اصول اخلاقی هوش مصنوعی گروه LEGIER و «SANDIC by LEGIER»

 
 

فهرست مطالب

 

یک اطلاعیه: اگر پوشه‌ی خودکار خالی به نظر می‌رسد، لطفاً در Word کلیک راست کرده و گزینه‌ی «Update field» را انتخاب کنید.

 

 
 
 

۱. مقدمه و محدوده

این آیین‌نامه، اصول، فرآیندها و کنترل‌های الزام‌آوری را برای توسعه، تهیه، بهره‌برداری و استفاده از هوش مصنوعی در گروه LEGIER تعیین می‌کند. این آیین‌نامه در سطح گروه برای کارمندان، مدیران، پردازنده‌ها، تأمین‌کنندگان و شرکا اعمال می‌شود.

این طرح، سیاست‌های موجود شرکت‌ها (حفاظت از داده‌ها، فرآیندهای خدمات دیجیتال، حاکمیت شرکتی، پایداری، سیاست حقوق بشر، بیانیه برده‌داری مدرن) را ادغام کرده و آنها را گسترش می‌دهد تا الزامات خاص هوش مصنوعی را نیز در بر بگیرد.

 

هدف هدف، فراهم کردن مزایا و نوآوری، مدیریت ریسک‌ها و حفاظت از حقوق کاربران، مشتریان و عموم مردم است.

 

۲. ارزش‌های اصلی و اصول راهنما

 

  • کرامت انسانی و حقوق اساسی هوش مصنوعی بر بهره‌وری اقتصادی اولویت دارد. هوش مصنوعی در خدمت مردم است - هرگز برعکس.
  • انطباق قانونی: انطباق با قانون هوش مصنوعی اتحادیه اروپاGDPRدی‌اس‌ای و استانداردهای خاص هر بخش. عدم استفاده از شیوه‌های ممنوعه.
  • مسئولیت‌پذیری و پاسخگویی: برای هر سیستم هوش مصنوعی یک مالک مسئول تعیین می‌شود؛ تصمیمات شفاف و قابل اعتراض هستند.
  • تناسب: تعادل بین هدف، ریسک، شدت مداخله و تأثیر اجتماعی.
  • شفافیت و قابلیت توضیح: اطلاعات، مستندات و کانال‌های ارتباطی مناسب در مورد عملکرد، دسترسی به داده‌ها و محدودیت‌ها.
  • انصاف و شمول: آزمایش سیستماتیک تعصب، حفاظت از گروه‌های آسیب‌پذیر، دسترسی‌پذیری و چندزبانگی.
  • امنیت و تاب‌آوری: امنیت از طریق طراحی، دفاع در عمق، مقاوم‌سازی و نظارت مداوم.
  • پایداری: کارایی مدل‌ها و مراکز داده (انرژی، PUE/CFE)، نمای چرخه عمر داده‌ها/مدل‌ها.
 
 

۳. مدیریت و مسئولیت‌ها (هیئت اخلاق هوش مصنوعی، RACI)

 

هیئت اخلاق هوش مصنوعی (AIEB): میان‌رشته‌ای (فنی، حقوقی/انطباق، حفاظت از داده‌ها، امنیت، ویراستاری/محصول، منابع انسانی). مسئولیت‌ها: به‌روزرسانی سیاست‌ها، صدور تأییدیه‌ها (به‌ویژه موارد پرخطر)، حل اختلافات و نظارت بر گزارش‌ها.

رول: صاحب مورد استفاده، صاحب مدل، ناظر داده، DPO، سرپرست امنیت، ویراستار مسئول، صاحب سرویس، سرپرست تدارکات.

کمیته‌ها و درگاه‌ها: تأیید AIIA قبل از شروع به کار؛ هیئت مشاوره تغییر برای تغییرات اساسی؛ بررسی‌های مدیریتی سالانه.

اصل RACI: تخصیص شفاف مسئولیت‌ها برای هر فعالیت (مسئول، پاسخگو، مورد مشورت، مطلع).

