קוד האתיקה של בינה מלאכותית של LEGIER וקבוצת "SANDIC by LEGIER"

תוֹכֶן הָעִניָנִים

הודעה: אם הספרייה האוטומטית נראית ריקה, אנא לחצו לחיצה ימנית ב-Word → "עדכון שדה".

1. הקדמה והיקף

קוד זה קובע עקרונות, תהליכים ובקרות מחייבים לפיתוח, רכש, תפעול ושימוש בבינה מלאכותית בתוך קבוצת LEGIER. הוא חל על כלל הקבוצה על עובדים, מנהלים, מעבדי נתונים, ספקים ושותפים. הוא משלב את המדיניות הקיימת של הקבוצה (הגנה על נתונים, תהליכי שירותים דיגיטליים, ממשל תאגידי, קיימות, מדיניות זכויות אדם, הצהרת עבדות מודרנית) ומרחיב אותן כך שיכללו דרישות ספציפיות לבינה מלאכותית. יַעַד מטרתו לאפשר יתרונות וחדשנות, להפוך סיכונים לניהול, ולהגן על זכויות המשתמשים, הלקוחות והציבור הרחב. 2. ערכי ליבה ועקרונות מנחים  
  • כבוד האדם וזכויות יסוד בינה מלאכותית קודמת ליעילות כלכלית. בינה מלאכותית משרתת את האנושות – לעולם לא להיפך.
  • תאימות לחוק: עמידה בדרישות חוק הבינה המלאכותית של האיחוד האירופיGDPRדירוג רשת (DSA) וכן סטנדרטים ספציפיים למגזר. אין להשתמש בשיטות אסורות.
  • אחריות ואחריות: לכל מערכת בינה מלאכותית יש בעלים ייעודי שאחראי על החלטותיה; החלטות אלו שקופות וניתנות לערעורים.
  • פרופורציונליות: איזון בין מטרה, סיכון, עוצמת ההתערבות והשפעה חברתית.
  • שקיפות והסבר: מידע, תיעוד וערוצי תקשורת מתאימים בנוגע לפונקציונליות, זמינות נתונים ומגבלות.
  • הוגנות והכלה: בדיקות הטיה שיטתיות, הגנה על קבוצות פגיעות, נגישות ורב-לשוניות.
  • ביטחון וחוסן: Security-by-Design, הגנה לעומק, הקשחה וניטור מתמשכים.
  • קיימות: יעילות מודלים ומרכזי נתונים (אנרגיה, PUE/CFE), תצוגת מחזור חיים של נתונים/מודלים.

3. ממשל ואחריות (מועצת האתיקה של בינה מלאכותית, RACI)

מועצת האתיקה של בינה מלאכותית (AIEB): רב-תחומי (טכנולוגיה, משפט/ציות, הגנת מידע, אבטחה, עריכה/מוצר, משאבי אנוש). תחומי אחריות: פיתוח הנחיות, מתן אישורים (במיוחד לפרויקטים בסיכון גבוה), פתרון סכסוכים, ניטור דוחות. גָלִיל: בעל מקרה שימוש, בעל מודל, Data סטיוארד, DPO, 1TP63 ראש טוריטי, עורך אחראי, בעל שירות, ראש רכש. ועדות ושערים: אישור AIIA לפני עלייה לאוויר; ועדת ייעוץ לשינויים מהותיים; סקירות הנהלה שנתיות. עקרון RACI: הקצאה ברורה של אחריות לכל פעילות (אחראי, דין וחשבון, התייעצות, מידע).

4. מסגרת משפטית ורגולטורית (חוק הבינה המלאכותית של האיחוד האירופי, GDPR, DSA, זכויות יוצרים, משפט מסחרי)

  • חוק הבינה המלאכותית של האיחוד האירופי: מסגרת מבוססת סיכונים עם איסורים, חובות למערכות בסיכון גבוה, תיעוד, רישום, ממשל וחובות שקיפות; יישום מדורג החל משנת 2025/2026.
  • GDPR: בסיס משפטי (סעיף 6/9), זכויות נושא המידע, פרטיות מעוצבת/ברירת מחדל, הערכת השפעה על הגנת מידע (DPIA), העברות למדינות שלישיות (סעיף 44 ואילך).
  • שרת שיווק דיגיטלי (DSA): תהליכי פלטפורמה לדיווח, תלונות, דוחות שקיפות והערכת סיכונים של פלטפורמות גדולות.
  • זכויות יוצרים וזכויות נלוות / זכויות אישיות: שרשראות רישוי ברורות, זכויות תמונה/שם, זכויות קניין של צד שלישי.
  • דרישות ספציפיות לתעשייה (למשל, חוקי תעופה/ימי/Health) חייבים להיכלל גם כן.

