Кодекс этики ИИ группы компаний ЛЕГИЕР и "SANDIC by LEGIER"

1. преамбула и область применения

Настоящий Кодекс устанавливает обязательные принципы, процессы и средства контроля для разработки, закупки, эксплуатации и использования ИИ в группе LEGIER. Он распространяется на всех сотрудников, руководителей, подрядчиков, поставщиков и партнеров группы.

Он объединяет существующие руководства Группы (защита данных, процессы предоставления цифровых услуг, корпоративное управление, устойчивое развитие, политика в области прав человека, заявление о современном рабстве) и расширяет их с учетом специфических требований к ИИ.

Цель Это позволяет получать выгоду и внедрять инновации, делать риски управляемыми и защищать права пользователей, клиентов и широкой общественности.

2. основные ценности и руководящие принципы

Человеческое достоинство и основные права стоят выше экономической эффективности. ИИ служит людям - и никогда не бывает наоборот.
Юридическое соответствие: Соблюдение Закон ЕС об искусственном интеллекте, GDPR, DSA и отраслевые стандарты. Отсутствие использования запрещенных практик.
Ответственность и подотчетность: Для каждой системы ИИ назначается ответственный владелец; решения отслеживаются и могут быть оспорены.
Пропорциональность: Баланс цели, риска, интенсивности вмешательства и социального воздействия.
Прозрачность и понятность: Адекватная информация, документация и каналы связи о функциональности, ситуациях с данными и ограничениях.
Справедливость и инклюзивность: Систематическая проверка на предвзятость, защита уязвимых групп, доступность и многоязычие.
Безопасность и устойчивость: Безопасность по проекту, защита на всю глубину, постоянное укрепление и мониторинг.
Устойчивость: Эффективность моделей и центров обработки данных (энергия, PUE/CFE), представление жизненного цикла данных/моделей.

3. управление и ответственность (Совет по этике AI, RACI)

Совет по этике искусственного интеллекта (AI Ethics Board, AIEB): Междисциплинарный подход (технологии, право/соответствие, защита данных, безопасность, редакция/продукт, люди). Задачи: Обновление политик, выдача разрешений (особенно рискованных), принятие решений по конфликтам, мониторинг отчетов.

Роли: Владелец сценария использования, владелец модели, управляющий данными, DPO, руководитель службы безопасности, ответственный редактор, владелец сервиса, руководитель службы закупок.

Комитеты и шлюзы: Утверждение AIIA перед вводом в эксплуатацию; консультативный совет по существенным изменениям; ежегодные обзоры руководства.

Принцип RACI: Четкое распределение ответственности за каждый вид деятельности (ответственный, подотчетный, проконсультированный, информированный).

4. правовая и стандартизационная база (Закон ЕС об искусственном интеллекте, GDPR, DSA, авторское право, торговое право)

EU-AI-Act: Основанные на оценке рисков рамки с запретами, обязательствами для систем с высоким уровнем риска, документацией, протоколированием, управлением, обязательствами по обеспечению прозрачности; поэтапное применение с 2025/2026 гг.
GDPR: Правовые основания (ст. 6/9), права субъектов данных, конфиденциальность по замыслу/по умолчанию, оценка воздействия на защиту данных (DPIA), передача данных в третьи страны (ст. 44 и далее).
DSA: Процессы платформы для уведомлений, жалоб, отчетов о прозрачности, оценки рисков крупных платформ.
Авторское право и смежные права / личные права: Четкие лицензионные цепочки, права на изображение/название, права на домицилирование третьим лицам.
Отраслевые требования (например, авиационное/морское право/здравоохранение) также должны быть соблюдены.

5. классификация рисков и оценка воздействия искусственного интеллекта (AIIA)

Классификация:

Запрещенные практики (не разрешенные)
Системы с высокой степенью риска (строгие обязательства)
Ограниченный риск (прозрачность)
Минимизированный риск

Процедура AIIA: Описание Цель/объем, заинтересованные стороны, правовая основа, источники данных; анализ рисков (правовых, этических, безопасности, предвзятости, воздействия на окружающую среду); план по снижению рисков; решение (одобрение AIEB).

Переоценки: Для существенных изменений, ежегодно для высокого риска; документация в центральном реестре.

6. этика и защита данных (правовая основа, DPIA, cookies, третья страна)

Минимизация данных и ограничение целей; Предпочтительна псевдонимизация/анонимизация.
Прозрачность: Информация о защите данных, информация и каналы удаления; переносимость; возможность возражения.
Cookies/Tracking: Управление согласием; отзыв; анонимизация IP-адресов; только одобренные инструменты.
Переводы в третьи страны: Только при наличии соответствующих гарантий (SCC/адекватность); регулярное тестирование субпроцессоров.
DPIA: Обязательно для обработки с высоким риском; документирование технических/организационных мер (ТОМ).

