Etični kodeks skupine LEGIER in skupine "SANDIC by LEGIER"

Vsebina

Opomba: Če je samodejni imenik prazen, kliknite z desno tipko miške na Word → "Posodobi polje".

1. preambula in področje uporabe

Ta kodeks določa zavezujoča načela, postopke in nadzor za razvoj, nabavo, delovanje in uporabo umetne inteligence v skupini LEGIER. Uporablja se na ravni celotne skupine za zaposlene, vodje, pogodbene obdelovalce, dobavitelje in partnerje.

Vključuje obstoječe smernice skupine (varstvo podatkov, procesi digitalnih storitev, korporativno upravljanje, trajnost, politika človekovih pravic, izjava o sodobnem suženjstvu) in jih razširja z zahtevami, specifičnimi za umetno inteligenco.

Cilj je omogočiti koristi in inovacije, omogočiti obvladovanje tveganj ter zaščititi pravice uporabnikov, strank in širše javnosti.

2. osnovne vrednote in vodilna načela

Človekovo dostojanstvo in temeljne pravice nad ekonomsko učinkovitostjo. UI služi ljudem - nikoli obratno.
Pravna skladnost: Skladnost z Akt EU o umetni inteligenci, GDPR, DSA in sektorske standarde. Brez uporabe prepovedanih praks.
Odgovornost in odgovornost: Za vsak sistem umetne inteligence je imenovan odgovorni lastnik; odločitve so sledljive in izpodbojne.
Sorazmernost: ravnovesje med namenom, tveganjem, intenzivnostjo posredovanja in družbenim učinkom.
Preglednost in razložljivost: Ustrezne informacije, dokumentacija in komunikacijski kanali o funkcionalnosti, podatkovnih razmerah in omejitvah.
Pravičnost in vključenost: Sistematično preverjanje pristranskosti, zaščita ranljivih skupin, dostopnost in večjezičnost.
Varnost in odpornost: Načrtovana varnost, poglobljena obramba, stalno utrjevanje in spremljanje.
Trajnostni razvoj: Učinkovitost modelov in podatkovnih centrov (energija, PUE/CFE), pogled na življenjski cikel podatkov/modelov.

3. upravljanje in odgovornosti (odbor za etiko AI, RACI)

Odbor za etiko umetne inteligence (AIEB): Interdisciplinarno (tehnologija, pravo/skupnost, varstvo podatkov, varnost, uredništvo/produkt, ljudje). Naloge: Posodabljanje politik, izdajanje odobritev (zlasti za visoko tveganje), odločanje o konfliktih, spremljanje poročil.

Vloge: lastnik primera uporabe, lastnik modela, skrbnik podatkov, odgovorna oseba za varnost, odgovorni urednik, lastnik storitve, vodja javnih naročil.

Odbori in vrata: Odobritev AIIA pred začetkom uporabe; svetovalni odbor za spremembe za bistvene spremembe; letni vodstveni pregledi.

Načelo RACI: jasna določitev odgovornosti za vsako dejavnost (odgovorni, odgovorni, posvetovani, obveščeni).

4. pravni in standardizacijski okvir (Zakon EU o umetni inteligenci, GDPR, DSA, avtorsko pravo, trgovinsko pravo)

EU-AI-Akt: Okvir, ki temelji na tveganju, s prepovedmi, obveznostmi za sisteme z visokim tveganjem, dokumentacijo, beleženjem, upravljanjem in preglednostjo; postopna uporaba od leta 2025/2026.
GDPR: Pravne podlage (člen 6/9), pravice posameznikov, na katere se nanašajo osebni podatki, vgrajena zasebnost, ocena učinka v zvezi z varstvom podatkov (DPIA), prenosi v tretje države (člen 44 in naslednji).
DSA: Postopki platform za obveščanje, pritožbe, poročila o preglednosti, ocene tveganja velikih platform.
Avtorske in sorodne pravice / osebnostne pravice: Jasne licenčne verige, pravice do podobe/imena, domicilne pravice tretjih oseb.
Zahteve, specifične za posamezno panogo (npr. letalsko/pomorsko pravo/zdravje).