 

۴. چارچوب قانونی و نظارتی (قانون هوش مصنوعی اتحادیه اروپا، GDPR، DSA، قانون حق چاپ، قانون تجارت)

 
  • قانون هوش مصنوعی اتحادیه اروپا: چارچوب مبتنی بر ریسک با ممنوعیت‌ها، تعهدات مربوط به سیستم‌های پرخطر، مستندسازی، ثبت وقایع، حاکمیت و الزامات شفافیت؛ اجرای مرحله‌ای از ۲۰۲۵/۲۰۲۶.
  • GDPR: مبانی قانونی (ماده ۶/۹)، حقوق موضوع داده‌ها، حریم خصوصی بر اساس طراحی/پیش‌فرض، ارزیابی تأثیر حفاظت از داده‌ها (DPIA)، انتقال به کشور ثالث (ماده ۴۴ به بعد).
  • دی اس ای: فرآیندهای پلتفرم برای گزارش‌دهی، شکایات، گزارش‌های شفافیت و ارزیابی ریسک برای پلتفرم‌های بزرگ.
  • حق نشر و حق نشر جانبی / حقوق شخصی: زنجیره‌های مجوز شفاف، حق تصویر/نام، حق مالکیت شخص ثالث.
  • الزامات خاص صنعت (مثلاً قانون هوانوردی/دریایی/بهداشت) نیز باید رعایت شود.
 

۵. طبقه‌بندی ریسک و ارزیابی تأثیر هوش مصنوعی (AIIA)

 
 

طبقه بندی:

  1. اعمال ممنوعه (غیرمجاز)
  2. سیستم‌های پرخطر (الزامات سختگیرانه)
  3. ریسک محدود (شفافیت)
  4. حداقل ریسک

فرآیند AIIA: شرح هدف/دامنه، ذینفعان، مبانی قانونی، منابع داده‌ها؛ تحلیل ریسک (حقوقی، اخلاقی، ایمنی، سوگیری، اثرات زیست‌محیطی)؛ طرح کاهش؛ تصمیم (تأیید AIEB).

ارزیابی‌های مجدد: برای تغییرات اساسی، سالانه برای اقلام پرخطر؛ مستندات در دفتر ثبت مرکزی.

 

۶. اخلاق داده‌ها و حفاظت از داده‌ها (مبانی قانونی، DPIA، کوکی‌ها، کشور ثالث)

 
  • کمینه‌سازی داده‌ها و محدودسازی هدف؛ مستعارنویسی/ناشناس‌سازی ترجیح داده می‌شود.
  • شفافیت: اطلاعات حفاظت از داده‌ها، کانال‌های اطلاعات و حذف؛ قابلیت حمل؛ گزینه‌های اعتراض.
  • کوکی‌ها/ردیابی: مدیریت رضایت؛ لغو؛ ناشناس‌سازی IP؛ فقط ابزارهای تأیید شده.
  • حواله‌های کشور ثالث: فقط با ضمانت‌های مناسب (SCC/کفایت)؛ ممیزی‌های منظم از زیرپردازنده‌ها.
  • دی پی آی ای: برای پردازش‌های پرخطر الزامی است؛ اقدامات فنی/سازمانی (TOM) را مستند کنید.
 
 

۷. چرخه حیات مدل و داده (چرخه حیات یادگیری ماشین، کارت‌های داده، کارت‌های مدل)

 

چرخه حیات داده: اکتساب → گردآوری → برچسب‌گذاری → دروازه‌های کیفیت → نسخه‌بندی → نگهداری/حذف.

چرخه حیات مدل: تعریف مسئله → انتخاب معماری → آموزش/تنظیم نهایی → ارزیابی (آفلاین/آنلاین) → انتشار → بهره‌برداری → پایش → بازآموزی/بازنشستگی.

کارت‌های داده: منشأ، میزان نمایندگی، کیفیت، یافته‌های جانبدارانه، محدودیت‌های استفاده.

کارت‌های مدل: هدف، داده‌های آموزشی، معیارها، معیارها، محدودیت‌ها، الگوهای خطای مورد انتظار، بایدها/نبایدها.

منشأ و تکرارپذیری: هش‌ها، نسخه‌های داده/مدل، اثبات‌های خط لوله.

