آیین‌نامه اخلاق هوش مصنوعی گروه LEGIER و „SANDIC توسط LEGIER“

فهرست مطالب

یک اطلاعیه: اگر پوشه‌ی خودکار خالی به نظر می‌رسد، لطفاً در Word کلیک راست کرده و گزینه‌ی „فیلد به‌روزرسانی“ را انتخاب کنید.

• ۱. مقدمه و محدوده
• ۲. ارزش‌های اصلی و اصول راهنما
• ۳. مدیریت و مسئولیت‌ها (هیئت اخلاق هوش مصنوعی، RACI)
• ۴. چارچوب قانونی و نظارتی (قانون هوش مصنوعی اتحادیه اروپا، GDPR، DSA، حق نشر، قانون تجارت)
• ۵. طبقه‌بندی ریسک و ارزیابی تأثیر هوش مصنوعی (AIIA)
• ۶. اخلاق داده‌ها و حفاظت از داده‌ها (مبانی قانونی، DPIA، کوکی‌ها، کشورهای ثالث)
• ۷. چرخه حیات مدل و داده (چرخه حیات ML، کارت‌های ۱TP58T، کارت‌های مدل)
• ۸. شفافیت، قابلیت توضیح و راهنمایی کاربر
• ۹. وظایف انسانی در حلقه و نظارتی
• ۱۰. امنیت، استحکام و تیم قرمز (تزریق سریع، جیلبریک)
• ۱۱. زنجیره تأمین، حقوق بشر و کار منصفانه (برده‌داری مدرن، LkSG-analog)
• ۱۲. مدیریت سوگیری، انصاف و شمول (مشتریان آسیب‌پذیر، دسترسی)
• ۱۳. هوش مصنوعی مولد، اثبات مبدا و برچسب‌گذاری (C2PA، واترمارک)
• ۱۴. فرآیندهای محتوا، نظارت و DSA (گزارش، شکایت، شفافیت)
• ۱۵. کاربرد مختص به یک دامنه (اخبار، ۱TP58T، ۱TP42T، هوانوردی، ۱TP44T، ۱TP41T، ۱TP64T/تجارت/۱TP49T/سکه، ۱TP57T)
• ۱۶. مدیریت ریسک اشخاص ثالث، تدارکات و فروشندگان
• ۱۷. طرح‌های عملیات، رصدپذیری، اضطراری و شروع مجدد
• ۱۸. حوادث و راه‌حل‌ها (اخلاق، حفاظت از داده‌ها، امنیت)
• ۱۹. معیارها، شاخص‌های کلیدی عملکرد و تضمین (داخلی/خارجی)
• ۲۰. آموزش، آگاهی و تغییر فرهنگی
• ۲۱. پیاده‌سازی و نقشه راه (۰-۶ / ۶-۱۲ / ۱۲-۲۴ ماه)
• ۲۲. نقش‌ها و ماتریس RACI
• ۲۳. چک لیست‌ها (خلاصه AIIA، انتشار داده‌ها، دروازه شروع به کار)
• ۲۴. فرم‌ها و الگوها (کارت نمونه، کارت ۱TP58T، گزارش حادثه)
• ۲۵. واژه‌نامه و منابع

۱. مقدمه و محدوده

این کد، اصول، فرآیندها و کنترل‌های الزام‌آوری را برای توسعه، تهیه، بهره‌برداری و استفاده از هوش مصنوعی در گروه LEGIER تعیین می‌کند. این کد در سطح گروه برای کارمندان، مدیران، پردازشگران داده، تأمین‌کنندگان و شرکا اعمال می‌شود. این کد، سیاست‌های گروهی موجود (حفاظت از داده‌ها، فرآیندهای خدمات دیجیتال، حاکمیت شرکتی، پایداری، سیاست حقوق بشر، بیانیه برده‌داری مدرن) را ادغام کرده و آنها را گسترش می‌دهد تا الزامات خاص هوش مصنوعی را نیز در بر بگیرد. هدف این امر برای فراهم کردن مزایا و نوآوری، قابل مدیریت کردن ریسک‌ها و محافظت از حقوق کاربران، مشتریان و عموم مردم است. ۲. ارزش‌های اصلی و اصول راهنما  

