Etični kodeks AI skupine LEGIER in skupine „SANDIC by LEGIER“

Vsebina

Opomba: Če je samodejni imenik prazen, kliknite z desno tipko miške na Word → „Posodobi polje“.

1. preambula in področje uporabe

Ta kodeks določa zavezujoča načela, postopke in kontrole za razvoj, nabavo, delovanje in uporabo umetne inteligence v skupini LEGIER. Uporablja se v celotni skupini za zaposlene, vodje, pogodbene obdelovalce, dobavitelje in partnerje. Združuje obstoječe smernice skupine (varstvo podatkov, procesi digitalnih storitev, korporativno upravljanje, trajnostni razvoj, politika človekovih pravic, izjava o sodobnem suženjstvu) in jih razširja z zahtevami, specifičnimi za UI. Cilj je omogočiti koristi in inovacije, omogočiti obvladovanje tveganj ter zaščititi pravice uporabnikov, strank in širše javnosti. 2. osnovne vrednote in vodilna načela  
  • Človekovo dostojanstvo in temeljne pravice nad ekonomsko učinkovitostjo. UI služi ljudem - nikoli obratno.
  • Pravna skladnost: Skladnost z Akt EU o umetni inteligenciGDPRDSA in sektorske standarde. Brez uporabe prepovedanih praks.
  • Odgovornost in odgovornost: Za vsak sistem umetne inteligence je imenovan odgovorni lastnik; odločitve so sledljive in izpodbojne.
  • Sorazmernost: ravnovesje med namenom, tveganjem, intenzivnostjo posredovanja in družbenim učinkom.
  • Preglednost in razložljivost: Ustrezne informacije, dokumentacija in komunikacijski kanali o funkcionalnosti, podatkovnih razmerah in omejitvah.
  • Pravičnost in vključenost: Sistematično preverjanje pristranskosti, zaščita ranljivih skupin, dostopnost in večjezičnost.
  • Varnost in odpornost: 1TP63Vgrajena varnost, poglobljena obramba, stalno utrjevanje in spremljanje.
  • Trajnostni razvoj: Učinkovitost modelov in podatkovnih centrov (energija, PUE/CFE), pogled na življenjski cikel podatkov/modelov.

3. upravljanje in odgovornosti (odbor za etiko AI, RACI)

Odbor za etiko umetne inteligence (AIEB): Interdisciplinarno (tehnologija, pravo/skupnost, varstvo podatkov, varnost, uredništvo/produkt, ljudje). Naloge: Posodabljanje politik, izdajanje odobritev (zlasti za visoko tveganje), odločanje o konfliktih, spremljanje poročil. Vloge: Lastnik primera uporabe, lastnik modela, Data Steward, DPO, Security Lead, Responsible Editor, Service Owner, Procurement Lead. Odbori in vrata: Odobritev AIIA pred začetkom uporabe; svetovalni odbor za spremembe za bistvene spremembe; letni vodstveni pregledi. Načelo RACI: Jasna določitev odgovornosti za vsako dejavnost (odgovorni, odgovorni, posvetovani, obveščeni).

4. pravni in standardizacijski okvir (Zakon EU o umetni inteligenci, GDPR, DSA, avtorsko pravo, trgovinsko pravo)

  • EU-AI-Akt: Okvir, ki temelji na tveganju, s prepovedmi, obveznostmi za sisteme z visokim tveganjem, dokumentacijo, beleženjem, upravljanjem in preglednostjo; postopna uporaba od leta 2025/2026.
  • GDPR: Pravne podlage (člen 6/9), pravice posameznikov, na katere se nanašajo osebni podatki, vgrajena zasebnost, ocena učinka v zvezi z varstvom podatkov (DPIA), prenosi v tretje države (člen 44 in naslednji).
  • DSA: Postopki platform za obveščanje, pritožbe, poročila o preglednosti, ocene tveganja velikih platform.
  • Avtorske in sorodne pravice / osebnostne pravice: Jasne licenčne verige, pravice do podobe/imena, domicilne pravice tretjih oseb.
  • Zahteve, specifične za posamezno panogo (npr. letalsko/pomorsko pravo/Health).