5. razvrščanje tveganj in ocena učinka umetne inteligence (AIIA)

Razvrstitev:

Prepovedane prakse (niso dovoljene)
Sistemi z visokim tveganjem (stroge obveznosti)
Omejeno tveganje (preglednost)
Zmanjšano tveganje

Postopek AIIA: Opis Namen/obseg, zainteresirane strani, pravna podlaga, viri podatkov; analiza tveganja (pravno, etično, varnostno, pristranskost, vpliv na okolje); načrt za ublažitev; odločitev (odobritev AIEB).

Ponovne ocene: Pri bistvenih spremembah, pri visokem tveganju vsako leto; dokumentacija v centralnem registru.

6. etika in varstvo podatkov (pravna podlaga, DPIA, piškotki, tretja država)

Zmanjševanje podatkov in omejitev namena; Prednost ima psevdonimizacija/anonimizacija.
Preglednost: Informacije o varstvu podatkov, informacije in kanali za izbris; prenosljivost; možnosti ugovora.
Piškotki/sledenje: Upravljanje privolitve; preklic; anonimizacija IP; samo odobrena orodja.
transferji v tretje države: Samo z ustreznimi jamstvi (SCC/ustreznost); redno testiranje podobdelovalcev.
DPIA: Obvezno za obdelavo z visokim tveganjem; dokumentirajte tehnične/organizacijske ukrepe (TOM).

7. življenjski cikel modela in podatkov (življenjski cikel ML, podatkovne kartice, modelne kartice)

Življenjski cikel podatkov: Pridobivanje → Kuriranje → Označevanje → Vrata kakovosti → Verificiranje → Shranjevanje/izbris.

Življenjski cikel modela: Opredelitev problema → Izbira arhitekture → Usposabljanje/usklajevanje → Vrednotenje (offline/online) → Izpustitev → Delovanje → Spremljanje → Ponovna usposobitev/upokojitev.

Podatkovne kartice: Izvor, reprezentativnost, kakovost, ugotovitve o pristranskosti, omejitve uporabe.

Model kartice: Namen, podatki za usposabljanje, merila uspešnosti, metrike, omejitve, pričakovani vzorci napak, kaj storiti/ne storiti.

Izvor in ponovljivost: Hashe, različice podatkov/modelov, preverjanja cevovodov.

8. preglednost, razložljivost in navodila za uporabnike

Označevanje za interakcijo z umetno inteligenco in vsebino, ki jo ustvarja umetna inteligenca.
Razložljivost: Uporabite razlage, prilagojene posameznim primerom in prijazne do laikov (lokalne/globalne).
Navodila za uporabo: Namen, glavni vplivni dejavniki, omejitve; povratne informacije in metode popravljanja.

9. človek v zanki in nadzorne naloge

Človeški nadzor kot standard za pomembne odločitve (zlasti za visoko tveganje).
Načelo štirih oči za uredniško/socialno občutljive naloge.
Funkcije prekrivanja/odpovedi; poti eskalacije; dokumentacija.

10. varnost, robustnost in red-teaming (hitra injekcija, jailbreaki)

Modeliranje groženj (STRIDE + specifična AI): Vbrizgavanje pozivov, zastrupljanje podatkov za usposabljanje, kraja modela, uhajanje zaščite podatkov.
Red teaming in nasprotni testi; preprečevanje bega iz zapora; omejevanje hitrosti; izhodno filtriranje; tajno skeniranje.
Zanesljivost: Pozivi za povratne ukrepe, varovalne ograje, načrti za povratek; izdaje kanarčkov; testi kaosa za varnost.

11. oskrbovalna veriga, človekove pravice in pošteno delo (sodobno suženjstvo, LkSG-analog)

skrbni pregled človekovih pravic: Analiza tveganja, kodeks ravnanja dobavitelja, pogodbene obveznosti, revizije, sanacijski ukrepi.
Sodobno suženjstvo: Letna prijava, ozaveščanje, kanali za poročanje.
Delovni standardi: Pravično plačilo, delovni čas, varovanje zdravja; zaščita žvižgačev.

12. obvladovanje pristranskosti, pravičnost in vključevanje (ranljive stranke, dostopnost)

Preverjanje pristranskosti: Analize nabora podatkov, uravnoteženje, različne testne skupine, metrike pravičnosti; dokumentirana ublažitev.
Ogrožene stranke: Cilji zaščite, alternativni kanali, jasen jezik; brez izkoriščanja kognitivnih slabosti.
Dostopnost: WCAG-skladnost; večjezičnost; vključujoč pristop.