• کرامت انسانی و حقوق اساسی هوش مصنوعی بر بهره‌وری اقتصادی اولویت دارد. هوش مصنوعی در خدمت بشریت است - هرگز برعکس آن اتفاق نمی‌افتد.
• انطباق قانونی: انطباق با قانون هوش مصنوعی اتحادیه اروپا, GDPR, دی‌اس‌ای و همچنین استانداردهای خاص هر بخش. عدم استفاده از شیوه‌های ممنوعه.
• مسئولیت‌پذیری و پاسخگویی: هر سیستم هوش مصنوعی یک مالک تعیین‌شده دارد که مسئول تصمیمات آن است؛ این تصمیمات شفاف و قابل چالش هستند.
• تناسب: تعادل بین هدف، ریسک، شدت مداخله و تأثیر اجتماعی.
• شفافیت و قابلیت توضیح: اطلاعات، مستندات و کانال‌های ارتباطی مناسب در مورد عملکرد، دسترسی به داده‌ها و محدودیت‌ها.
• انصاف و شمول: آزمایش سیستماتیک تعصب، حفاظت از گروه‌های آسیب‌پذیر، دسترسی‌پذیری و چندزبانگی.
• امنیت و تاب‌آوری: 1TP63 امنیت مبتنی بر طراحی، دفاع در عمق، مقاوم‌سازی و نظارت مداوم.
• پایداری: کارایی مدل‌ها و مراکز داده (انرژی، PUE/CFE)، نمای چرخه عمر داده‌ها/مدل‌ها.

۳. مدیریت و مسئولیت‌ها (هیئت اخلاق هوش مصنوعی، RACI)

هیئت اخلاق هوش مصنوعی (AIEB): میان‌رشته‌ای (فنی، حقوقی/انطباق، حفاظت از داده‌ها، امنیت، ویراستاری/محصول، منابع انسانی). مسئولیت‌ها: تدوین دستورالعمل‌ها، اعطای مجوزها (به‌ویژه برای پروژه‌های پرخطر)، حل اختلافات، نظارت بر گزارش‌ها. رول: صاحب مورد استفاده، صاحب مدل، Data مباشر، DPO، 1TP63 سرپرست امنیت، ویراستار مسئول، صاحب خدمات، سرپرست تدارکات. کمیته‌ها و درگاه‌ها: تأیید AIIA قبل از شروع به کار؛ تغییر هیئت مشاوره برای تغییرات اساسی؛ بررسی‌های مدیریت سالانه. اصل RACI: واگذاری واضح مسئولیت برای هر فعالیت (مسئول، پاسخگو، مورد مشورت، مطلع).

۴. چارچوب قانونی و نظارتی (قانون هوش مصنوعی اتحادیه اروپا، GDPR، DSA، حق نشر، قانون تجارت)

• قانون هوش مصنوعی اتحادیه اروپا: چارچوب مبتنی بر ریسک با ممنوعیت‌ها، تعهدات مربوط به سیستم‌های پرخطر، مستندسازی، ثبت وقایع، حاکمیت شرکتی، تعهدات شفافیت؛ اجرای مرحله‌ای از ۲۰۲۵/۲۰۲۶.
• GDPR: مبنای قانونی (ماده ۶/۹)، حقوق موضوع داده‌ها، حریم خصوصی بر اساس طراحی/پیش‌فرض، ارزیابی تأثیر حفاظت از داده‌ها (DPIA)، انتقال به کشورهای ثالث (ماده ۴۴ به بعد).
• دی اس ای: فرآیندهای پلتفرم برای گزارش‌دهی، شکایات، گزارش‌های شفافیت و ارزیابی ریسک پلتفرم‌های بزرگ.
• حق نشر و حقوق مرتبط / حقوق شخصیت: زنجیره‌های صدور مجوز شفاف، حقوق تصویر/نام، حقوق مالکیت شخص ثالث.
• الزامات خاص صنعت (مثلاً قانون هوانوردی/دریایی/Health) نیز باید رعایت شود.

