LEGIER ir "SANDIC by LEGIER" grupės AI etikos kodeksas

Turinys

Pastaba: Jei automatinis katalogas atrodo tuščias, dešiniuoju pelės klavišu spustelėkite "Word" → "Atnaujinti lauką".

1. Preambulė ir taikymo sritis

Šiame kodekse nustatyti privalomi principai, procesai ir kontrolės priemonės, taikomi kuriant, įsigyjant, naudojant ir naudojant dirbtinį intelektą LEGIER grupėje. Jis taikomas visos grupės darbuotojams, vadovams, sutarčių tvarkytojams, tiekėjams ir partneriams.

Joje integruotos esamos Grupės gairės (duomenų apsauga, skaitmeninių paslaugų procesai, įmonės valdymas, tvarumas, žmogaus teisių politika, pareiškimas dėl šiuolaikinės vergovės) ir jos išplėstos įtraukiant dirbtinio intelekto reikalavimus.

Tikslas yra sudaryti sąlygas gauti naudos ir diegti naujoves, valdyti riziką ir apsaugoti naudotojų, klientų ir plačiosios visuomenės teises.

2. pagrindinės vertybės ir pagrindiniai principai

Žmogaus orumas ir pagrindinės teisės yra svarbiau už ekonominį efektyvumą. Dirbtinis intelektas tarnauja žmonėms - niekada atvirkščiai.
Teisinė atitiktis: Atitiktis ES dirbtinio intelekto aktas, BDAR, DSA ir konkretiems sektoriams taikomus standartus. Draudžiamos praktikos nenaudojimas.
Atsakomybė ir atskaitomybė: Kiekvienai dirbtinio intelekto sistemai paskiriamas atsakingas savininkas; sprendimus galima atsekti ir užginčyti.
Proporcingumas: Tikslo, rizikos, intervencijos intensyvumo ir socialinio poveikio pusiausvyra.
Skaidrumas ir paaiškinamumas: Tinkama informacija, dokumentacija ir ryšių kanalai apie funkcionalumą, duomenų situacijas ir apribojimus.
Sąžiningumas ir įtrauktis: Sistemingas šališkumo tikrinimas, pažeidžiamų grupių apsauga, prieinamumas ir daugiakalbystė.
Saugumas ir atsparumas: Saugumo užtikrinimas projektuojant, gynyba giluminiu požiūriu, nuolatinis griežtinimas ir stebėjimas.
Tvarumas: Modelių ir duomenų centrų efektyvumas (energija, PUE/CFE), duomenų ir (arba) modelių gyvavimo ciklo vaizdas.

3. valdymas ir atsakomybė (AI etikos taryba, RACI)

AI etikos taryba (AIEB): Tarpdisciplininis (technologijų, teisės ir (arba) atitikties, duomenų apsaugos, saugumo, redakcijos ir (arba) produkto, žmonių). Užduotys: Atnaujinti politiką, išduoti leidimus (ypač didelės rizikos), priimti sprendimus dėl konfliktų, stebėti ataskaitas.

Vaidmenys: Naudojimo atvejo savininkas, modelio savininkas, duomenų valdytojas, DPO, saugumo vadovas, atsakingas redaktorius, paslaugos savininkas, pirkimų vadovas.

Komitetai ir vartai: AIIA patvirtinimas prieš pradedant naudoti; pakeitimų patariamoji taryba esminiams pakeitimams; metinės valdymo peržiūros.

RACI principas: Aiškus atsakomybės už kiekvieną veiklą priskyrimas (Responsible, Accountable, Consulted, Informed).

4. teisinė ir standartizacijos sistema (ES AI aktas, BDAR, DSA, autorių teisės, prekybos teisė)

EU-AI aktas: Rizika grindžiama sistema, kurioje numatyti draudimai, įpareigojimai, susiję su didelės rizikos sistemomis, dokumentacija, registravimu, valdymu, skaidrumo įpareigojimais; taikoma dalimis nuo 2025/2026 m.
BDAR: Teisiniai pagrindai (6/9 str.), duomenų subjektų teisės, privatumas projektuojant arba pagal nutylėjimą, poveikio duomenų apsaugai vertinimas, duomenų perdavimas trečiosioms šalims (44 ir tolesni straipsniai).
DSA: Platformų procesai, susiję su pranešimais, skundais, skaidrumo ataskaitomis, didelių platformų rizikos vertinimu.
Autorių teisės ir gretutinės teisės / asmeninės teisės: Aiškios licencijų grandinės, teisės į atvaizdą ir pavadinimą, trečiųjų šalių teisės į gyvenamąją vietą.
Konkretūs pramonės reikalavimai (pvz., aviacijos/jūrų teisės/ sveikatos).

