LEGIER- ja "SANDIC by LEGIER" -ryhmän tekoälyn eettiset säännöt
Sisällysluettelo
Huom: Jos automaattinen hakemisto on tyhjä, napsauta hiiren oikealla painikkeella Wordia → "Päivitä kenttä".
- 1. johdanto ja soveltamisala
- 2. perusarvot ja ohjaavat periaatteet
- 3. hallinto ja vastuualueet (tekoälyn eettinen neuvosto, RACI).
- 4. oikeudellinen ja standardointipuite (EU:n tekoälylaki, yleinen tietosuoja-asetus, DSA, tekijänoikeus, kauppaoikeus).
- 5. riskiluokitus ja tekoälyvaikutusten arviointi (AIIA)
- 6. Tietoetiikka ja tietosuoja (oikeusperusta, DPIA, evästeet, kolmas maa).
- 7. mallin ja datan elinkaari (ML:n elinkaari, datakortit, mallikortit).
- 8. avoimuus, selitettävyys ja käyttöohjeet
- 9. Ihmiset silmukassa ja valvontatehtävät
- 10. tietoturva, kestävyys ja punaiset verkot (prompt injection, jailbreak).
- 11. Toimitusketju, ihmisoikeudet ja oikeudenmukainen työ (nykyaikainen orjuus, LkSG-analogia).
- 12. ennakkoluulojen hallinta, oikeudenmukaisuus ja osallisuus (haavoittuvassa asemassa olevat asiakkaat, esteettömyys).
- 13. Generatiivinen tekoäly, alkuperätodisteet ja merkinnät (C2PA, vesileima).
- 14. sisältö, moderointi ja DSA-prosessit (raportointi, valitukset, avoimuus).
- 15. Aluekohtainen käyttö (uutiset, data, terveys, ilmailu, jahdit, kiinteistöt, maksu/kauppa/truste/rahoitus, autot).
- 16. Kolmannet osapuolet, hankinnat ja toimittajariskien hallinta
- 17. Toiminta, tarkkailtavuus, hätä- ja uudelleenkäynnistyssuunnitelmat
- 18. vaaratilanteet ja korjaavat toimenpiteet (eettiset kysymykset, tietosuoja, turvallisuus).
- 19. mittarit, suorituskykyindikaattorit ja varmennus (sisäinen/ulkoinen).
- 20. Koulutus, tietoisuus ja kulttuurin muutos
- 21. Toteutus ja etenemissuunnitelma (0-6 / 6-12 / 12-24 kuukautta).
- 22. Rullat ja RACI-matriisi
- 23. Tarkistuslistat (AIIA short, tietojen luovutus, go-live gate).
- 24. Lomakkeet ja mallit (mallikortti, tietokortti, vaaratilanneraportti).
- 25 Sanasto ja viitteet
1. johdanto ja soveltamisala
Tässä säännöstössä esitetään sitovat periaatteet, prosessit ja valvonta, jotka koskevat tekoälyn kehittämistä, hankintaa, toimintaa ja käyttöä LEGIER-konsernissa. Niitä sovelletaan koko konsernissa työntekijöihin, johtajiin, sopimuskäsittelijöihin, toimittajiin ja yhteistyökumppaneihin.
Siinä yhdistetään konsernin nykyiset suuntaviivat (tietosuoja, digitaalipalveluprosessit, hallinto- ja ohjausjärjestelmä, kestävä kehitys, ihmisoikeuspolitiikka, nykyaikaista orjuutta koskeva lausunto) ja laajennetaan niitä sisällyttämällä niihin tekoälyyn liittyviä vaatimuksia.
Tavoite on mahdollistaa hyödyt ja innovaatiot, tehdä riskit hallittaviksi ja suojella käyttäjien, asiakkaiden ja suuren yleisön oikeuksia.
2. perusarvot ja ohjaavat periaatteet
- Ihmisarvo ja perusoikeudet ovat taloudellisen tehokkuuden yläpuolella. Tekoäly palvelee ihmisiä - ei koskaan päinvastoin.
- Lainsäädännön noudattaminen: Vaatimustenmukaisuus EU:n tekoälylaki, GDPR, DSA ja alakohtaiset standardit. Kiellettyjä käytäntöjä ei käytetä.