۵. طبقه‌بندی ریسک و ارزیابی تأثیر هوش مصنوعی (AIIA)

طبقه بندی:

1. اعمال ممنوعه (غیرمجاز)
2. سیستم‌های پرخطر (الزامات سختگیرانه)
3. ریسک محدود (شفافیت)
4. حداقل ریسک

فرآیند AIIA: شرح هدف/دامنه، ذینفعان، مبانی قانونی، منابع داده‌ها؛ تحلیل ریسک (حقوقی، اخلاقی، ایمنی، سوگیری، اثرات زیست‌محیطی)؛ طرح کاهش؛ تصمیم (تأیید AIEB). ارزیابی‌های مجدد: در صورت تغییرات اساسی، در موارد پرخطر، سالانه؛ مستندسازی در دفتر ثبت مرکزی.

۶. اخلاق داده‌ها و حفاظت از داده‌ها (مبانی قانونی، DPIA، کوکی‌ها، کشورهای ثالث)

• کمینه‌سازی داده‌ها و محدودسازی هدف؛; مستعارنویسی/ناشناس‌سازی ترجیح داده می‌شود.
• شفافیت: اطلاعات حفاظت از داده‌ها، گزینه‌های دسترسی و حذف؛ قابلیت حمل؛ گزینه‌های اعتراض.
• کوکی‌ها/ردیابی: مدیریت رضایت؛ لغو؛ ناشناس‌سازی IP؛ فقط ابزارهای تأیید شده.
• حواله‌های کشورهای ثالث: فقط با ضمانت‌های مناسب (SCC/کفایت)؛ آزمایش منظم زیرپردازنده‌ها.
• دی پی آی ای: برای پردازش‌های پرخطر الزامی است؛ اقدامات فنی/سازمانی (TOM) را مستند کنید.

۷. چرخه حیات مدل و داده (چرخه حیات ML، کارت‌های ۱TP58T، کارت‌های مدل)

چرخه عمر Data: اکتساب → گردآوری → برچسب‌گذاری → دروازه‌های کیفیت → نسخه‌بندی → نگهداری/حذف. چرخه حیات مدل: تعریف مسئله → انتخاب معماری → آموزش/تنظیم دقیق → ارزیابی (آفلاین/آنلاین) → انتشار → بهره‌برداری → پایش → بازآموزی/بازنشستگی. کارت‌های Data: منشأ، نمایندگی، کیفیت، یافته‌های جانبدارانه، محدودیت‌های استفاده. کارت‌های مدل: هدف، داده‌های آموزشی، معیارها، معیارها، محدودیت‌ها، الگوهای خطای مورد انتظار، بایدها/نبایدها. منشأ و تکرارپذیری: هش‌ها، نسخه‌های داده/مدل، شواهد خط لوله.

۸. شفافیت، قابلیت توضیح و راهنمایی کاربر

• برچسب‌گذاری برای تعامل هوش مصنوعی و محتوای تولید شده توسط هوش مصنوعی.
• توضیح پذیری: توضیحات قابل فهم برای عموم (محلی/جهانی) و مختص به هر مورد استفاده.
• دستورالعمل‌های کاربر: هدف، عوامل اصلی تأثیرگذار، محدودیت‌ها؛ بازخورد و روش‌های اصلاح.

۹. وظایف انسانی در حلقه و نظارتی

• نظارت انسانی به عنوان استانداردی برای تصمیمات مرتبط (به ویژه تصمیمات پرخطر).
• اصل چهار چشم برای تکالیف حساس ویراستاری/اجتماعی.
• لغو/لغو توابع؛ مسیرهای ارتقاء؛ مستندات.