5. razvrščanje tveganj in ocena učinka umetne inteligence (AIIA)

Razvrstitev:
  1. Prepovedane prakse (niso dovoljene)
  2. Sistemi z visokim tveganjem (stroge obveznosti)
  3. Omejeno tveganje (preglednost)
  4. Zmanjšano tveganje
Postopek AIIA: Opis Namen/obseg, zainteresirane strani, pravna podlaga, viri podatkov; analiza tveganja (pravno, etično, varnostno, pristranskost, vpliv na okolje); načrt za ublažitev; odločitev (odobritev AIEB). Ponovne ocene: Pri bistvenih spremembah, pri visokem tveganju vsako leto; dokumentacija v centralnem registru.

6. etika in varstvo podatkov (pravna podlaga, DPIA, piškotki, tretja država)

  • Zmanjševanje podatkov in omejitev namena; Prednost ima psevdonimizacija/anonimizacija.
  • Preglednost: Informacije o varstvu podatkov, informacije in kanali za izbris; prenosljivost; možnosti ugovora.
  • Piškotki/sledenje: Upravljanje privolitve; preklic; anonimizacija IP; samo odobrena orodja.
  • transferji v tretje države: Samo z ustreznimi jamstvi (SCC/ustreznost); redno testiranje podobdelovalcev.
  • DPIA: Obvezno za obdelavo z visokim tveganjem; dokumentirajte tehnične/organizacijske ukrepe (TOM).

7. življenjski cikel modela in podatkov (ML-Lifecycle, kartice Data, kartice modelov)

Data Življenjski cikel: Pridobivanje → Kuriranje → Označevanje → Vrata kakovosti → Verificiranje → Shranjevanje/izbris. Življenjski cikel modela: Opredelitev problema → Izbira arhitekture → Usposabljanje/usklajevanje → Vrednotenje (offline/online) → Izpustitev → Delovanje → Spremljanje → Ponovna usposobitev/upokojitev. Data Kartice: Izvor, reprezentativnost, kakovost, ugotovitve o pristranskosti, omejitve uporabe. Model kartice: Namen, podatki za usposabljanje, merila uspešnosti, metrike, omejitve, pričakovani vzorci napak, kaj storiti/ne storiti. Izvor in ponovljivost: Hashe, različice podatkov/modelov, preverjanja cevovodov.

8. preglednost, razložljivost in navodila za uporabnike

  • Označevanje za interakcijo z umetno inteligenco in vsebino, ki jo ustvarja umetna inteligenca.
  • Razložljivost: Uporabite razlage, prilagojene posameznim primerom in prijazne do laikov (lokalne/globalne).
  • Navodila za uporabo: Namen, glavni vplivni dejavniki, omejitve; povratne informacije in metode popravljanja.

9. človek v zanki in nadzorne naloge

  • Človeški nadzor kot standard za pomembne odločitve (zlasti za visoko tveganje).
  • Načelo štirih oči za uredniško/socialno občutljive naloge.
  • Funkcije prekrivanja/odpovedi; poti eskalacije; dokumentacija.

10. varnost, robustnost in red-teaming (hitra injekcija, jailbreaki)

  • Modeliranje groženj (STRIDE + specifična AI): Vbrizgavanje pozivov, zastrupljanje podatkov za usposabljanje, kraja modela, uhajanje zaščite podatkov.
  • Red teaming in nasprotni testi; preprečevanje bega iz zapora; omejevanje hitrosti; izhodno filtriranje; skeniranje stopenj 1TP63.
  • Zanesljivost: Pozivi za povratne ukrepe, varovalne ograje, načrti za povratek; izdaje kanarčkov; testi kaosa za varnost.

11. oskrbovalna veriga, človekove pravice in pošteno delo (sodobno suženjstvo, LkSG-analog)

  • skrbni pregled človekovih pravic: Analiza tveganja, kodeks ravnanja dobavitelja, pogodbene obveznosti, revizije, sanacijski ukrepi.
  • Sodobno suženjstvo: Letna prijava, ozaveščanje, kanali za poročanje.
  • Delovni standardi: Pravično plačilo, delovni čas, varovanje zdravja; zaščita žvižgačev.

