LEGIER ja "SANDIC by LEGIER" grupi eetikakoodeksid

Sisukord

Märkus: Kui automaatne kataloog on tühi, siis klõpsake Wordis paremklõpsuga → "Uuenda väli".

1. preambul ja kohaldamisala

Käesolevas koodeksis on sätestatud siduvad põhimõtted, protsessid ja kontrollid tehisintellekti arendamiseks, hankimiseks, kasutamiseks ja kasutamiseks LEGIER Grupis. See kehtib kogu kontserni töötajate, juhtide, lepinguliste töötlejate, tarnijate ja partnerite suhtes.

Selles on integreeritud olemasolevad kontserni suunised (andmekaitse, digitaalteenuste protsessid, ettevõtte juhtimine, jätkusuutlikkus, inimõiguste poliitika, kaasaegse orjuse avaldus) ja laiendatud neid, et lisada tehisintellekti-spetsiifilised nõuded.

Eesmärk on võimaldada kasu ja innovatsiooni, muuta riskid juhitavaks ning kaitsta kasutajate, klientide ja üldsuse õigusi.

2. põhiväärtused ja juhtpõhimõtted

Inimväärikus ja põhiõigused seisavad majanduslikust tõhususest kõrgemal. Tehisintellekt teenib inimesi - mitte kunagi vastupidi.
Õigusaktidele vastavus: Vastavus ELi tehisintellekti seadus, GDPR, DSA ja sektorispetsiifilised standardid. Keelatud tavasid ei kasutata.
Vastutus ja vastutus: Igale tehisintellekti süsteemile määratakse vastutav omanik; otsused on jälgitavad ja vaidlustatavad.
Proportsionaalsus: Eesmärgi, riski, sekkumise intensiivsuse ja sotsiaalse mõju tasakaal.
Läbipaistvus ja selgitatavus: Piisav teave, dokumentatsioon ja kommunikatsioonikanalid funktsionaalsuse, andmete olukorra ja piirangute kohta.
Õiglus ja kaasamine: Süstemaatiline eelarvamuste kontrollimine, haavatavate rühmade kaitse, juurdepääsetavus ja mitmekeelsus.
Turvalisus ja vastupidavus: Turvalisuse kavandamine, süvakaitse, pidev tugevdamine ja järelevalve.
Jätkusuutlikkus: Mudelite ja andmekeskuste tõhusus (energia, PUE/CFE), andmete/mudelite elutsükli vaade.

3. juhtimine ja vastutus (AI eetikanõukogu, RACI)

AI eetikanõukogu (AIEB): Interdistsiplinaarne (tehnika, õigus/vastavus, andmekaitse, turvalisus, toimetus/toode, inimesed). Ülesanded: Poliitikate ajakohastamine, kinnituste andmine (eriti kõrge riskiga), konfliktide üle otsustamine, aruannete jälgimine.

Rollid: Kasutusjuhtumi omanik, mudeli omanik, andmehaldur, andmekaitseametnik, turvalisuse eestvedaja, vastutav toimetaja, teenuse omanik, hankejuht.

Komiteed ja väravad: AIIA heakskiitmine enne kasutuselevõttu; muudatuste nõuandekogu oluliste muudatuste puhul; iga-aastased juhtkonna ülevaated.

RACI põhimõte: Selge vastutuse määramine iga tegevuse eest (vastutav, aruandekohustuslik, konsulteeritud, teavitatud).

4. õigus- ja standardimisraamistik (ELi tehisintellekti seadus, GDPR, DSA, autoriõigus, kaubandusõigus).

EL-AI-akt: Riskipõhine raamistik koos keeldude, kõrge riskiga süsteemide kohustuste, dokumentatsiooni, logimise, juhtimise ja läbipaistvuse kohustustega; astmeline kohaldatavus alates 2025/2026. aastast.
GDPR: Õiguslikud alused (artikkel 6/9), andmesubjektide õigused, eraelu puutumatuse kavandatud või vaikimisi säilitamine, andmekaitsealane mõjuhinnang, andmete edastamine kolmandatele riikidele (artikkel 44 ja järgnevad artiklid).
DSA: Platvormide teavitamise protsessid, kaebused, läbipaistvusaruanded, suurte platvormide riskianalüüsid.
Autoriõigus ja naaberõigused / isiklikud õigused: Selged litsentsiahelad, kujutise/nimede õigused, kolmandate isikute asukohaõigused.
Tööstusspetsiifilised nõuded (nt lennundus/merendusõigus/tervishoid) tuleb samuti järgida.

5. riskide klassifitseerimine ja tehisintellekti mõju hindamine (AIIA)

Klassifikatsioon:

Keelatud tavad (keelatud)
Kõrge riskiga süsteemid (ranged kohustused)
Piiratud risk (läbipaistvus)
Minimeeritud risk

AIIA menetlus: Kirjeldus Eesmärk/ülesanne, sidusrühmad, õiguslik alus, andmeallikad; riskianalüüs (õiguslik, eetiline, ohutus, erapooletus, keskkonnamõju); leevendamiskava; otsus (AIEBi heakskiitmine).

Ümberhindamised: Oluliste muudatuste puhul igal aastal kõrge riski korral; dokumenteerimine keskregistris.

6. andmeeetika ja andmekaitse (õiguslik alus, DPIA, küpsised, kolmas riik)

Andmete minimeerimine ja eesmärgi piiramine; Eelistatud on pseudonümiseerimine/anonümiseerimine.
Läbipaistvus: Andmekaitseteave, teavitamis- ja kustutamiskanalid; ülekantavus; vastuväidete esitamise võimalused.
Küpsised/jälgimine: Nõusoleku haldamine; tühistamine; IP anonüümseks muutmine; ainult heakskiidetud vahendid.
Kolmandate riikide ülekanded: Ainult sobivate garantiidega (SCC/vastavus); alltöövõtjate korrapärane testimine.
DPIA: Kohustuslik kõrge riskiga töötlemise puhul; tehniliste/organisatsiooniliste meetmete dokumenteerimine.

7. mudeli ja andmete elutsükkel (ML elutsükkel, andmekaardid, mudelikaardid)

Andmete elutsükkel: Omandamine → Kuuratoorium → Märgistamine → Kvaliteediväravad → Versioonimine → Säilitamine/lahutamine.

Mudeli elutsükkel: Probleemi määratlemine → Arhitektuuri valik → Koolitus/häälestamine → Hindamine (offline/online) → Vabastamine → Kasutamine → Järelevalve → Ümberõpe/väljalülitamine.

Andmekaardid: Päritolu, representatiivsus, kvaliteet, kõrvalekalded, kasutuspiirangud.

Mudelkaardid: Eesmärk, treeningandmed, võrdlusandmed, mõõdikud, piirangud, eeldatavad veamustrid, käitumisviisid/mittekäitumisviisid.

Päritolu ja reprodutseeritavus: Hashid, andmete/mudeli versioonid, torujuhtmete kontrollimine.

8. läbipaistvus, selgitatavus ja kasutajajuhised

Tehisintellekti interaktsiooni ja tehisintellekti loodud sisu märgistamine.
Seletatavus: Kasutage juhtumipõhiseid, tavainimesele sobivaid selgitusi (kohalikud/üleilmsed).
Kasutaja juhised: Eesmärk, peamised mõjutegurid, piirangud; tagasiside- ja parandusmeetodid.

9. Inimese- ja järelevalveülesanded

Inimese järelevalve kui standard asjakohaste otsuste puhul (eriti kõrge riskiga).
Nelja silma põhimõte toimetuse/ühiskondlikult tundlike ülesannete puhul.
Funktsioonide tühistamine/ülesütlemine; eskalatsiooniprogrammid; dokumentatsioon.

10. turvalisus, vastupidavus ja red-teaming (prompt injection, jailbreak)

Ohu modelleerimine (STRIDE + AI-spetsiifiline): Prompt-süstimine, treeningandmete mürgitamine, mudelivargus, andmekaitse leke.
Red teaming & vastase testid; jailbreakide vältimine; kiiruse piiramine; väljundi filtreerimine; salajane skaneerimine.
Vastupidavus: Tagasipöördumiskutsed, kaitsepiirangud, tagasipöördumisplaanid; kanaari vabastused; ohutuse tagamiseks tehtavad kaose testid.

11. tarneahela, inimõigused ja õiglane töö (kaasaegne orjandus, LkSG-analoog)

Inimõiguste hoolsuskohustus: Riskianalüüs, tarnija käitumisjuhend, lepingulised kohustused, auditid, parandusmeetmed.
Kaasaegne orjandus: Iga-aastane deklaratsioon, teavitamine, aruandluskanalid.
Töönormid: Õiglane töötasu, tööaeg, tervisekaitse; rikkumisest teatajate kaitse.

12. eelarvamuste juhtimine, õiglus ja kaasamine (haavatavad kliendid, ligipääsetavus)

Eelarvekontrollid: Andmekogumite analüüs, tasakaalustamine, erinevad katserühmad, õigluse mõõdikud; dokumenteeritud leevendamine.
Riskikliendid: Kaitse-eesmärgid, alternatiivsed kanalid, selge keelekasutus; ei kasuta ära kognitiivseid nõrkusi.
Ligipääsetavus: WCAG-Konformsus; mitmekeelsus; kaasav lähenemine.

13. genereeriv tehisintellekt, päritolutõend ja märgistus (C2PA, vesimärk).

Märgistamine: Nähtavad märgised/metaandmed tehisintellekti sisu kohta; vihje interaktsioonide kohta.
Päritolutagatised: C2PA-kontekst, allkirjad/veemärgid, niivõrd kui see on tehniliselt võimalik.
Autoriõigused/teenuste kaitse: Litsentside selgitamine; andmete vastavuse koolitamine; õiguste ahela dokumenteerimine.

14. sisu, modereerimine ja DSA protsessid (aruandlus, kaebused, läbipaistvus)

Aruandluskanalid: Madalalävi kasutajatest teatamine; ebaseadusliku infosisu eelisjärjekorras töötlemine.
Kaebuste menetlused: Läbipaistev põhjendus, vastuväide, eskaleerumine.
Läbipaistvusaruanded: Asjakohaste põhinäitajate ja meetmete perioodiline avaldamine.

15. Valdkonnaspetsiifiline kasutamine (uudised, andmed, tervis, lennundus, jahid, kinnisvara, maksmine/kaubandus/trust/mündid, autod).

Uudised/väljaanded: Uurimisabi, tõlkimine, modereerimine; geneerilise sisu selge märgistamine.
SKANDI ANDMED: Turvaline AI/HPC-infrastruktuur, klientide eraldamine, HSM/KMS, jälgitavus, nõuetele vastavuse artefaktid.
Tervis: Tõenduspõhine kasutamine, inimese lõplik otsus, ei mingeid kontrollimata diagnoose.
Lennundus/Jahtklubid: Ohutusprotsessid, inimeste järelevalve, hädaolukorra menetlused.
Kinnisvara: Hindamismudelid koos õigluse kontrolliga; ESG integreerimine.
Makse/kaubandus/trusti/münt: Pettuste ennetamine, KYC/AML, turujärelevalve, seletatavad otsused.
Autod: Isikupärastatud teenused koos range andmekaitsega.

16. Kolmandad isikud, hanked ja tarnijate riskijuhtimine

Nõuetekohane hoolsuskohustus enne töölevõtmist: Turvalisuse/andmekaitse tase, andmete asukohad, alamtöötlejad, sertifikaadid.
Lepingud: Auditiõigused, läbipaistvuse ja parandusmeetmete klauslid, SLA/OLA mõõdikud.
Järelevalve: Tulemuslikkuse põhinäitajad, tulemuste/intsidentide vahetamine, väljumiskavad.

17. käitamine, jälgitavus, hädaolukorra ja taaskäivitamise plaanid

Operatsioon: jälgitavus (logid, meetrika, jäljed), SLO/SLI haldamine, võimsuse planeerimine.
Hädaolukord: Jooksuraamatud, DR-testid, taastumisaeg, kommunikatsiooniplaanid.
Konfigureerimine/saladuse haldamine: Vähimad privileegid, rotatsioonid, karastamine.

18. vahejuhtumid ja õiguskaitsevahendid (eetika, andmekaitse, turvalisus)

Eetilised juhtumid: Ebasoovitav diskrimineerimine, desinformatsioon, ebaselge päritolu - viivitamatuid meetmeid ja AIEBi läbivaatamine.
Andmekaitseintsidendid: Aruandlusprotsessid andmekaitseametnikule/järelevalvele; teave asjaomastele osapooltele; algpõhjuste analüüs.
Turvaintsidendid: CSIRT menetlused, kohtuekspertiis, saadud õppetunnid, ennetusmeetmed.