5. rizikos klasifikavimas ir AI poveikio vertinimas (AIIA)

Klasifikacija:

Draudžiama praktika (neleidžiama)
Didelės rizikos sistemos (griežti įpareigojimai)
Ribota rizika (skaidrumas)
Sumažinta rizika

AIIA procedūra: Aprašymas Tikslas / apimtis, suinteresuotosios šalys, teisinis pagrindas, duomenų šaltiniai; rizikos analizė (teisinė, etinė, saugos, šališkumo, poveikio aplinkai); poveikio mažinimo planas; sprendimas (AIEB patvirtinimas).

Pakartotiniai vertinimai: Esminių pokyčių atveju - kasmet, didelės rizikos atveju - kartą per metus; dokumentavimas centriniame registre.

6. duomenų etika ir duomenų apsauga (teisinis pagrindas, DPIA, slapukai, trečioji šalis)

Duomenų kiekio mažinimas ir tikslo apribojimas; Pageidautinas pseudonimiškumas ir (arba) anonimiškumas.
Skaidrumas: Duomenų apsaugos informacija, informavimo ir ištrynimo kanalai; perkeliamumas; prieštaravimo galimybės.
Slapukai / sekimas: Sutikimo valdymas; atšaukimas; IP anonimiškumas; tik patvirtintos priemonės.
Pervedimai į trečiąsias šalis: Tik su tinkamomis garantijomis (SCC / tinkamumas); reguliarus subprocesorių testavimas.
DPIA: Privaloma didelės rizikos perdirbimui; dokumentuoti technines ir (arba) organizacines priemones (TOM).

7. modelio ir duomenų gyvavimo ciklas (ML gyvavimo ciklas, duomenų kortelės, modelio kortelės)

Duomenų gyvavimo ciklas: Įsigijimas → Kūryba → Ženklinimas → Kokybės vartai → Versijų kūrimas → Saugojimas / pašalinimas.

Modelio gyvavimo ciklas: Problemos apibrėžimas → Architektūros parinkimas → Mokymas/derinimas → Vertinimas (ne internetu/internete) → Išleidimas → Eksploatavimas → Stebėsena → Perkvalifikavimas/išleidimas.

Duomenų kortelės: Kilmė, reprezentatyvumas, kokybė, šališkumo išvados, naudojimo apribojimai.

Modelio kortelės: Tikslas, mokymo duomenys, lyginamieji standartai, rodikliai, apribojimai, tikėtini klaidų modeliai, privalumai ir trūkumai.

Kilmė ir atkuriamumas: Hešai, duomenų ir (arba) modelių versijos, vamzdynų patikros.

8. skaidrumas, paaiškinamumas ir instrukcijos naudotojams

Sąveikos su dirbtiniu intelektu ir dirbtinio intelekto sukurto turinio ženklinimas.
Paaiškinamumas: Naudokite prie konkretaus atvejo pritaikytus, nespecialistams suprantamus paaiškinimus (vietinius ir (arba) pasaulinius).
Naudotojo instrukcijos: Tikslas, pagrindiniai įtaką darantys veiksniai, ribos; grįžtamojo ryšio ir korekcijos metodai.

9. "Žmogus cikle" ir priežiūros pareigos

Žmogaus priežiūra kaip standartas priimant atitinkamus sprendimus (ypač didelės rizikos).
Keturių akių principas redakciniu ir socialiniu požiūriu jautrioms užduotims.
Perdraudimo / atšaukimo funkcijos; eskalavimo keliai; dokumentacija.

10. saugumas, patikimumas ir "red-teaming" (greitas įšvirkštimas, "jailbreaks")

Grėsmių modeliavimas (STRIDE + konkrečiam dirbtiniam intelektui skirtas modeliavimas): Įspėjamoji injekcija, mokymo duomenų apsinuodijimas, modelio vagystė, duomenų apsaugos nutekėjimas.
"Red teaming" ir priešiški bandymai; pabėgimo iš kalėjimo prevencija; greičio ribojimas; išvesties filtravimas; slaptas nuskaitymas.
Patvarumas: Atsarginės užklausos, apsauginiai barjerai, atšaukimo planai; "kanariniai" išleidimai; chaoso testai saugumui užtikrinti.

11. tiekimo grandinė, žmogaus teisės ir sąžiningas darbas (šiuolaikinė vergovė, LkSG-analogas)

Deramas žmogaus teisių patikrinimas: Rizikos analizė, tiekėjo elgesio kodeksas, sutartiniai įsipareigojimai, auditas, taisomieji veiksmai.
Šiuolaikinė vergovė: Kasmetinis deklaravimas, informavimas, ataskaitų teikimo kanalai.
Darbo standartai: Sąžiningas darbo užmokestis, darbo laikas, sveikatos apsauga; pranešėjų apsauga.