5. סיווג סיכונים והערכת השפעות בינה מלאכותית (AIIA)

מִיוּן:
  1. פרקטיקות אסורות (אסורות)
  2. מערכות בסיכון גבוה (חובות מחמירות)
  3. סיכון מוגבל (שקיפות)
  4. סיכון מינימלי
תהליך AIIA: תיאור מטרה/היקף, בעלי עניין, בסיס משפטי, מקורות נתונים; ניתוח סיכונים (משפטי, אתי, בטיחותי, הטיה, השפעות סביבתיות); תוכנית הפחתה; החלטה (אישור AIEB). הערכות מחדש: במקרה של שינויים מהותיים, מדי שנה במקרים בסיכון גבוה; תיעוד במרשם המרכזי.

6. אתיקה והגנה על נתונים (בסיס משפטי, DPIA, קובצי Cookie, מדינות שלישיות)

  • מזעור נתונים והגבלת מטרה; עדיפות לפסאודונימיזציה/אנונימיזציה.
  • שְׁקִיפוּת: מידע על הגנת מידע, אפשרויות גישה ומחיקה; ניידות; אפשרויות התנגדות.
  • קובצי Cookie/מעקב: ניהול הסכמה; ביטול; אנונימיזציה של כתובות IP; רק כלים שאושרו.
  • העברות ממדינה שלישית: רק עם ערבויות מתאימות (SCC/התאמת נתונים); בדיקות סדירות של מעבדי המשנה.
  • DPIA: חובה לעיבוד בסיכון גבוה; לתעד אמצעים טכניים/ארגוניים (TOMs).

7. מחזור חיים של מודל ונתונים (מחזור חיים של ML, כרטיסי Data, כרטיסי מודל)

מחזור חיים של Data: רכישה ← אוצרות ← תיוג ← שערי איכות ← ניהול גרסאות ← שמירה/מחיקה. מחזור חיי המודל: הגדרת בעיה ← בחירת ארכיטקטורה ← הדרכה/כוונון עדין ← הערכה (לא מקוון/מקוון) ← שחרור ← תפעול ← ניטור ← הדרכה מחדש/פרישה. כרטיסי Data: מקור, ייצוג, איכות, ממצאי הטיה, מגבלות שימוש. כרטיסי דגם: מטרה, נתוני אימון, מדדים, מגבלות, דפוסי שגיאה צפויים, מה לעשות/מה לא לעשות. מקור ושחזור: גיבוב (hashes), גרסאות נתונים/מודל, ראיות צינור.

8. שקיפות, הסבר והדרכת משתמש

  • תיוג לאינטראקציה עם בינה מלאכותית ותוכן שנוצר על ידי בינה מלאכותית.
  • הסבר: הסברים ספציפיים למקרה שימוש, מובנים לאנשים (מקומיים/גלובליים).
  • הוראות למשתמש: מטרה, גורמי השפעה עיקריים, מגבלות; משוב ושיטות תיקון.

9. תפקידי ניהול ופיקוח

  • פיקוח אנושי כסטנדרט להחלטות רלוונטיות (במיוחד כאלה בסיכון גבוה).
  • עקרון ארבע העיניים עבור מטלות רגישות מבחינה עריכתית/חברתית.
  • פונקציות עקיפה/ביטול; נתיבי הסלמה; תיעוד.

10. אבטחה, חוסן ו-Red Teaming (הזרקה מיידית, פריצות פריצה)

  • מידול איומים (ספציפי ל-STRIDE + בינה מלאכותית): הזרקה מיידית, הרעלת נתוני אימון, גניבת מודל, דליפת נתונים.
  • בדיקות Red Teaming ובדיקות עוינות; מניעת פריצות; הגבלת קצב; מסנן פלט; סריקת Tread 1TP63.
  • חוסן: הנחיות גיבוי, מעקות בטיחות, תוכניות חזרה למצב אחר; שחרורי קנריות; בדיקות כאוס לבטיחות.