 

۸. شفافیت، قابلیت توضیح و دستورالعمل‌های کاربری

 
  • برچسب‌گذاری برای تعامل هوش مصنوعی و محتوای تولید شده توسط هوش مصنوعی.
  • توضیح پذیری: از توضیحات موردی و قابل فهم برای عموم (محلی/جهانی) استفاده کنید.
  • دستورالعمل‌های کاربر: هدف، عوامل اصلی تأثیرگذار، محدودیت‌ها؛ کانال‌های بازخورد و اصلاح.
 

۹. وظایف انسانی در حلقه و نظارتی

 
  • نظارت انسانی به عنوان استانداردی برای تصمیمات مرتبط (به ویژه تصمیمات پرخطر).
  • اصل چهار چشم برای تکالیف حساس ویراستاری/اجتماعی.
  • لغو/لغو توابع؛ مسیرهای ارتقاء؛ مستندات.
 

۱۰. امنیت، استحکام و تیم قرمز (تزریق سریع، جیلبریک)

 
  • مدل‌سازی تهدید (STRIDE + مختص هوش مصنوعی): تزریق سریع، مسمومیت با داده‌های آموزشی، سرقت مدل، نشت اطلاعات حریم خصوصی.
  • تیم قرمز و آزمایش خصمانه؛ جلوگیری از فرار از زندان؛ محدود کردن سرعت؛ فیلتر خروجی؛ اسکن مخفی
  • استحکام: اعلان‌های بازگشت به حالت اولیه، نرده‌های محافظ، برنامه‌های بازگشت به حالت اولیه؛ رهاسازی‌های قناری؛ آزمایش هرج و مرج برای ایمنی.
 

۱۱. زنجیره تأمین، حقوق بشر و کار منصفانه (برده‌داری مدرن، LkSG-analog)

 
  • بررسی دقیق حقوق بشر: تحلیل ریسک، آیین‌نامه تأمین‌کنندگان، تعهدات قراردادی، ممیزی‌ها، اصلاح.
  • برده‌داری مدرن: اعلامیه سالانه، افزایش آگاهی، کانال‌های گزارش‌دهی.
  • استانداردهای کاری: حقوق منصفانه، ساعات کاری، حفاظت از سلامت؛ حفاظت از افشاگران.
 

۱۲. مدیریت تعصب، انصاف و شمول (مشتریان آسیب‌پذیر، دسترسی)

 
  • آزمون‌های سوگیری: تحلیل مجموعه داده‌ها، متعادل‌سازی، گروه‌های آزمایشی مختلف، معیارهای انصاف؛ کاهش مستندسازی‌شده.
  • مشتریان آسیب‌پذیر: اهداف حفاظتی، کانال‌های جایگزین، زبان واضح؛ عدم سوءاستفاده از نقاط ضعف شناختی.
  • دسترسی‌پذیری: WCAG- انطباق؛ چندزبانگی؛ ارتباط فراگیر.
 

۱۳. هوش مصنوعی مولد، اثبات مبدا و برچسب‌گذاری (C2PA، واترمارک)

 
  • برچسب گذاری: برچسب‌ها/فراداده‌های قابل مشاهده برای محتوای هوش مصنوعی؛ اعلان در طول تعاملات.
  • اثبات مبدا: سی۲پی‌ای- متن، امضاها/واترمارک‌ها در صورت امکان فنی.
  • حق نشر/حقوق مرتبط: شفاف‌سازی مجوزها؛ انطباق با داده‌های آموزشی؛ مستندسازی زنجیره حقوق.
 

۱۴. فرآیندهای محتوا، تعدیل و DSA (گزارش، شکایات، شفافیت)

 
  • کانال‌های گزارش‌دهی: گزارش کاربر با آستانه پایین؛ پردازش اولویت‌دار محتوای غیرقانونی.
  • فرآیندهای رسیدگی به شکایات: توجیه شفاف، اعتراض، تشدید تنش.
  • گزارش‌های شفافیت: انتشار دوره‌ای ارقام و معیارهای کلیدی مرتبط.
 