12. šališkumo valdymas, sąžiningumas ir įtrauktis (pažeidžiami klientai, prieinamumas)

Šališkumo patikrinimai: Duomenų rinkinių analizė, balansavimas, įvairios bandymų grupės, sąžiningumo rodikliai; dokumentais patvirtintas poveikio mažinimas.
Klientams kyla pavojus: Apsaugos tikslai, alternatyvūs kanalai, aiški kalba; nesinaudojama pažinimo silpnybėmis.
Prieinamumas: WCAG-Konformizmas; daugiakalbystė; integracinis požiūris.

13. generatyvinis dirbtinis intelektas, kilmės įrodymas ir ženklinimas (C2PA, vandens ženklas)

Ženklinimas: Matomos dirbtinio intelekto turinio etiketės ir (arba) metaduomenys; sąveikos užuomina.
Kilmės garantijos: C2PA-kontekstas, parašai ir (arba) vandens ženklai, kiek tai techniškai įmanoma.
Autorių teisės ir (arba) paslaugų apsauga: Išsiaiškinkite licencijas; mokymų duomenų atitiktį; dokumentuokite teisių grandinę.

14. turinys, moderavimas ir DSA procesai (ataskaitos, skundai, skaidrumas)

Ataskaitų teikimo kanalai: Žemo slenksčio naudotojų pranešimai; prioritetinis neteisėto turinio apdorojimas.
Skundų teikimo procesai: Skaidrus pagrindimas, prieštaravimas, eskalavimas.
Skaidrumo ataskaitos: Periodiškai skelbti svarbius pagrindinius duomenis ir priemones.

15. konkrečios srities naudojimas (naujienos, duomenys, sveikata, aviacija, jachtos, nekilnojamasis turtas, mokėjimas / prekyba / pasitikėjimas / monetos, automobiliai)

Naujienos / leidyba: Pagalba atliekant mokslinius tyrimus, vertimas, moderavimas; aiškus generatyvinio turinio žymėjimas.
SKANDALINGI DUOMENYS: Saugi AI/HPC infrastruktūra, klientų atskyrimas, HSM/KMS, stebėjimo galimybė, atitikties artefaktai.
Sveikata: Įrodymais pagrįstas naudojimas, galutinį sprendimą priima žmogus, nėra nepatikrintų diagnozių.
Aviacija/jachtos: Saugos procesai, žmonių priežiūra, avarinės procedūros.
Turtas: Vertinimo modeliai su teisingumo patikrinimais; ESG integravimas.
Mokėti / prekiauti / pasitikėti / moneta: Sukčiavimo prevencija, KYC/AML, rinkos priežiūra, paaiškinami sprendimai.
Automobiliai: Asmeniniams poreikiams pritaikytos paslaugos ir griežta duomenų apsauga.

16. trečiosios šalys, viešieji pirkimai ir pardavėjų rizikos valdymas

Deramas patikrinimas prieš įsidarbinant: Saugumo ir (arba) duomenų apsaugos lygis, duomenų buvimo vietos, subprocesoriai, sertifikatai.
Sutartys: Audito teisės, skaidrumo ir ištaisymo sąlygos, SLA/OLA rodikliai.
Stebėsena: Veiklos KPI, keitimasis išvadomis / incidentais, pasitraukimo planai.

17. veikimo, stebėjimo, avarinių ir pakartotinio paleidimo planai

Veikimas: Stebimumas (žurnalai, metrikos, pėdsakai), SLO/SLI valdymas, pajėgumų planavimas.
Skubi pagalba: Atlikimo knygos, DR testai, atkūrimo laikas, komunikacijos planai.
Konfigūracijos ir paslapčių valdymas: Mažiausios privilegijos, rotacija, grūdinimas.

18. incidentai ir teisių gynimo priemonės (etika, duomenų apsauga, saugumas)

Etikos incidentai: Nepageidaujama diskriminacija, dezinformacija, neaiški kilmė - neatidėliotinos priemonės ir AIEB peržiūra.
Duomenų apsaugos incidentai: Ataskaitų teikimo DPO ir (arba) priežiūros institucijai procesai; informacija susijusioms šalims; pagrindinių priežasčių analizė.
Saugumo incidentai: CSIRT procedūros, teismo ekspertizė, išmoktos pamokos, prevencinės priemonės.