- Vastuu ja tilivelvollisuus: Kullekin tekoälyjärjestelmälle nimetään vastuullinen omistaja; päätökset ovat jäljitettävissä ja riitautettavissa.
- Suhteellisuus: Tarkoituksen, riskin, toiminnan intensiteetin ja yhteiskunnallisen vaikutuksen tasapaino.
- Avoimuus ja selitettävyys: Riittävä tiedotus, dokumentointi ja viestintäkanavat toiminnallisuudesta, tietotilanteista ja rajoituksista.
- Oikeudenmukaisuus ja osallisuus: Systemaattinen puolueellisuuden testaus, haavoittuvien ryhmien suojelu, saavutettavuus ja monikielisyys.
- Turvallisuus ja kestävyys: Suunnitelmallinen tietoturva, perusteellinen suojaus, jatkuva suojaus ja seuranta.
- Kestävyys: Mallien ja datakeskusten tehokkuus (energia, PUE/CFE), tietojen/mallien elinkaarinäkökulma.
3. hallinto ja vastuualueet (tekoälyn eettinen neuvosto, RACI).
Tekoälyn eettinen neuvosto (AIEB): Monialaiset (tekniikka, laki/vaatimustenmukaisuus, tietosuoja, turvallisuus, toimitus/tuote, ihmiset). Tehtävät: Toimintaperiaatteiden päivittäminen, hyväksyntöjen antaminen (erityisesti riskialttiit), ristiriitoja koskevat päätökset, raporttien seuranta.
Roolit: Käyttötapauksen omistaja, mallin omistaja, tietojen hallinnoija, tietosuojavastaava, tietoturvajohtaja, vastaava toimittaja, palvelun omistaja, hankintojen johtaja.
Komiteat ja portit: AIIA:n hyväksyntä ennen käyttöönottoa; muutosten neuvoa-antava lautakunta olennaisten muutosten osalta; vuotuiset johdon katselmukset.
RACI-periaate: Selkeä vastuunjako kunkin toiminnon osalta (vastuullinen, tilivelvollinen, kuultu, informoitu).
4. oikeudellinen ja standardointipuite (EU:n tekoälylaki, yleinen tietosuoja-asetus, DSA, tekijänoikeus, kauppaoikeus).
- EU-AI-säädös: Riskiperusteinen kehys, johon sisältyy kieltoja, suuririskisiä järjestelmiä koskevia velvoitteita, dokumentointia, kirjaamista, hallintoa ja avoimuutta koskevia velvoitteita; porrastettu soveltaminen vuodesta 2025/2026 alkaen.
- GDPR: Oikeusperustat (6/9 artikla), rekisteröityjen oikeudet, sisäänrakennettu tai oletusarvoinen yksityisyyden suoja, tietosuojaa koskeva vaikutustenarviointi, siirrot kolmansiin maihin (44 artikla ja sitä seuraavat artiklat).
- DSA: Alustaprosessit ilmoituksia, valituksia, avoimuusraportteja ja suurten alustojen riskinarviointeja varten.
- Tekijänoikeudet ja lähioikeudet / henkilökohtaiset oikeudet: Selkeät lisenssiketjut, kuva-/nimioikeudet, kolmannen osapuolen kotipaikkaoikeudet.
- Toimialakohtaiset vaatimukset (esim. ilmailu-, merenkulku- ja terveyslainsäädäntö) on myös noudatettava.
5. riskiluokitus ja tekoälyvaikutusten arviointi (AIIA)
Luokitus:
- Kielletyt käytännöt (ei sallittu)
- Korkean riskin järjestelmät (tiukat velvoitteet)
- Rajoitettu riski (avoimuus)
- Minimoitu riski
AIIA:n menettely: Kuvaus Tarkoitus/laajuus, sidosryhmät, oikeusperusta, tietolähteet; riskianalyysi (oikeudellinen, eettinen, turvallisuus, puolueellisuus, ympäristövaikutukset); lieventämissuunnitelma; päätös (AIEB:n hyväksyntä).
Uudelleenarvioinnit: Olennaiset muutokset, vuosittain, jos riski on suuri; dokumentointi keskusrekisteriin.
6. Tietoetiikka ja tietosuoja (oikeusperusta, DPIA, evästeet, kolmas maa).
- Tietojen minimointi ja käyttötarkoituksen rajoittaminen; Pseudonymisointi/anonymisointi suositeltavaa.