12. obvladovanje pristranskosti, pravičnost in vključevanje (ranljive stranke, dostopnost)

  • Preverjanje pristranskosti: Analize nabora podatkov, uravnoteženje, različne testne skupine, metrike pravičnosti; dokumentirana ublažitev.
  • Ogrožene stranke: Cilji zaščite, alternativni kanali, jasen jezik; brez izkoriščanja kognitivnih slabosti.
  • Dostopnost: WCAG-skladnost; večjezičnost; vključujoč pristop.

13. generativna umetna inteligenca, dokazilo o izvoru in označevanje (C2PA, vodni znak)

  • Označevanje: Vidne oznake/metapodatki za vsebino umetne inteligence; namigi za interakcije.
  • Jamstva o poreklu: C2PA-kontekst, podpisi/vodni žigi, kolikor je to tehnično mogoče.
  • Avtorske pravice/zaščita storitev: Pojasnite licence; usposabljanje za skladnost podatkov; dokumentiranje verige pravic.

14. vsebina, moderiranje in postopki DSA (poročanje, pritožbe, preglednost)

  • Kanali za poročanje: Nizkopražno poročanje uporabnikov; prednostna obdelava nezakonite vsebine.
  • Postopki za pritožbe: Pregledna utemeljitev, ugovor, stopnjevanje.
  • Poročila o preglednosti: redna objava ustreznih ključnih podatkov in ukrepov.

15. uporaba za posamezno področje (Novice, Data, Health, Letalstvo, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)

  • Novice/založništvo: Raziskovalna pomoč, prevajanje, moderiranje; jasno označevanje generativne vsebine.
  • SCANDIC DATA: Varna infrastruktura AI/HPC, ločevanje odjemalcev, HSM/KMS, opazljivost, artefakti skladnosti.
  • Health: Na dokazih temelječa uporaba, končna odločitev človeka, brez nepreverjenih diagnoz.
  • Letalstvo/Yachts: Varnostni procesi, nadzor ljudi, postopki v sili.
  • Estate: Modeli vrednotenja s preverjanjem poštenosti; vključevanje ESG.
  • Pay/Trade/Trust/Coin: Preprečevanje goljufij, KYC/AML, nadzor trga, pojasnljive odločitve.
  • Cars: Prilagojene storitve s strogim varstvom podatkov.

16. tretje osebe, javna naročila in upravljanje tveganj prodajalcev

  • Skrbni pregled pred vkrcanjem: raven varnosti/zaščite podatkov, lokacije podatkov, podobdelovalci, potrdila.
  • Pogodbe: Revizijske pravice, klavzule o preglednosti in odpravljanju napak, metrike SLA/OLA.
  • Spremljanje: Ključni kazalniki uspešnosti, izmenjava ugotovitev/incidentov, izhodni načrti.

17. delovanje, opazljivost, načrti za izredne razmere in ponovni zagon

  • Delovanje: Opazovanje (dnevniki, metrike, sledi), upravljanje SLO/SLI, načrtovanje zmogljivosti.
  • V nujnih primerih: Izvedbeni priročniki, testi DR, časi obnovitve, komunikacijski načrti.
  • Upravljanje konfiguracije/tajnosti: Najmanjši privilegij, rotacije, utrjevanje.

18. incidenti in pravna sredstva (etika, varstvo podatkov, varnost)

  • Etični incidenti: Nezaželena diskriminacija, dezinformacije, nejasen izvor - takojšnji ukrepi in pregled AIEB.
  • incidenti v zvezi z varstvom podatkov: Postopki poročanja DPO/nadzoru; obveščanje prizadetih strank; analiza temeljnih vzrokov.
  • Varnostni incidenti: Postopki CSIRT, forenzika, pridobljene izkušnje, preventivni ukrepi.