19. rodikliai, KPI ir užtikrinimas (vidaus ir išorės)

Privalomi KPI: 100 % AIIA aprėptis produktyvių AI naudojimo atvejų; 95 % mokymo lygis; 0 atvirų kritinių audito išvadų.
Sąžiningumo rodikliai: Skirtingas poveikis, išlyginti šansai (naudoti konkrečiu atveju).
Tvarumas: Duomenų centrų energijos, energijos vartojimo efektyvumo ir anglies dioksido kiekio rodikliai; modelių efektyvumas.

20. mokymas, informuotumas ir kultūriniai pokyčiai

Privalomas mokymas (kasmetinis): dirbtinio intelekto etika, duomenų apsauga, saugumas, žiniasklaidos etika; tikslinėms grupėms skirti moduliai.
Informavimo kampanijos: Vadovai, "rudojo krepšio" sesijos, konsultacijų valandos; vidinės praktikos bendruomenės.
Kultūra: Vadovavimas kaip pavyzdys, klaidų kultūra, atlygis už atsakingą elgesį.

21. įgyvendinimas ir veiksmų planas (0-6 / 6-12 / 12-24 mėn.)

0-6 mėn: dirbtinio intelekto naudojimo atvejų aprašas; AIIA procesas; būtiniausios kontrolės priemonės; mokymo banga; tiekėjų atranka.
6-12 mėnesių: Įdiegti raudonąją grupę; pirmosios skaidrumo ataskaitos; energetikos programa; baigti rengti RACI.
12-24 mėnesių: ISO/IEC-42001 suderinimas; ribotas užtikrinimas; nuolatinis tobulinimas; CSRD/ESRS rengimas (jei taikoma).

22. ritiniai ir RACI matrica

Naudojimo atvejo savininkas (A): Tikslas, nauda, KPI, biudžetas, pakartotinis vertinimas.
Modelio savininkas (R): Duomenys / mokymas / vertinimas, modelio kortelė, dreifo stebėjimas.
DAP (duomenų apsaugos atsakingasis pareigūnas): Teisinis pagrindas, DPIA, duomenų subjektų teisės.
Saugumo vadovas (C): Grėsmių modeliavimas, raudonųjų komandų sudarymas, TOM.
Atsakingas redaktorius (C): Žiniasklaidos etika, ženklinimas, pataisų registras.
Paslaugos savininkas (R): Operacijos, SLO, incidentų valdymas.
Viešųjų pirkimų vadovas (R/C): Trečiosios šalys, sutartys, pasitraukimo planai.

23. kontroliniai sąrašai (trumpas AIIA, duomenų išleidimas, paleidimo vartai)

AIIA greitas patikrinimas: Tikslas? Teisinis pagrindas? Paveiktos šalys? Rizika (teisinė / etinė / saugumo / šališkumo / aplinkosaugos)? Rizikos mažinimas? HIL kontrolės priemonės?
Duomenų paskelbimas: Šaltinis teisėtas? Minimizavimas? Saugojimas? Prieiga? Trečioji šalis?
"Go-Live-Gate": Ar artefaktai (duomenų/modelių kortelės, žurnalai)? Ar atsižvelgta į raudonosios komandos rezultatus? Nustatyta stebėsena ir (arba) NR?

24. formos ir šablonai (modelio kortelė, duomenų kortelė, pranešimas apie incidentą)

Modelio kortelės šablonas: Tikslas, duomenys, mokymas, kriterijai, apribojimai, rizika, atsakingi asmenys, kontaktai.
Duomenų kortelės šablonas: Kilmė, licencija, kokybė, reprezentatyvumas, šališkumo patikrinimai, naudojimo apribojimai.
Incidento ataskaitos šablonas: Incidentas, poveikis, nukentėję asmenys, neatidėliotinos priemonės, pagrindinė priežastis, ištaisomoji priemonė, išmoktos pamokos.

25 Žodynėlis ir nuorodos

Žodynėlis: dirbtinio intelekto sistema, generatyvinis dirbtinis intelektas, didelės rizikos sistema, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Nuorodos:

ES dirbtinio intelekto aktas
BDAR
DSA
EBPO dirbtinio intelekto principai
NIST AI RMF
ISO/IEC 42001
Vidaus gairės (duomenų apsauga, DSA procesai, šiuolaikinė vergovė, tvarumas)

Pastaba: Šis AI kodeksas papildo esamas LEGIER gaires, pvz., šias: (Duomenų apsauga, skaitmeninės paslaugos, žmogaus teisės ir (arba) tiekimo grandinė, įmonių valdymas, tvarumas, šiuolaikinė vergovė). Jis yra neatsiejama LEGIER grupės (LEGIER Beteiligungs mbH) atitikties sistemos dalis.