11. שרשרת אספקה, זכויות אדם ועבודה הוגנת (עבדות מודרנית, אנלוגית ל-LkSG)

  • בדיקת נאותות של זכויות אדם: ניתוח סיכונים, קוד התנהגות לספקים, התחייבויות חוזיות, ביקורות, תיקונים.
  • עבדות מודרנית: הצהרה שנתית, העלאת מודעות, ערוצי דיווח.
  • סטנדרטים לעבודה: שכר הוגן, שעות עבודה, בריאות ובטיחות; הגנה על חושפי שחיתויות.

12. ניהול הטיה, הוגנות והכלה (לקוחות פגיעים, נגישות)

  • בדיקות הטיה: ניתוח מערך נתונים, איזון, קבוצות בדיקה מגוונות, מדדי הוגנות; מתעד פעולות הפחתה.
  • לקוחות פגיעים: מטרות הגנה, ערוצים חלופיים, שפה ברורה; ללא ניצול חולשות קוגניטיביות.
  • נְגִישׁוּת: WCAG-קונפורמיות; רב-לשוניות; תקשורת מכילה.

13. בינה מלאכותית גנרטיבית, הוכחת מקור ותיוג (C2PA, סימני מים)

  • תִיוּג: תוויות/מטא-נתונים גלויים עבור תוכן בינה מלאכותית; התראה במהלך אינטראקציות.
  • תעודות מקור: C2PA-הקשר, חתימות/סימני מים ככל האפשר מבחינה טכנית.
  • זכויות יוצרים/זכויות שכנות: להבהיר רישיונות; להבטיח תאימות לנתוני הדרכה; לתעד את שרשרת הזכויות.

14. תהליכי תוכן, ניהול ו-DSA (דיווח, תלונה, שקיפות)

  • ערוצי דיווח: דיווח משתמשים בסף נמוך; עיבוד תוכן לא חוקי בעדיפות גבוהה.
  • תהליכי הגשת תלונות: הסבר שקוף, התנגדות, הסלמה.
  • דוחות שקיפות: פרסום תקופתי של נתונים ומדדים מרכזיים רלוונטיים.

15. שימוש ספציפי לתחום (חדשות, Data, Health, תעופה, Yachts, Estate, Pay/מסחר/Trust/מטבע, Cars)

  • חדשות/פרסום: סיוע במחקר, תרגום, ניהול תוכן; תיוג ברור של תוכן יצירתי.
  • SCANDIC DATA: תשתית מאובטחת של בינה מלאכותית/HPC, הפרדת דיירים, HSM/KMS, תצפיתיות, ארטיפקטים של תאימות.
  • Health: שימוש מבוסס ראיות, החלטה סופית בבני אדם, ללא אבחנות שלא נבדקו.
  • תעופה/Yachts: תהליכי בטיחות, פיקוח אנושי, נהלי חירום.
  • Estate: מודלי דירוג עם בדיקות הוגנות; שילוב ESG.
  • Pay/מסחר/Trust/מטבע: מניעת הונאות, KYC/AML, מעקב שוק, החלטות מוסברות.
  • Cars: שירותים מותאמים אישית עם הגנה קפדנית על מידע.

16. צדדים שלישיים, רכש וניהול סיכוני ספקים

  • בדיקת נאותות לפני הקליטה: רמת אבטחה/הגנה על נתונים, מיקומי נתונים, מעבדי משנה, אישורים.
  • חוזים: זכויות ביקורת, סעיפי שקיפות ותיקון, מדדי SLA/OLA.
  • ניטור: מדדי ביצועים, חילופי ממצאים/אירועים, תוכניות יציאה.

17. תוכניות תפעול, צפייה, חירום והפעלה מחדש

  • מִבצָע: נצפיות (לוגים, מדדים, עקבות), ניהול SLO/SLI, תכנון קיבולת.
  • חֵרוּם: ריצות, בדיקות DR, זמני התאוששות, תוכניות תקשורת.
  • ניהול תצורה/סודות: פחות זכויות, רוטציות, הקשחה.

18. אירועים ותרופות (אתיקה, הגנת מידע, אבטחה)

  • אירועים אתיים: אפליה לא רצויה, דיסאינפורמציה, מוצא לא ברור - פעולה מיידית וביקורת של AIEB.
  • אירועי פרטיות נתונים: תהליכי דיווח ל-DPO/רשויות פיקוח; מידע לצדדים שנפגעו; ניתוח גורמי שורש.
  • אירועי אבטחה: נהלי CSIRT, זיהוי פלילי, לקחים שנלמדו, אמצעי מניעה.