۱۰. امنیت، استحکام و تیم قرمز (تزریق سریع، جیلبریک)

• مدل‌سازی تهدید (STRIDE + مختص هوش مصنوعی): تزریق سریع، آلوده کردن داده‌های آموزشی، سرقت مدل، نشت داده‌ها.
• تیم قرمز و آزمایش خصمانه؛ جلوگیری از فرار از زندان؛ محدود کردن سرعت؛ فیلتر خروجی؛ اسکن Secread.
• استحکام: اعلان‌های بازگشت به حالت عادی، نرده‌های محافظ، برنامه‌های بازگشت به حالت عادی؛ رهاسازی‌های قناری؛ آزمایش‌های هرج و مرج برای ایمنی.

۱۱. زنجیره تأمین، حقوق بشر و کار منصفانه (برده‌داری مدرن، LkSG-analog)

• بررسی دقیق حقوق بشر: تحلیل ریسک، آیین‌نامه رفتاری تأمین‌کنندگان، تعهدات قراردادی، ممیزی‌ها، اصلاح.
• برده‌داری مدرن: اعلامیه سالانه، افزایش آگاهی، کانال‌های گزارش‌دهی.
• استانداردهای کاری: حقوق و دستمزد منصفانه، ساعات کاری، بهداشت و ایمنی؛ حفاظت از افشاگران.

۱۲. مدیریت سوگیری، انصاف و شمول (مشتریان آسیب‌پذیر، دسترسی)

• بررسی‌های سوگیری: تحلیل مجموعه داده‌ها، متعادل‌سازی، گروه‌های آزمایشی متنوع، معیارهای انصاف؛ کاهش مستندسازی‌شده.
• مشتریان آسیب‌پذیر: اهداف حفاظتی، کانال‌های جایگزین، زبان واضح؛ عدم سوءاستفاده از نقاط ضعف شناختی.
• دسترسی‌پذیری: WCAG- انطباق؛ چندزبانگی؛ ارتباط فراگیر.

۱۳. هوش مصنوعی مولد، اثبات مبدا و برچسب‌گذاری (C2PA، واترمارک)

• برچسب گذاری: برچسب‌ها/فراداده‌های قابل مشاهده برای محتوای هوش مصنوعی؛ اعلان در طول تعاملات.
• گواهی‌های مبدا: سی۲پی‌ای- متن، امضاها/واترمارک‌ها تا جایی که از نظر فنی امکان دارد.
• حق نشر/حقوق مجاور: شفاف‌سازی مجوزها؛ اطمینان از انطباق داده‌های آموزشی؛ مستندسازی زنجیره حقوق.

۱۴. فرآیندهای محتوا، نظارت و DSA (گزارش، شکایت، شفافیت)

• کانال‌های گزارش‌دهی: گزارش کاربر با آستانه پایین؛ پردازش اولویت‌دار محتوای غیرقانونی.
• مراحل رسیدگی به شکایات: توضیح شفاف، اعتراض، تشدید تنش.
• گزارش‌های شفافیت: انتشار دوره‌ای ارقام و معیارهای کلیدی مرتبط.

۱۵. کاربرد مختص به یک دامنه (اخبار، ۱TP58T، ۱TP42T، هوانوردی، ۱TP44T، ۱TP41T، ۱TP64T/تجارت/۱TP49T/سکه، ۱TP57T)

• اخبار/انتشارات: کمک پژوهشی، ترجمه، مدیریت؛ برچسب‌گذاری واضح محتوای تولیدی.
• SCANDIC DATA: زیرساخت امن هوش مصنوعی/HPC، جداسازی مستاجر، HSM/KMS، مشاهده‌پذیری، مصنوعات انطباق.
• Health: استفاده مبتنی بر شواهد، تصمیم نهایی انسان، بدون تشخیص‌های آزمایش نشده.
• هوانوردی/Yachts: فرآیندهای ایمنی، نظارت انسانی، رویه‌های اضطراری.
• Estate: مدل‌های ارزیابی با بررسی انصاف؛ ادغام ESG.
• Pay/معامله/Trust/سکه: پیشگیری از کلاهبرداری، شناسایی مشتری/ضد پولشویی، نظارت بر بازار، تصمیمات قابل توضیح.
• Cars: خدمات شخصی‌سازی‌شده با حفاظت دقیق از داده‌ها.