7. жизненный цикл модели и данных (жизненный цикл ML, карты данных, карты моделей)

Жизненный цикл данных: Приобретение → Курация → Маркировка → Контроль качества → Версионирование → Хранение/Удаление.

Жизненный цикл модели: Постановка задачи → Выбор архитектуры → Обучение/настройка → Оценка (оффлайн/онлайн) → Выпуск → Эксплуатация → Мониторинг → Переобучение/отставка.

Карты данных: Происхождение, репрезентативность, качество, предвзятость выводов, ограничения на использование.

Модели карт: Цель, данные для обучения, контрольные показатели, метрики, ограничения, ожидаемые модели ошибок, "за" и "против".

Происхождение и воспроизводимость: Хеширование, версии данных/моделей, верификация трубопроводов.

8. прозрачность, понятность и инструкции для пользователей

Маркировка для взаимодействия ИИ и контента, созданного ИИ.
Объяснимость: Используйте пояснения (локальные/глобальные), ориентированные на конкретный случай и понятные обывателю.
Инструкции по эксплуатации: Цель, основные влияющие факторы, ограничения; методы обратной связи и коррекции.

9. человек в контуре и контрольные функции

Стандартный человеческий контроль при принятии важных решений (особенно с высоким уровнем риска).
Принцип "четырех глаз" для редакционных/социальных заданий.
Функции переопределения/отмены; пути эскалации; документация.

10. безопасность, устойчивость и "красные" технологии (инъекции, джейлбрейки)

Моделирование угроз (STRIDE + AI-специфика): Внедрение подсказок, отравление обучающих данных, кража моделей, утечка защиты данных.
Красные команды и состязательные испытания; предотвращение взлома; ограничение скорости; фильтрация вывода; секретное сканирование.
Надежность: Подсказки, ограждения, планы отката; канареечные релизы; хаос-тесты на безопасность.

11. цепочка поставок, права человека и справедливый труд (современное рабство, аналог LkSG)

Должная забота о правах человека: Анализ рисков, кодекс поведения поставщика, договорные обязательства, аудиты, меры по исправлению ситуации.
Современное рабство: Ежегодное декларирование, информирование, каналы отчетности.
Трудовые стандарты: Справедливая оплата труда, продолжительность рабочего дня, охрана здоровья; защита информаторов.

12. управление предвзятостью, справедливость и инклюзивность (уязвимые клиенты, доступность)

Проверки на предвзятость: Анализ наборов данных, балансировка, различные тестовые группы, метрики справедливости; документированное смягчение последствий.
Клиенты в зоне риска: Защитные цели, альтернативные каналы, понятный язык; никакой эксплуатации когнитивных слабостей.
Доступность: WCAG-Конформность; многоязычие; инклюзивный подход.

13. генеративный ИИ, подтверждение происхождения и маркировка (C2PA, водяной знак)

Маркировка: Наглядные метки/метаданные для содержимого ИИ; подсказки для взаимодействия.
Гарантии происхождения: C2PA-контекст, подписи/водные знаки, насколько это технически возможно.
Авторские права/защита услуг: Уточнение лицензий; обучение соблюдению данных; документирование цепочки прав.

14. содержание, модерация и процессы DSA (отчетность, жалобы, прозрачность)

Каналы отчетности: Низкопороговое информирование пользователей; приоритетная обработка нелегального контента.
Процессы рассмотрения жалоб: Прозрачное обоснование, возражение, эскалация.
Отчеты о прозрачности: Периодическая публикация соответствующих ключевых цифр и показателей.

15. использование в конкретных областях (новости, данные, здоровье, авиация, яхты, недвижимость, оплата/торговля/доверие/монеты, автомобили)

Новости/Паблишинг: Помощь в проведении исследований, перевод, модерация; четкая маркировка генеративного контента.
СКАНДИЧЕСКИЕ ДАННЫЕ: Безопасная инфраструктура AI/HPC, разделение клиентов, HSM/KMS, наблюдаемость, артефакты соответствия.
Здоровье: Использование доказательной базы, окончательное решение принимает человек, никаких непроверенных диагнозов.
Авиация/Яхты: Процессы безопасности, контроль за работой персонала, аварийные процедуры.
Усадьба: Модели оценки с проверкой справедливости; интеграция ESG.
Платить/торговать/доверять/монетизировать: Предотвращение мошенничества, KYC/AML, наблюдение за рынком, объяснимые решения.
Автомобили: Персонализированные услуги со строгой защитой данных.

16. третьи стороны, закупки и управление рисками поставщиков

Проведите тщательную проверку перед вводом в эксплуатацию: Уровень безопасности/защиты данных, местоположение данных, субпроцессоры, сертификаты.
Контракты: Права на аудит, положения о прозрачности и устранении недостатков, показатели SLA/OLA.
Мониторинг: Ключевые показатели эффективности, обмен информацией о результатах/инцидентах, планы выхода.

17. эксплуатация, наблюдаемость, планы аварийного и повторного запуска

Операция: Наблюдаемость (журналы, метрики, трассировки), управление SLO/SLI, планирование мощностей.
Чрезвычайная ситуация: Runbooks, тесты DR, время восстановления, планы коммуникации.
Управление конфигурацией/секретами: Наименьшие привилегии, ротация, закалка.

18. инциденты и средства защиты (этика, защита данных, безопасность)

Инциденты, связанные с этикой: Нежелательная дискриминация, дезинформация, неясное происхождение - немедленные меры и обзор AIEB.
Инциденты, связанные с защитой данных: Процессы отчетности перед DPO/надзором; информирование пострадавших сторон; анализ первопричин.
Инциденты безопасности: Процедуры CSIRT, криминалистика, извлеченные уроки, превентивные меры.

19. Показатели, КПЭ и гарантии (внутренние/внешние)

Обязательные KPI: 100 % AIIA охват продуктивных примеров использования ИИ; 95 % коэффициент обучения; 0 открытых критических аудиторских заключений.
Показатели справедливости: Неравномерное воздействие, уравнивание шансов (использовать для каждого конкретного случая).
Устойчивость: Показатели энергопотребления/PUE/углеродные показатели центров обработки данных; эффективность моделей.

20. обучение, повышение осведомленности и изменение культуры

Обязательное обучение (ежегодное): Этика искусственного интеллекта, защита данных, безопасность, этика СМИ; модули, ориентированные на целевые группы.
Информационные кампании: Руководства, занятия в формате brown-bag, часы консультаций; внутренние сообщества практиков.
Культура: Лидерство как пример для подражания, культура ошибок, поощрение ответственного поведения.

21. внедрение и дорожная карта (0-6 / 6-12 / 12-24 месяца)

0-6 месяцев: Инвентаризация вариантов использования ИИ; процесс AIIA; минимальный контроль; волна обучения; проверка поставщиков.
6-12 месяцев: Внедрение "красной команды"; первые отчеты о прозрачности; энергетическая программа; завершение работы над RACI.
12-24 месяца: Приведение в соответствие с ISO/IEC-42001; ограниченные гарантии; постоянное улучшение; подготовка CSRD/ESRS (если применимо).

22. матрица рулонов и RACI

Владелец сценария использования (A): Цель, преимущества, KPI, бюджет, переоценка.
Модель-владелец (R): Данные/обучение/оценка, карта модели, мониторинг дрейфа.
DPO (к/з по защите данных): Правовая основа, DPIA, права субъектов данных.
Руководитель службы безопасности (C): Моделирование угроз, "красные команды", TOMs.
Ответственный редактор (C): Этика СМИ, маркировка, реестр исправлений.
Владелец службы (R): Эксплуатация, SLO, управление инцидентами.
Руководитель отдела закупок (Р/С): Третьи лица, контракты, планы выхода.

23. Контрольные списки (краткий AIIA, выпуск данных, "ворота")

Быстрая проверка AIIA: Цель? Правовая основа? Затрагиваемые стороны? Риски (правовые/этические/безопасность/предвзятость/экологические)? Смягчение? Средства контроля HIL?
Выпуск данных: Источник законен? Минимизация? Сохранение? Доступ? Третья страна?
Go-Live-Gate: Артефакты завершены (карты данных/моделей, журналы)? Рассмотрены результаты работы "красной команды"? Установлен мониторинг/DR?

24. формы и шаблоны (типовая карта, карта данных, отчет о происшествии)

Модель-карточка-шаблон: Цель, данные, обучение, контрольные показатели, ограничения, риски, ответственные лица, контакты.
Data-Card-Template: Происхождение, лицензия, качество, репрезентативность, проверка на предвзятость, ограничения на использование.
Шаблон отчета о происшествии: Инцидент, последствия, пострадавшие лица, неотложные меры, первопричина, устранение последствий, извлеченные уроки.

25 Глоссарий и ссылки

Глоссарий: Система искусственного интеллекта, генеративный искусственный интеллект, система высокого риска, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Ссылки:

Закон ЕС об искусственном интеллекте
GDPR
DSA
Принципы ОЭСР в области искусственного интеллекта
NIST AI RMF
ISO/IEC 42001
Внутренние руководства (защита данных, процессы DSA, современное рабство, устойчивое развитие)

Примечание: Настоящий Кодекс ИИ дополняет существующие руководства LEGIER, такие как, в частности: (защита данных, цифровые услуги, права человека/цепочка поставок, корпоративное управление, устойчивое развитие, современное рабство). Он является неотъемлемой частью системы соблюдения требований группы компаний LEGIER (LEGIER Beteiligungs mbH).