۱۵. کاربرد مختص به یک حوزه (اخبار، داده‌ها، سلامت، هوانوردی، قایق‌های تفریحی، املاک، پرداخت/معامله/امانت/سکه، اتومبیل)

 
  • اخبار/انتشارات: کمک پژوهشی، ترجمه، مدیریت؛ برچسب‌گذاری واضح محتوای تولیدی.
  • داده‌های اسکاندیک: زیرساخت امن هوش مصنوعی/HPC، چند مستاجری، HSM/KMS، قابلیت مشاهده، مصنوعات انطباق.
  • سلامت: استفاده مبتنی بر شواهد، تصمیم نهایی انسان، بدون تشخیص‌های آزمایش نشده.
  • هوانوردی/قایق‌های تفریحی: فرآیندهای ایمنی، نظارت انسانی، رویه‌های اضطراری.
  • املاک: مدل‌های ارزش‌گذاری با بررسی انصاف؛ ادغام ESG.
  • پرداخت/معامله/اعتماد/سکه: پیشگیری از کلاهبرداری، شناسایی مشتری/ضد پولشویی، نظارت بر بازار، تصمیمات قابل توضیح.
  • ماشین‌ها: خدمات شخصی‌سازی‌شده با حفاظت دقیق از داده‌ها.
 

۱۶. مدیریت ریسک اشخاص ثالث، تدارکات و فروشندگان

 
  • بررسی‌های لازم قبل از ورود به بازار کار: سطح امنیت/حریم خصوصی، مکان داده‌ها، زیرپردازنده‌ها، گواهی‌ها.
  • قراردادها: حقوق حسابرسی، بندهای شفافیت و اصلاح، معیارهای SLA/OLA.
  • نظارت: شاخص‌های کلیدی عملکرد، یافته‌ها/تبادل اطلاعات مربوط به حوادث، برنامه‌های خروج.
 

۱۷. طرح‌های عملیات، رصدپذیری، اضطراری و بازیابی

 
  • عملیات: قابلیت مشاهده (لاگ‌ها، معیارها، ردیابی‌ها)، مدیریت SLO/SLI، برنامه‌ریزی ظرفیت.
  • اورژانس: دفترچه‌های راهنما، آزمایش‌های DR، زمان‌های بازیابی، برنامه‌های ارتباطی.
  • مدیریت پیکربندی/پنهان: کمترین امتیاز، چرخش‌ها، سخت شدن.
 

۱۸. حوادث و جبران خسارت (اخلاق، حفاظت از داده‌ها، امنیت)

 
  • حوادث اخلاقی: تبعیض ناخواسته، اطلاعات نادرست، منشأ نامشخص - اقدامات فوری و بررسی AIEB.
  • حوادث حفاظت از داده‌ها: گزارش‌دهی فرآیندها به سازمان حفاظت از افراد دارای معلولیت/مقامات نظارتی؛ اطلاعات برای افراد آسیب‌دیده؛ تحلیل ریشه‌ای علت.
  • حوادث امنیتی: رویه‌های CSIRT، پزشکی قانونی، درس‌های آموخته شده، اقدامات پیشگیرانه.
 

۱۹. معیارها، شاخص‌های کلیدی عملکرد و تضمین (داخلی/خارجی)

 
  • شاخص‌های کلیدی عملکرد (KPI) اجباری: پوشش ۱۰۰٪ AIIA از موارد استفاده‌ی مؤثر هوش مصنوعی؛ میانگین زمان حل شکایات کمتر از ۱۴ روز؛ نرخ آموزش بیش از ۹۵٪؛ ۰ یافته‌ی حسابرسی انتقادی آشکار.
  • معیارهای انصاف: تأثیر متفاوت، ضرایب برابر (مختص هر مورد استفاده).
  • پایداری: معیارهای انرژی/PUE/کربن مرکز داده؛ مدل بهره‌وری.
 

۲۰. آموزش، آگاهی و تغییر فرهنگی

 
  • آموزش اجباری (سالانه): اخلاق هوش مصنوعی، حفاظت از داده‌ها، امنیت، اخلاق رسانه‌ای؛ ماژول‌های مختص گروه هدف.
  • کمپین‌های آگاهی‌بخشی: دستورالعمل‌ها، جلسات حضوری، ساعات مشاوره؛ انجمن‌های داخلی متخصصین.
  • فرهنگ: عملکرد الگوی رهبری، فرهنگ خطا، پاداش برای اقدام مسئولانه.
 