19. מדדים, מדדי ביצועים והבטחת ביצועים (פנימיים/חיצוניים)

  • מדדי ביצועים (KPIs) חובה: 100 כיסוי % AIIA של מקרי שימוש פרודוקטיביים בבינה מלאכותית; פחות מ-14 ימים זמן חציוני לפתרון תלונות; >95 שיעור הכשרה %; 0 ממצאי ביקורת קריטיים פתוחים.
  • מדדי הוגנות: השפעה לא דומה, סיכויים שווים (ספציפי למקרה שימוש).
  • קיימות: מדדי אנרגיה/PUE/פחמן של מרכזי נתונים; יעילות המודלים.

20. הכשרה, מודעות ושינוי תרבותי

  • הכשרה חובה (מדי שנה): אתיקה של בינה מלאכותית, הגנת מידע, אבטחה, אתיקה של תקשורת; מודולים ספציפיים לקבוצת יעד.
  • קמפיינים להגברת ההעלאה: הנחיות, מפגשי שקית חומה, שעות קבלה; קהילות עיסוק פנימיות.
  • תַרְבּוּת: פונקציית מודל לחיקוי של מנהיגות, תרבות של למידה מטעויות, תגמול על התנהגות אחראית.

21. יישום ומפת דרכים (0–6 / 6–12 / 12–24 חודשים)

  • 0–6 חודשים: מקרי שימוש בבינה מלאכותית במלאי; תהליך AIIA; בקרות מינימליות; גל הדרכה; סינון ספקים.
  • 6–12 חודשים: פריסת צוותים אדומים; דוחות שקיפות ראשונים; תוכנית אנרגיה; סיום גיבוש RACI.
  • 12–24 חודשים: יישור תקן ISO/IEC 42001; אבטחת רמת ביקורת מוגבלת; שיפור מתמיד; הכנת CSRD/ESRS (אם רלוונטי).

22. מטריצת תפקידים ו-RACI

  • בעל מקרה שימוש (A): מטרה, יתרונות, מדדי ביצועים (KPI), תקציב, הערכות מחדש.
  • בעל המודל (R): נתונים/אימון/הערכה, כרטיס מודל, ניטור סחיפה.
  • DPO (C/A להגנת מידע): בסיס משפטי, DPIA, זכויות נושא המידע.
  • Security עופרת (C): מידול איומים, צוותים אדומים, TOMs.
  • עורך אחראי (C): אתיקה תקשורתית, תיוג, רישום תיקונים.
  • בעל השירות (R): תפעול, SLO, ניהול אירועים.
  • ראש רכש (R/C): צדדים שלישיים, חוזים, תוכניות יציאה.

23. רשימות בדיקה (AIIA קצר, שחרור נתונים, שער עלייה לאוויר)

  • בדיקה מהירה של AIIA: מטרה? בסיס משפטי? צדדים מושפעים? סיכונים (חוק/אתיקה/סביבה/הטיה/הטיה)? אמצעי הפחתה? בקרות HIL?
  • שיתוף נתונים: מקור חוקי? מזעור? שמירה? גישה? מדינה שלישית?
  • שער הפעלה: האם כל הממצאים קיימים (Data/כרטיסי מודל, יומני רישום)? האם תוצאות הצוות האדום טופלו? האם הוגדר ניטור/דריסת רגל?

24. טפסים ותבניות (כרטיס לדוגמה, כרטיס Data, דוח אירוע)

  • תבנית כרטיס דגם: מטרה, נתונים, הכשרה, מדדים, מגבלות, סיכונים, גורמים אחראיים, איש קשר.
  • תבנית כרטיס Data: מקור, רישיון, איכות, ייצוג, בדיקות הטיה, הגבלות שימוש.
  • תבנית דוח אירוע: אירוע, השפעה, צדדים שנפגעו, צעדים מיידיים, שורש הבעיה, תרופה, לקחים שנלמדו.

25. מילון מונחים והפניות

אַגְרוֹן: מערכת בינה מלאכותית, בינה מלאכותית גנרית, מערכת בסיכון גבוה, AIIA, HIL, C2PA, teaming red, DPIA, RACI, SLO/SLI. הפניות:
הודעה: קוד בינה מלאכותית זה משלים את ההנחיות הקיימות של LEGIER, כגון: (הגנת מידע, שירותים דיגיטליים, זכויות אדם/שרשרת אספקה, ממשל תאגידי, קיימות, עבדות מודרנית). זהו חלק בלתי נפרד ממסגרת התאימות של קבוצת LEGIER (LEGIER Beteiligungs mbH).