- Avoimuus: Tietosuojaa koskevat tiedot, tiedotus- ja poistokanavat; siirrettävyys; vastustamismahdollisuudet.
- Evästeet/seuranta: Suostumuksen hallinta; peruuttaminen; IP:n anonymisointi; vain hyväksytyt työkalut.
- Siirrot kolmansiin maihin: Ainoastaan asianmukaisilla takeilla (SCC/asianmukaisuus); alihankkijoiden säännöllinen testaus.
- DPIA: Pakollinen korkean riskin käsittelyssä; dokumentoidaan tekniset/organisatoriset toimenpiteet (TOM).
7. mallin ja datan elinkaari (ML:n elinkaari, datakortit, mallikortit).
Tietojen elinkaari: Hankinta → Kuratointi → Merkitseminen → Laatuportit → Versionointi → Säilytys/poisto.
Mallin elinkaari: Ongelman määrittely → Arkkitehtuurin valinta → Koulutus/viritys → Arviointi (offline/online) → Käyttöönotto → Käyttöönotto → Seuranta → Uudelleenkoulutus/poistaminen käytöstä.
Tietokortit: Alkuperä, edustavuus, laatu, vääristymät, käyttörajoitukset.
Mallikortit: Tarkoitus, harjoitusaineisto, vertailuarvot, mittarit, rajoitukset, odotettavissa olevat virhemallit, toimintatavat ja kiellot.
Alkuperäisyys ja toistettavuus: Hashit, datan/mallin versiot, putkivarmennukset.
8. avoimuus, selitettävyys ja käyttöohjeet
- Tekoälyn vuorovaikutuksen ja tekoälyn tuottaman sisällön merkitseminen.
- Selitettävyys: Käytä tapauskohtaisia, maallikkoystävällisiä selityksiä (paikallisia/globaalisia).
- Käyttöohjeet: Tarkoitus, tärkeimmät vaikuttavat tekijät, rajat; palaute- ja korjausmenetelmät.
9. Ihmiset silmukassa ja valvontatehtävät
- Ihmisten suorittama valvonta on vakiona asiaankuuluvissa päätöksissä (erityisesti korkean riskin päätöksissä).
- Neljän silmän periaate toimituksellisesti/yhteiskunnallisesti arkaluonteisissa toimeksiannoissa.
- Päällekytkentä-/peruutustoiminnot; eskalaatiopolut; dokumentointi.
10. tietoturva, kestävyys ja punaiset verkot (prompt injection, jailbreak).
- Uhkamallinnus (STRIDE + tekoälykohtainen): Kehotteiden injektio, harjoitustietojen myrkytys, mallien varastaminen, tietosuojan vuotaminen.
- Red teaming & vastapuolen testit; jailbreak-esto; nopeuden rajoittaminen; ulostulon suodatus; salainen skannaus.
- Kestävyys: Varautumiskehotukset, suojakaiteet, palautussuunnitelmat; kanaari-julkaisut; kaaostestit turvallisuuden varmistamiseksi.
11. Toimitusketju, ihmisoikeudet ja oikeudenmukainen työ (nykyaikainen orjuus, LkSG-analogia).
- Ihmisoikeuksia koskeva due diligence: Riskianalyysi, toimittajien käytännesäännöt, sopimussitoumukset, auditoinnit, korjaavat toimet.
- Nykyaikainen orjuus: Vuosittainen ilmoitus, tiedotus, raportointikanavat.
- Työnormit: Oikeudenmukainen palkka, työaika, terveyden suojelu; ilmiantajien suojelu.
12. ennakkoluulojen hallinta, oikeudenmukaisuus ja osallisuus (haavoittuvassa asemassa olevat asiakkaat, esteettömyys).
- Ennakkoluulojen tarkastukset: Tiedostojen analysointi, tasapainotus, erilaiset testiryhmät, oikeudenmukaisuusmittarit; dokumentoitu lieventäminen.
- Asiakkaat vaarassa: Suojelutavoitteet, vaihtoehtoiset kanavat, selkeä kieli; ei kognitiivisten heikkouksien hyväksikäyttöä.
- Saavutettavuus: WCAG-Yhdenmukaisuus, monikielisyys, osallistava lähestymistapa.
13. Generatiivinen tekoäly, alkuperätodisteet ja merkinnät (C2PA, vesileima).
- Merkinnät: Näkyvät merkinnät/metatiedot tekoälyn sisällölle; vihje vuorovaikutusta varten.