19. metrike, ključni kazalniki uspešnosti in zagotovila (notranja/zunanja)

  • Obvezni ključni kazalniki uspešnosti: 100 % pokritost AIIA s produktivnimi primeri uporabe umetne inteligence; 95 % stopnja usposabljanja; 0 odprtih kritičnih revizijskih ugotovitev.
  • Meritve pravičnosti: Različni vpliv, izenačene možnosti (uporabite za posamezen primer).
  • Trajnostni razvoj: Podatki o energiji/PUE/ogljiku podatkovnih centrov; učinkovitost modelov.

20. usposabljanje, ozaveščanje in kulturne spremembe

  • Obvezno usposabljanje (letno): Etika umetne inteligence, varstvo podatkov, varnost, medijska etika; moduli, prilagojeni ciljnim skupinam.
  • Kampanje za ozaveščanje: Vodiči, sestanki v rjavem vrečku, posvetovalne ure; interne skupnosti za prakso.
  • Kultura: Vodstvo kot vzor, kultura napak, nagrajevanje odgovornega vedenja.

21. izvajanje in načrt (0-6 / 6-12 / 12-24 mesecev)

  • 0-6 mesecev: popis primerov uporabe umetne inteligence; postopek AIIA; minimalni nadzor; val usposabljanja; pregled dobaviteljev.
  • 6-12 mesecev: Uvedba red teaminga; prva poročila o preglednosti; energetski program; dokončanje RACI.
  • 12-24 mesecev: uskladitev z ISO/IEC-42001; omejeno zagotavljanje; stalno izboljševanje; priprava CSRD/ESRS (po potrebi).

22. rolice in matrika RACI

  • Lastnik primera uporabe (A): Namen, koristi, ključni kazalniki uspešnosti, proračun, ponovne ocene.
  • Lastnik modela (R): Podatki/učenje/ocenjevanje, kartica modela, spremljanje zdrsa.
  • DPO (pooblaščena oseba za varstvo podatkov): Pravna podlaga, DPIA, pravice posameznikov, na katere se nanašajo osebni podatki.
  • 1TP63Čistost svinca (C): Modeliranje groženj, oblikovanje rdečih skupin, TOM.
  • Odgovorni urednik (C): Medijska etika, označevanje, register popravkov.
  • Lastnik storitve (R): Delovanje, SLO, upravljanje incidentov.
  • Vodja javnih naročil (R/C): Tretje osebe, pogodbe, načrti za izstop.

23. kontrolni seznami (kratek seznam AIIA, sprostitev podatkov, prehod na novo delovanje)

  • Hitro preverjanje AIIA: Namen? Pravna podlaga? Prizadete stranke? Tveganja (pravna/etična/Security/objektivnost/okolje)? Zmanjševanje? Kontrole HIL?
  • Objava podatkov: Vir je zakonit? Minimalizacija? Hramba? Dostop? Tretja država?
  • Go-Live-Gate: Artefakti so popolni (Data/Model kartice, dnevniki)? Obravnavani rezultati rdeče skupine? Vzpostavljeno spremljanje/DR?

24. obrazci in predloge (vzorčna kartica, kartica Data, poročilo o incidentu)

  • Model-Card-Template: Namen, podatki, usposabljanje, merila uspešnosti, omejitve, tveganja, odgovorne osebe, kontakt.
  • Data-Card-Template: Izvor, licenca, kakovost, reprezentativnost, preverjanje pristranskosti, omejitve uporabe.
  • Predloga poročila o incidentu: Incident, učinki, prizadete osebe, takojšnji ukrepi, temeljni vzrok, sanacija, pridobljene izkušnje.

25 Glosar in reference

Glosar: sistem umetne inteligence, generativna umetna inteligenca, sistem z visokim tveganjem, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI. Reference:
Opomba: Ta kodeks AI dopolnjuje obstoječe smernice LEGIER, kot so med drugim: (varstvo podatkov, digitalne storitve, človekove pravice/dobavna veriga, korporativno upravljanje, trajnost, sodobno suženjstvo). Je sestavni del okvira skladnosti skupine LEGIER (LEGIER Beteiligungs mbH).