۱۶. مدیریت ریسک اشخاص ثالث، تدارکات و فروشندگان

• بررسی‌های لازم قبل از ورود به بازار کار: سطح امنیت/حفاظت از داده‌ها، مکان داده‌ها، زیرپردازنده‌ها، گواهی‌ها.
• قراردادها: حقوق حسابرسی، بندهای شفافیت و جبران خسارت، معیارهای SLA/OLA.
• نظارت: شاخص‌های کلیدی عملکرد، یافته‌ها/تبادل اطلاعات مربوط به حوادث، برنامه‌های خروج.

۱۷. طرح‌های عملیات، رصدپذیری، اضطراری و شروع مجدد

• عملیات: قابلیت مشاهده (لاگ‌ها، معیارها، ردیابی‌ها)، مدیریت SLO/SLI، برنامه‌ریزی ظرفیت.
• اورژانس: دفترچه‌های راهنما، آزمایش‌های DR، زمان‌های بازیابی، برنامه‌های ارتباطی.
• مدیریت پیکربندی/مخفی: کمترین امتیاز، چرخش‌ها، سخت شدن.

۱۸. حوادث و راه‌حل‌ها (اخلاق، حفاظت از داده‌ها، امنیت)

• حوادث اخلاقی: تبعیض ناخواسته، اطلاعات نادرست، منشأ نامشخص - اقدام فوری و بررسی AIEB.
• حوادث مربوط به حریم خصوصی داده‌ها: گزارش‌دهی فرآیندها به DPO/مقامات نظارتی؛ اطلاعات برای طرف‌های آسیب‌دیده؛ تحلیل ریشه‌ای علت.
• حوادث امنیتی: رویه‌های CSIRT، پزشکی قانونی، درس‌های آموخته شده، اقدامات پیشگیرانه.

۱۹. معیارها، شاخص‌های کلیدی عملکرد و تضمین (داخلی/خارجی)

• شاخص‌های کلیدی عملکرد (KPI) اجباری: ۱۰۰ مورد پوشش AIIA % از موارد استفاده‌ی مفید هوش مصنوعی؛ میانگین زمان حل شکایات کمتر از ۱۴ روز؛ نرخ آموزش % >۹۵؛ ۰ یافته‌ی حسابرسی انتقادی آشکار.
• معیارهای انصاف: تأثیر متفاوت، ضرایب برابر (مختص هر مورد استفاده).
• پایداری: معیارهای انرژی/PUE/کربن مراکز داده؛ کارایی مدل‌ها.

۲۰. آموزش، آگاهی و تغییر فرهنگی

• آموزش اجباری (سالانه): اخلاق هوش مصنوعی، حفاظت از داده‌ها، امنیت، اخلاق رسانه‌ای؛ ماژول‌های مختص گروه هدف.
• کمپین‌های آگاهی‌بخشی: دستورالعمل‌ها، جلسات حضوری، ساعات اداری؛ انجمن‌های داخلی متخصصین.
• فرهنگ: نقش الگویی رهبری، فرهنگ یادگیری از اشتباهات، پاداش دادن به رفتار مسئولانه.

۲۱. پیاده‌سازی و نقشه راه (۰-۶ / ۶-۱۲ / ۱۲-۲۴ ماه)

• ۰ تا ۶ ماه: موارد استفاده هوش مصنوعی در انبار؛ فرآیند AIIA؛ حداقل کنترل‌ها؛ موج آموزشی؛ غربالگری تأمین‌کنندگان.
• ۶ تا ۱۲ ماهگی: راه‌اندازی تیم قرمز؛ اولین گزارش‌های شفافیت؛ برنامه انرژی؛ نهایی کردن RACI.
• ۱۲ تا ۲۴ ماهگی: انطباق با استاندارد ISO/IEC 42001؛ تضمین محدود؛ بهبود مستمر؛ آماده‌سازی CSRD/ESRS (در صورت وجود).

۲۲. نقش‌ها و ماتریس RACI

• مالک مورد استفاده (الف): هدف، مزایا، شاخص‌های کلیدی عملکرد، بودجه، ارزیابی‌های مجدد.
• مالک مدل (R): داده‌ها/آموزش/ارزیابی، کارت مدل، پایش رانش.
• DPO (مسئول حفاظت از داده‌ها): مبنای قانونی، DPIA، حقوق موضوع داده‌ها.
• 1TP63 سرب خلوص (C): مدل‌سازی تهدید، تیم قرمز، TOMها.
• سردبیر مسئول (C): اخلاق رسانه‌ای، برچسب‌گذاری، فهرست اصلاحیه‌ها.
• مالک خدمات (R): عملیات، SLO، مدیریت حادثه.
• سرپرست تدارکات (R/C): اشخاص ثالث، قراردادها، برنامه‌های خروج.

۲۳. چک لیست‌ها (خلاصه AIIA، انتشار داده‌ها، دروازه شروع به کار)

• بررسی سریع AIIA: هدف؟ مبنای قانونی؟ طرفین آسیب‌دیده؟ خطرات (قانون/اخلاق/Security/bias/environment)؟ کاهش خطرات؟ کنترل‌های HIL؟
• اشتراک‌گذاری داده‌ها: منبع قانونی؟ به حداقل رساندن؟ نگهداری؟ دسترسی؟ کشور ثالث؟
• دروازه‌ی ورود به سیستم: آیا همه مصنوعات (Data/کارت‌های مدل، گزارش‌ها) موجود هستند؟ آیا به نتایج تیم قرمز رسیدگی شده است؟ آیا نظارت/DR راه‌اندازی شده است؟

۲۴. فرم‌ها و الگوها (کارت نمونه، کارت ۱TP58T، گزارش حادثه)

• الگوی کارت مدل: هدف، داده‌ها، آموزش، معیارها، محدودیت‌ها، خطرات، طرف‌های مسئول، اطلاعات تماس.
• الگوی کارت Data: مبدا، مجوز، کیفیت، نمایندگی، بررسی‌های جانبدارانه، محدودیت‌های استفاده.
• الگوی گزارش حادثه: رویداد، تأثیر، طرف‌های آسیب‌دیده، اقدامات فوری، علت ریشه‌ای، راه‌حل، درس‌های آموخته‌شده.

۲۵. واژه‌نامه و منابع

واژه‌نامه: سیستم هوش مصنوعی، هوش مصنوعی مولد، سیستم پرخطر، AIIA، HIL، C2PA، تیم قرمز، DPIA، RACI، SLO/SLI. مراجع:

• قانون هوش مصنوعی اتحادیه اروپا
• GDPR
• دی‌اس‌ای
• اصول هوش مصنوعی OECD
• هوش مصنوعی NIST RMF
• ایزو/آی‌ای‌سی ۴۲۰۰۱
• دستورالعمل‌های داخلی (حفاظت از داده‌ها، فرآیندهای DSA، برده‌داری مدرن، پایداری)

یک اطلاعیه: این قانون هوش مصنوعی، دستورالعمل‌های موجود LEGIER، مانند: (حفاظت از داده‌ها، خدمات دیجیتال، حقوق بشر/زنجیره تأمین، حاکمیت شرکتی، پایداری، برده‌داری مدرن) را تکمیل می‌کند. این قانون بخش جدایی‌ناپذیری از چارچوب انطباق گروه LEGIER (LEGIER Beteiligungs mbH) است.