор (C): Медийна етика, етикетиране, регистър за корекции.
Собственик на услугата (R): Операция, SLO, управление на инциденти.
Ръководител на обществените поръчки (R/C): Трети страни, договори, планове за напускане.

23. контролни списъци (кратък списък на AIIA, освобождаване на данни, портал за въвеждане в експлоатация)

Бърза проверка на AIIA: Цел? Правно основание? Засегнати страни? Рискове (правни/етични/сигурност/предразсъдъци/екологични)? Смекчаване? Контрол на HIL?
Публикуване на данни: Източникът е законен? Минимизиране? Съхранение? Достъп? Трета страна?
Влизане в действие: Артефактите са пълни (карти с данни/модели, дневници)? Резултатите от червения екип са разгледани? Създаден мониторинг/DR?

24. формуляри и шаблони (карта на модела, карта с данни, доклад за инцидент)

Модел-Card-Template: Цел, данни, обучение, референтни стойности, ограничения, рискове, отговорни лица, контакти.
Data-Card-Template: Произход, лиценз, качество, представителност, проверки за пристрастие, ограничения за използване.
Образец на доклад за инцидент: Инцидент, последици, засегнати лица, незабавни мерки, първопричина, средство за защита, извлечени поуки.

25 Речник и препратки

Глосар: Система за изкуствен интелект, генеративен изкуствен интелект, високорискова система, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Препратки:

Акт за изкуствения интелект на ЕС
GDPR
DSA
Принципи на ОИСР за изкуствения интелект
NIST AI RMF
ISO/IEC 42001
Вътрешни насоки (защита на данните, процеси на DSA, съвременно робство, устойчивост)

Забележка: Настоящият кодекс за ИИ допълва съществуващите насоки на LEGIER, като например: (защита на данните, цифрови услуги, човешки права/верига на доставки, корпоративно управление, устойчивост, съвременно робство). Той е неразделна част от рамката за съответствие на групата LEGIER (LEGIER Beteiligungs mbH).