- Alkuperätakeet: C2PA-konteksti, allekirjoitukset/vesileimat niin pitkälle kuin se on teknisesti mahdollista.
- Tekijänoikeudet/palvelujen suojaaminen: Lisenssien selventäminen; tietojen noudattamisen harjoittelu; oikeuksien dokumentointiketju.
14. sisältö, moderointi ja DSA-prosessit (raportointi, valitukset, avoimuus).
- Raportointikanavat: Matalan kynnyksen käyttäjäraportointi; laittoman sisällön priorisoitu käsittely.
- Valitusprosessit: Läpinäkyvät perustelut, vastalauseet, eskalointi.
- Avoimuusraportit: Keskeisten tunnuslukujen ja toimenpiteiden säännöllinen julkaiseminen.
15. Aluekohtainen käyttö (uutiset, data, terveys, ilmailu, jahdit, kiinteistöt, maksu/kauppa/truste/rahoitus, autot).
- Uutiset/julkaiseminen: Tutkimusapu, kääntäminen, moderointi; tuottavan sisällön selkeä merkitseminen.
- SKANDAALISET TIEDOT: Turvallinen AI/HPC-infrastruktuuri, asiakkaiden erottaminen, HSM/KMS, tarkkailtavuus, vaatimustenmukaisuuden artefaktit.
- Terveys: Näyttöön perustuva käyttö, ihmisen lopullinen päätös, ei testaamattomia diagnooseja.
- Ilmailu/Jahdit: Turvallisuusprosessit, ihmisten valvonta, hätätilannemenettelyt.
- Kiinteistö: Arvonmääritysmallit, joissa on oikeudenmukaisuustarkastukset; ESG-integraatio.
- Maksa/kauppa/luottamus/kolikko: Petostentorjunta, KYC/AML, markkinavalvonta, selitettävät päätökset.
- Autot: Henkilökohtaiset palvelut ja tiukka tietosuoja.
16. Kolmannet osapuolet, hankinnat ja toimittajariskien hallinta
- Asianmukainen huolellisuus ennen palvelukseen ottamista: Tietoturva/tietosuojaustaso, tietojen sijainnit, aliprosessorit, varmenteet.
- Sopimukset: Tarkastusoikeudet, avoimuus- ja korjauslausekkeet, SLA/OLA-mittarit.
- Seuranta: Suorituskykyyn liittyvät keskeiset suorituskykyindikaattorit, havaintojen/tapahtumien vaihto, poistumissuunnitelmat.
17. Toiminta, tarkkailtavuus, hätä- ja uudelleenkäynnistyssuunnitelmat
- Toiminta: Havainnoitavuus (lokit, metriikat, jäljet), SLO/SLI-hallinta, kapasiteetin suunnittelu.
- Hätätapaus: Käyttöohjeet, DR-testit, toipumisajat, viestintäsuunnitelmat.
- Konfiguraatioiden/salaisuuksien hallinta: Vähiten etuoikeutetut, rotaatiot, kovettuminen.
18. vaaratilanteet ja korjaavat toimenpiteet (eettiset kysymykset, tietosuoja, turvallisuus).
- Eettiset tapaukset: Ei-toivottu syrjintä, disinformaatio, epäselvä alkuperä - välittömät toimenpiteet ja AIEB:n uudelleentarkastelu.
- Tietosuojatapahtumat: Raportointiprosessit TVH:lle/valvonnalle; tiedotus asianomaisille osapuolille; perimmäisten syiden analysointi.
- Turvallisuusvälikohtaukset: CSIRT-menettelyt, rikostutkinta, saadut kokemukset, ennaltaehkäisevät toimenpiteet.
19. mittarit, suorituskykyindikaattorit ja varmennus (sisäinen/ulkoinen).
- Pakolliset suorituskykyindikaattorit: 100 % AIIA:n kattavuus tuottavien tekoälyn käyttötapausten osalta; 95 %-koulutusaste; 0 avointa kriittistä tarkastushavaintoa.
- Oikeudenmukaisuusmittarit: Erilaiset vaikutukset, tasavertaiset kertoimet (tapauskohtainen käyttö).
- Kestävyys: Datakeskusten energia-, PUE- ja hiilidioksidiluvut; mallien tehokkuus.