۲۱. پیاده‌سازی و نقشه راه (۰-۶ / ۶-۱۲ / ۱۲-۲۴ ماه)

 
  • ۰ تا ۶ ماه: فهرست موارد استفاده هوش مصنوعی؛ فرآیند AIIA؛ حداقل کنترل‌ها؛ موج آموزشی؛ غربالگری تأمین‌کنندگان.
  • ۶ تا ۱۲ ماهگی: راه‌اندازی تیم قرمز؛ گزارش‌های شفافیت اولیه؛ برنامه انرژی؛ نهایی کردن RACI.
  • ۱۲ تا ۲۴ ماهگی: همسویی با ISO/IEC 42001؛ تضمین محدود؛ بهبود مستمر؛ آماده‌سازی CSRD/ESRS (در صورت وجود).
 

۲۲. نقش‌ها و ماتریس RACI

 
  • صاحب مورد استفاده (الف): هدف، مزایا، شاخص‌های کلیدی عملکرد، بودجه، ارزیابی‌های مجدد.
  • مالک مدل (R): داده‌ها/آموزش/ارزیابی، کارت مدل، پایش رانش.
  • DPO (مسئول حفاظت از داده‌ها): مبنای قانونی، DPIA، حقوق موضوع داده‌ها.
  • سرپرست امنیتی (C): مدل‌سازی تهدید، تیم قرمز، TOMها.
  • سردبیر مسئول (C): اخلاق رسانه‌ای، برچسب‌گذاری، فهرست اصلاحیه‌ها.
  • مالک خدمات (R): عملیات، SLO، مدیریت حادثه.
  • سرپرست تدارکات (R/C): اشخاص ثالث، قراردادها، برنامه‌های خروج.
 

۲۳. چک لیست‌ها (خلاصه AIIA، انتشار داده‌ها، دروازه ورود به سیستم)

 
  • بررسی سریع AIIA: هدف؟ مبنای قانونی؟ افراد تحت تأثیر؟ خطرات (قانونی/اخلاقی/امنیتی/تعصب/محیطی)؟ کاهش خطرات؟ کنترل‌های HIL؟
  • انتشار داده‌ها: آیا منبع معتبر است؟ کوچک‌سازی؟ نگهداری؟ دسترسی؟ کشور ثالث؟
  • دروازه‌ی ورود به سیستم: آیا مصنوعات (کارت‌های داده/مدل، گزارش‌ها) کامل هستند؟ یافته‌های تیم قرمز بررسی شده‌اند؟ نظارت/DR راه‌اندازی شده است؟
 

۲۴. فرم‌ها و الگوها (کارت مدل، کارت داده، گزارش حادثه)

 
  • الگوی کارت نمونه: هدف، داده‌ها، آموزش، معیارها، محدودیت‌ها، خطرات، افراد مسئول، اطلاعات تماس.
  • الگوی کارت داده: مبدا، مجوز، کیفیت، نمایندگی، بررسی‌های جانبدارانه، محدودیت‌های استفاده.
  • الگوی گزارش حادثه: رویداد، تأثیر، متأثر، اقدام فوری، علت ریشه‌ای، راه حل، درس‌های آموخته شده.
 

۲۵. واژه‌نامه و منابع

 

واژه‌نامه: سیستم هوش مصنوعی، هوش مصنوعی مولد، سیستم پرخطر، AIIA، HIL، C2PA، تیم قرمز، DPIA، RACI، SLO/SLI.

مراجع:

 
 

یک اطلاعیه: این کد هوش مصنوعی، سیاست‌های موجود LEGIER، از جمله سیاست‌های مربوط به حفاظت از داده‌ها، خدمات دیجیتال، حقوق بشر/زنجیره تأمین، حاکمیت شرکتی، پایداری و برده‌داری مدرن را تکمیل می‌کند. این بخش جدایی‌ناپذیر از چارچوب انطباق گروه LEGIER (LEGIER Beteiligungs mbH) است.