19. mõõdikud, peamised näitajad ja kinnitamine (sisemine/väline)

Kohustuslikud põhinäitajad: 100 % AIIA tootlike AI kasutusjuhtumite katvus; 95 % koolitusmäär; 0 avatud kriitilist auditileidet.
Õigluse mõõdikud: Erinev mõju, võrdsed võimalused (kasutada juhtumipõhiselt).
Jätkusuutlikkus: Andmekeskuste energia/PUE/süsinikdioksiidi näitajad; mudelite tõhusus.

20. koolitus, teadlikkuse tõstmine ja kultuurimuutus

Kohustuslik koolitus (iga-aastane): Tehisintellekti eetika, andmekaitse, turvalisus, meediaeetika; sihtrühmapõhised moodulid.
Teadlikkuse tõstmise kampaaniad: Juhendid, brown-bag'i istungid, konsultatsioonitunnid; sisemised praktikakogukonnad.
Kultuur: Juhtimine kui eeskuju, veakultuur, vastutustundliku käitumise premeerimine.

21. rakendamine ja tegevuskava (0-6 / 6-12 / 12-24 kuud)

0-6 kuud: Tehisintellekti kasutusjuhtumite loetelu; AIIA protsess; miinimumkontrollid; koolituslaine; tarnijate sõelumine.
6-12 kuud: Punase meeskonna moodustamine; esimesed läbipaistvusaruanded; energeetikaprogramm; RACI lõpuleviimine.
12-24 kuud: ISO/IEC-42001 vastavusse viimine; piiratud kindlus; pidev täiustamine; CSRD/ESRS ettevalmistamine (kui see on kohaldatav).

22. rullid ja RACI-maatriks

Kasutusjuhtumi omanik (A): Eesmärk, kasu, peamised näitajad, eelarve, ümberhindamised.
Mudel-omanik (R): Andmed/koolitus/hindamine, mudelikaart, triiviseire.
Andmekaitseametnik (andmekaitseametnik): Õiguslik alus, DPIA, andmesubjektide õigused.
Turvalisuse eestvedaja (C): Ohu modelleerimine, punase meeskonna moodustamine, TOMid.
Vastutav toimetaja (C): Meediaeetika, märgistamine, parandusregister.
Teenuse omanik (R): Operatsioon, SLO, intsidentide juhtimine.
Hangete juht (R/C): Kolmandad osapooled, lepingud, väljumiskavad.

23. kontrollnimekirjad (AIIA lühike, andmete avaldamine, käivitamise värav)

AIIA kiirkontroll: Eesmärk? Õiguslik alus? Mõjutatud isikud? Riskid (õiguslikud/eetilised/eetilised/julgeolekualased/keskkonnaalased)? Leevendamine? HIL-kontrollid?
Andmete avaldamine: Allikas seaduslik? Minimeerimine? Säilitamine? Juurdepääs? Kolmas riik?
Go-Live-Gate: Artefaktid on täielikud (andmed/mudelkaardid, logid)? Kas punase rühma tulemused on käsitletud? Kas seire/DR on loodud?

24. vormid ja mallid (näidiskaart, andmekaart, vahejuhtumi aruanne)

Mudel-kaart-mall: Eesmärk, andmed, koolitus, võrdlusalused, piirangud, riskid, vastutavad isikud, kontaktandmed.
Data-Card-Template: Päritolu, litsents, kvaliteet, representatiivsus, erapoolikuse kontroll, kasutuspiirangud.
Intsidentide aruande mall: Vahejuhtum, mõju, mõjutatud isikud, viivitamatud meetmed, algpõhjus, parandusmeetmed, saadud õppetunnid.

25 Sõnastik ja viited

Sõnastik: Tehisintellekti süsteem, genereeriv tehisintellekt, kõrge riskiga süsteem, AIIA, HIL, C2PA, punane meeskond, DPIA, RACI, SLO/SLI.

Viited:

ELi tehisintellekti seadus
GDPR
DSA
OECD tehisintellekti põhimõtted
NIST AI RMF
ISO/IEC 42001
Sisesed suunised (andmekaitse, DSA-protsessid, kaasaegne orjandus, jätkusuutlikkus).

Märkus: Käesolev AI-koodeks täiendab olemasolevaid LEGIERi suuniseid, nagu muu hulgas: (andmekaitse, digitaalsed teenused, inimõigused/tarneahela, ettevõtte juhtimine, jätkusuutlikkus, kaasaegne orjandus). See on LEGIER Grupi (LEGIER Beteiligungs mbH) nõuetele vastavuse raamistiku lahutamatu osa.