20. Koulutus, tietoisuus ja kulttuurin muutos
- Pakollinen koulutus (vuosittain): Tekoälyn etiikka, tietosuoja, turvallisuus, mediaetiikka; kohderyhmäkohtaiset moduulit.
- Valistuskampanjat: Oppaat, brown-bag-istunnot, konsultaatiotunnit; sisäiset käytäntöyhteisöt.
- Kulttuuri: Johtajuus roolimallina, virhekulttuuri, vastuullisen käyttäytymisen palkitseminen.
21. Toteutus ja etenemissuunnitelma (0-6 / 6-12 / 12-24 kuukautta).
- 0-6 kuukautta: Tekoälyn käyttötapausten kartoitus; AIIA-prosessi; vähimmäistarkastukset; koulutusaalto; toimittajien seulonta.
- 6-12 kuukautta: Punaisen ryhmän perustaminen; ensimmäiset avoimuusraportit; energiaohjelma; RACI:n viimeistely.
- 12-24 kuukautta: ISO/IEC-42001:n yhdenmukaistaminen; rajoitettu varmuus; jatkuva parantaminen; CSRD/ESRS-valmistelu (tarvittaessa).
22. Rullat ja RACI-matriisi
- Käyttötapauksen omistaja (A): Tarkoitus, hyödyt, suorituskykyindikaattorit, budjetti, uudelleenarvioinnit.
- Malli-omistaja (R): Data/koulutus/arviointi, mallikortti, ajelehtimisen seuranta.
- Tietosuojavastaava (tietosuojasta vastaava henkilö): Oikeusperusta, DPIA, rekisteröityjen oikeudet.
- Turvallisuuspäällikkö (C): Uhkamallinnus, red teaming, TOM:t.
- Vastaava toimittaja (C): Median etiikka, merkinnät, korjausrekisteri.
- Palvelun omistaja (R): Toiminta, SLO, vaaratilanteiden hallinta.
- Hankintapäällikkö (R/C): Kolmannet osapuolet, sopimukset, irtautumissuunnitelmat.
23. Tarkistuslistat (AIIA short, tietojen luovutus, go-live gate).
- AIIA-pikatarkastus: Tarkoitus? Oikeusperusta? Asianosaiset? Riskit (oikeudelliset, eettiset, turvallisuus-, ennakkoluulo- ja ympäristöriskit)? Lieventäminen? HIL-valvonta?
- Tietojen julkaiseminen: Lähde laillinen? Minimointi? Säilyttäminen? Saatavuus? Kolmas maa?
- Go-Live-Gate: Ovatko artefaktit täydellisiä (tieto-/mallikortit, lokit)? Onko punaisen ryhmän tulokset käsitelty? Seuranta/DR perustettu?
24. Lomakkeet ja mallit (mallikortti, tietokortti, vaaratilanneraportti).
- Malli-kortti-malli: Tarkoitus, tiedot, koulutus, vertailuarvot, rajoitukset, riskit, vastuuhenkilöt, yhteystiedot.
- Data-Card-Template: Alkuperä, lisenssi, laatu, edustavuus, puolueellisuustarkastukset, käyttörajoitukset.
- Tapahtumailmoitusmalli: Tapahtuma, vaikutukset, henkilöt, joihin tapaus vaikuttaa, välittömät toimenpiteet, perimmäinen syy, korjaavat toimenpiteet, saadut kokemukset.
25 Sanasto ja viitteet
Sanasto: tekoälyjärjestelmä, generatiivinen tekoäly, riskialtis järjestelmä, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.
Viitteet:
- EU:n tekoälylaki
- GDPR
- DSA
- OECD:n tekoälyperiaatteet
- NIST AI RMF
- ISO/IEC 42001
- Sisäiset ohjeet (tietosuoja, DSA-prosessit, nykyaikainen orjuus, kestävä kehitys).
Huom: Nämä tekoälysäännöt täydentävät olemassa olevia LEGIER-ohjeita, kuten muun muassa seuraavia: (Tietosuoja, digitaaliset palvelut, ihmisoikeudet/toimitusketju, hallinnointi, kestävä kehitys, nykyaikainen orjuus). Se on olennainen osa LEGIER-konsernin (LEGIER Beteiligungs mbH) sääntöjen noudattamista koskevaa kehystä.
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska