Az LEGIER és a „SANDIC by LEGIER“ csoport AI etikai kódexe

Tartalomjegyzék

Megjegyzés: Ha az automatikus könyvtár üresnek tűnik, kattintson a jobb gombbal a Word → „Mező frissítése“ menüpontra.

1. preambulum és alkalmazási kör

Ez a kódex kötelező elveket, folyamatokat és ellenőrzéseket határoz meg az LEGIER Csoporton belül a mesterséges intelligencia fejlesztésére, beszerzésére, működtetésére és felhasználására vonatkozóan. Ez a szabályzat a Csoport egészére vonatkozik az alkalmazottakra, a vezetőkre, a szerződéses feldolgozókra, a beszállítókra és a partnerekre. Integrálja a Csoport meglévő iránymutatásait (adatvédelem, digitális szolgáltatási folyamatok, vállalatirányítás, fenntarthatóság, emberi jogi politika, modern rabszolgaságról szóló nyilatkozat), és kibővíti azokat az AI-specifikus követelményekkel. Cél az előnyök és az innováció lehetővé tétele, a kockázatok kezelhetővé tétele, valamint a felhasználók, az ügyfelek és a nyilvánosság jogainak védelme. 2. alapértékek és vezérelvek  
  • Emberi méltóság és alapvető jogok a gazdasági hatékonyság felett áll. A mesterséges intelligencia az embereket szolgálja - soha nem fordítva.
  • Jogi megfelelőség: Megfelelés a Az EU mesterséges intelligenciáról szóló törvényeGDPRDSA és ágazatspecifikus szabványok. Tilos gyakorlatok alkalmazása.
  • Felelősség és elszámoltathatóság: Minden mesterséges intelligencia rendszerhez felelős tulajdonost jelölnek ki; a döntések nyomon követhetők és megtámadhatók.
  • Arányosság: A cél, a kockázat, a beavatkozás intenzitása és a társadalmi hatás egyensúlya.
  • Átláthatóság és megmagyarázhatóság: Megfelelő tájékoztatás, dokumentáció és kommunikációs csatornák a funkcionalitásról, az adatok helyzetéről és korlátairól.
  • Méltányosság és befogadás: Szisztematikus elfogultságvizsgálat, a kiszolgáltatott csoportok védelme, hozzáférhetőség és többnyelvűség.
  • Biztonság és ellenálló képesség: Security-by-design, mélységi védelem, folyamatos edzés és felügyelet.
  • Fenntarthatóság: A modellek és adatközpontok hatékonysága (energia, PUE/CFE), az adatok/modellek életciklusa.

3. irányítás és felelősségi körök (AI etikai tanács, RACI)

AI Etikai Tanács (AIEB): Interdiszciplináris (műszaki, jogi/megfelelőségi, adatvédelmi, biztonsági, szerkesztői/termék, emberi). Feladatok: Irányelvek frissítése, jóváhagyások kiadása (különösen a nagy kockázatúak esetében), konfliktusokról való döntés, jelentések nyomon követése. Szerepek: Használati esetek tulajdonosa, modelltulajdonos, Data Steward, DPO, Security Lead, felelős szerkesztő, szolgáltatástulajdonos, beszerzési vezető. Bizottságok és kapuk: AIIA jóváhagyás az üzembe helyezés előtt; a lényeges változtatásokkal foglalkozó tanácsadó testület; éves vezetői felülvizsgálatok. RACI-elv: Az egyes tevékenységekért való egyértelmű felelősségmegosztás (felelős, elszámoltatható, konzultált, tájékoztatott).

4. jogi és szabványosítási keret (EU AI Act, GDPR, DSA, szerzői jog, kereskedelmi jog)

  • EU-AI-törvény: Kockázatalapú keretrendszer tilalmakkal, a nagy kockázatú rendszerekre vonatkozó kötelezettségekkel, dokumentációval, naplózással, irányítással, átláthatósági kötelezettségekkel; 2025/2026-tól lépcsőzetes alkalmazhatóság.
  • GDPR: Jogalapok (6/9. cikk), az érintettek jogai, a beépített/ alapértelmezett adatvédelem, adatvédelmi hatásvizsgálat, harmadik országokba történő adattovábbítás (44. cikk és azt követő cikkek).
  • DSA: A nagy platformok bejelentési, panaszkezelési, átláthatósági jelentési és kockázatértékelési folyamatai.
  • Szerzői és szomszédos jogok / személyiségi jogok: Egyértelmű licencláncok, kép/nevek, harmadik felek belföldi jogai.
  • Iparág-specifikus követelmények (pl. légiközlekedési/tengerészeti jog/Health) is be kell tartani.

5. kockázati besorolás és mesterséges intelligencia hatásvizsgálat (AIIA)

Osztályozás:
  1. Tiltott gyakorlatok (nem megengedett)
  2. Nagy kockázatú rendszerek (szigorú kötelezettségek)
  3. Korlátozott kockázat (átláthatóság)
  4. Minimális kockázat
AIIA eljárás: Leírás Cél/hatály, érdekeltek, jogalap, adatforrások; kockázatelemzés (jogi, etikai, biztonsági, elfogultsági, környezeti hatás); kockázatcsökkentési terv; döntés (AIEB jóváhagyása). Újbóli értékelések: Lényeges változások esetén, magas kockázat esetén évente; dokumentáció a központi nyilvántartásban.

6. adatetika és adatvédelem (jogalap, DPIA, cookie-k, harmadik ország)

  • Adatminimalizálás és célhoz kötöttség; Álnévtelenítés/anonimizálás előnyben részesül.
  • Átláthatóság: Adatvédelmi tájékoztatás, tájékoztatási és törlési csatornák; hordozhatóság; tiltakozási lehetőségek.
  • Sütik/követés: Hozzájárulás kezelése; visszavonás; IP-anonimizálás; csak jóváhagyott eszközök.
  • Harmadik országba történő átutalások: Csak megfelelő garanciákkal (SCC/megfelelőség); az alfeldolgozók rendszeres tesztelése.
  • DPIA: Kötelező a nagy kockázatú feldolgozásra; dokumentálja a technikai/szervezési intézkedéseket (TOM).

7. modell és adat életciklus (ML-Lifecycle, Data kártyák, modellkártyák)

Data Életciklus: Beszerzés → Kurálás → Címkézés → Minőségi kapuk → Verziókezelés → Megőrzés/törlés. Modell életciklusa: Probléma meghatározása → Architektúra kiválasztása → Képzés/beállítás → Értékelés (offline/online) → Kiadás → Üzembe helyezés → Monitoring → Átképzés/visszavonás. Data kártyák: Eredet, reprezentativitás, minőség, elfogultsági megállapítások, felhasználási korlátozások. Modellkártyák: Cél, képzési adatok, referenciaértékek, mérőszámok, korlátozások, várható hibaminták, teendők/nem teendők. Proveniencia és reprodukálhatóság: Hash-ok, adat/modellverziók, csővezeték-ellenőrzések.

8. átláthatóság, érthetőség és felhasználói utasítások

  • Címkézés az AI interakcióhoz és az AI által generált tartalomhoz.
  • Megmagyarázhatóság: Használjon esetre szabott, laikusok számára is érthető magyarázatokat (helyi/globális).
  • Felhasználói utasítások: Cél, főbb befolyásoló tényezők, korlátok; visszacsatolási és korrekciós módszerek.

9. ember a hurokban és felügyeleti feladatok

  • A releváns döntések (különösen a magas kockázatúak) esetében az emberi felügyelet a standard.
  • Négy szem elv a szerkesztői/társadalmi szempontból érzékeny megbízásoknál.
  • Felülbírálási/lemondási funkciók; eszkalációs útvonalak; dokumentáció.

10. biztonság, robusztusság és red-teaming (prompt injection, jailbreak)

  • Fenyegetésmodellezés (STRIDE + AI-specifikus): Prompt injection, képzési adatok mérgezése, modelllopás, adatvédelem kiszivárgása.
  • Red teaming és ellenséges tesztek; jailbreak-megelőzés; sebességkorlátozás; kimeneti szűrés; 1TP63 futófelület-ellenőrzés.
  • Robusztusság: Visszalépési felszólítások, védőkorlátok, visszalépési tervek; kanári kiadások; biztonsági káoszvizsgálatok.

11. ellátási lánc, emberi jogok és tisztességes munka (modern rabszolgaság, LkSG-analógia)

  • Emberi jogi átvilágítás: Kockázatelemzés, beszállítói magatartási kódex, szerződéses kötelezettségvállalások, auditok, korrekciós intézkedések.
  • Modern rabszolgaság: Éves nyilatkozat, érzékenyítés, jelentési csatornák.
  • Munkaügyi normák: Méltányos bérezés, munkaidő, egészségvédelem; a bejelentők védelme.

12. előítéletek kezelése, méltányosság és befogadás (kiszolgáltatott ügyfelek, hozzáférhetőség)

  • Elfogultsági ellenőrzések: Adatkészlet-elemzések, kiegyensúlyozás, különböző tesztcsoportok, méltányossági mérőszámok; dokumentált enyhítés.
  • Veszélyeztetett ügyfelek: Védelmi célok, alternatív csatornák, világos nyelvezet; a kognitív gyengeségek kihasználása nélkül.
  • Hozzáférhetőség: WCAG-Konformitás; többnyelvűség; inkluzív megközelítés.

13. generatív mesterséges intelligencia, eredetigazolás és címkézés (C2PA, vízjel)

  • Címkézés: Látható címkék/metaadatok a mesterséges intelligencia tartalmakhoz; interakciókra való utalás.
  • Származási garanciák: C2PA-környezet, aláírások/vízjelek, amennyire ez technikailag lehetséges.
  • Szerzői jogok/szolgáltatások védelme: Az engedélyek tisztázása; az adatok megfelelőségének oktatása; a jogok láncolatának dokumentálása.

14. tartalom, moderálás és DSA folyamatok (jelentés, panaszok, átláthatóság)

  • Jelentési csatornák: Alacsony küszöbű felhasználói bejelentés; az illegális tartalmak kiemelt feldolgozása.
  • Panaszolási eljárások: Átlátható indoklás, kifogás, eszkaláció.
  • Átláthatósági jelentések: A vonatkozó kulcsszámok és intézkedések rendszeres közzététele.

15. területspecifikus felhasználás (Hírek, Data, Health, Légiközlekedés, Yachts, Estate, Pay/Trade/Trust/Coin, Cars).

  • Hírek/kiadás: Kutatási segítségnyújtás, fordítás, moderálás; a generatív tartalom egyértelmű címkézése.
  • SCANDIC DATA: Biztonságos AI/HPC infrastruktúra, az ügyfelek elkülönítése, HSM/KMS, megfigyelhetőség, megfelelőségi artefaktumok.
  • Health: Bizonyítékon alapuló használat, emberi végső döntés, nem teszteletlen diagnózisok.
  • Repülés/Yachts: Biztonsági folyamatok, emberi felügyelet, vészhelyzeti eljárások.
  • Estate: Értékelési modellek méltányossági ellenőrzésekkel; ESG integráció.
  • Pay/Trade/Trust/Coin: Csalásmegelőzés, KYC/AML, piacfelügyelet, megmagyarázható döntések.
  • Cars: Személyre szabott szolgáltatások szigorú adatvédelemmel.

16. Harmadik felek, beszerzés és beszállítói kockázatkezelés

  • Átvilágítás a beszállás előtt: Biztonsági/adatvédelmi szint, adatok helye, alfeldolgozók, tanúsítványok.
  • Szerződések: Ellenőrzési jogok, átláthatósági és javítási záradékok, SLA/OLA mérőszámok.
  • Monitoring: Teljesítmény KPI-k, megállapítások/események cseréje, kilépési tervek.

17. Üzemeltetés, megfigyelhetőség, vészhelyzeti és újraindítási tervek

  • Művelet: Megfigyelhetőség (naplók, metrikák, nyomkövetés), SLO/SLI-kezelés, kapacitástervezés.
  • Vészhelyzet: Futtatási könyvek, DR-tesztek, helyreállítási idők, kommunikációs tervek.
  • Konfiguráció/titkok kezelése: Legkisebb kiváltság, rotáció, keményedés.

18. incidensek és jogorvoslatok (etika, adatvédelem, biztonság)

  • Etikai incidensek: Nemkívánatos megkülönböztetés, dezinformáció, tisztázatlan eredet - azonnali intézkedések és AIEB felülvizsgálat.
  • Adatvédelmi incidensek: Jelentési folyamatok az adatvédelmi tisztviselő/felügyelet felé; az érintett felek tájékoztatása; a kiváltó okok elemzése.
  • Biztonsági incidensek: CSIRT-eljárások, törvényszéki vizsgálatok, tanulságok, megelőző intézkedések.

19. mérőszámok, KPI-k és bizonyosság (belső/külső)

  • Kötelező KPI-k: 100 % AIIA lefedettség a produktív mesterséges intelligencia felhasználási esetekre; 95 % képzési arány; 0 nyitott kritikus ellenőrzési megállapítás.
  • Méltányossági mérőszámok: Különböző hatás, kiegyenlített esélyek (esetspecifikus használat).
  • Fenntarthatóság: Az adatközpontok energia/PUE/szén-dioxid számadatai; a modellek hatékonysága.

20. képzés, tudatosság és kulturális változás

  • Kötelező képzés (éves): Mesterséges intelligencia etika, adatvédelem, biztonság, médiaetika; célcsoport-specifikus modulok.
  • Felvilágosító kampányok: Útmutatók, brown-bag ülések, konzultációs órák; belső gyakorlati közösségek.
  • Kultúra: Vezetés mint példakép, hibakultúra, felelős magatartás jutalmazása.

21. megvalósítás és ütemterv (0-6 / 6-12 / 12-24 hónap)

  • 0-6 hónapos korig: A mesterséges intelligencia felhasználási eseteinek nyilvántartása; AIIA folyamat; minimális ellenőrzések; képzési hullám; beszállítói szűrés.
  • 6-12 hónap: A vörös csoportosulás bevezetése; az első átláthatósági jelentések; energiaprogram; a RACI véglegesítése.
  • 12-24 hónap: ISO/IEC-42001 összehangolás; korlátozott bizonyosság; folyamatos fejlesztés; CSRD/ESRS előkészítés (ha alkalmazható).

22. tekercsek és RACI-mátrix

  • A használati eset tulajdonosa (A): Cél, előnyök, KPI-k, költségvetés, újraértékelések.
  • Modell-tulajdonos (R): Adatok/képzés/értékelés, modellkártya, sodródásfigyelés.
  • Adatvédelmi tisztviselő (C/A az adatvédelemért): Jogalap, DPIA, az érintettek jogai.
  • Secisztasági ólom (C): Fenyegetésmodellezés, red teaming, TOM-ok.
  • Felelős szerkesztő (C): Médiaetika, címkézés, korrekciós nyilvántartás.
  • Szolgáltatás tulajdonosa (R): Üzemeltetés, SLO, incidenskezelés.
  • Közbeszerzési vezető (R/C): Harmadik felek, szerződések, kilépési tervek.

23. ellenőrző listák (AIIA rövid, adatkiadás, go-live gate)

  • AIIA gyorsellenőrzés: Cél? Jogalap? Érintett felek? Kockázatok (jogi/etikai/Security/előítélet/környezet)? Kockázatcsökkentés? HIL-ellenőrzések?
  • Adatközlés: Forrás jogszerű? Minimalizálás? Megőrzés? Hozzáférés? Harmadik ország?
  • Go-Live-Gate: A leletek teljesek (Data/Modellkártyák, naplók)? A Vörös Csapat eredményei? Monitoring/DR beállítása?

24. űrlapok és sablonok (mintakártya, Data kártya, incidensjelentés)

  • Modell-kártya-sablon: Cél, adatok, képzés, referenciaértékek, korlátozások, kockázatok, felelősök, kapcsolattartó.
  • Data-Card-sablon: Származás, engedély, minőség, reprezentativitás, torzításellenőrzés, felhasználási korlátozások.
  • Incidensjelentés sablon: Esemény, hatások, érintett személyek, azonnali intézkedések, kiváltó ok, orvoslás, tanulságok.

25 Fogalomtár és hivatkozások

Fogalomtár: AI rendszer, generatív AI, magas kockázatú rendszer, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI. Hivatkozások:
Megjegyzés: Ez a mesterséges intelligenciáról szóló kódex kiegészíti a meglévő LEGIER iránymutatásokat, mint például többek között: (Adatvédelem, digitális szolgáltatások, emberi jogok/ellátási lánc, vállalatirányítás, fenntarthatóság, modern rabszolgaság). Az LEGIER Csoport (LEGIER Beteiligungs mbH) megfelelőségi keretrendszerének szerves részét képezi.