13. generativna umetna inteligenca, dokazilo o izvoru in označevanje (C2PA, vodni znak)

Označevanje: Vidne oznake/metapodatki za vsebino umetne inteligence; namigi za interakcije.
Jamstva o poreklu: C2PA-kontekst, podpisi/vodni žigi, kolikor je to tehnično mogoče.
Avtorske pravice/zaščita storitev: Pojasnite licence; usposabljanje za skladnost podatkov; dokumentiranje verige pravic.

14. vsebina, moderiranje in postopki DSA (poročanje, pritožbe, preglednost)

Kanali za poročanje: Nizkopražno poročanje uporabnikov; prednostna obdelava nezakonite vsebine.
Postopki reševanja pritožb: Pregledna utemeljitev, ugovor, stopnjevanje.
Poročila o preglednosti: redna objava ustreznih ključnih podatkov in ukrepov.

15. uporaba za posamezno domeno (novice, podatki, zdravje, letalstvo, jahte, nepremičnine, plačevanje/trgovanje/zaupanje/kovine, avtomobili)

Novice/založništvo: Pomoč pri raziskavah, prevajanje, moderiranje; jasno označevanje generativnih vsebin.
SKANDALNI PODATKI: Varna infrastruktura AI/HPC, ločevanje odjemalcev, HSM/KMS, opazljivost, artefakti skladnosti.
Zdravje: Na dokazih temelječa uporaba, končna odločitev človeka, brez nepreverjenih diagnoz.
Letalstvo/jadrnice: Varnostni procesi, nadzor ljudi, postopki v sili.
Posestvo: Modeli vrednotenja s preverjanjem poštenosti; vključevanje ESG.
Plačilo/trgovanje/zaupnica/kovina: Preprečevanje goljufij, KYC/AML, nadzor trga, pojasnljive odločitve.
Avtomobili: Prilagojene storitve s strogim varstvom podatkov.

16. tretje osebe, javna naročila in upravljanje tveganj prodajalcev

Skrbni pregled pred vkrcanjem: raven varnosti/zaščite podatkov, lokacije podatkov, podobdelovalci, potrdila.
Pogodbe: Revizijske pravice, klavzule o preglednosti in odpravljanju napak, metrike SLA/OLA.
Spremljanje: Ključni kazalniki uspešnosti, izmenjava ugotovitev/incidentov, izhodni načrti.

17. delovanje, opazljivost, načrti za izredne razmere in ponovni zagon

Delovanje: Opazovanje (dnevniki, metrike, sledi), upravljanje SLO/SLI, načrtovanje zmogljivosti.
V nujnih primerih: Izvedbeni priročniki, testi DR, časi obnovitve, komunikacijski načrti.
Upravljanje konfiguracije/tajnosti: Najmanjši privilegij, rotacije, utrjevanje.

18. incidenti in pravna sredstva (etika, varstvo podatkov, varnost)

Etični incidenti: Nezaželena diskriminacija, dezinformacije, nejasen izvor - takojšnji ukrepi in pregled AIEB.
incidenti v zvezi z varstvom podatkov: Postopki poročanja DPO/nadzoru; obveščanje prizadetih strank; analiza temeljnih vzrokov.
Varnostni incidenti: Postopki CSIRT, forenzika, pridobljene izkušnje, preventivni ukrepi.

19. metrike, ključni kazalniki uspešnosti in zagotovila (notranja/zunanja)

Obvezni ključni kazalniki uspešnosti: 100 % pokritost AIIA s produktivnimi primeri uporabe umetne inteligence; 95 stopnja usposabljanja %; 0 odprtih kritičnih revizijskih ugotovitev.
Meritve pravičnosti: Različni vpliv, izenačene možnosti (uporabite za posamezen primer).
Trajnostni razvoj: Podatki o energiji/PUE/ogljiku podatkovnih centrov; učinkovitost modelov.

20. usposabljanje, ozaveščanje in kulturne spremembe

Obvezno usposabljanje (letno): Etika umetne inteligence, varstvo podatkov, varnost, medijska etika; moduli, prilagojeni ciljnim skupinam.
Kampanje za ozaveščanje: Vodiči, sestanki v rjavem vrečku, posvetovalne ure; interne skupnosti za prakso.
Kultura: Vodenje kot vzor, kultura napak, nagrajevanje odgovornega vedenja.

21. izvajanje in načrt (0-6 / 6-12 / 12-24 mesecev)

0-6 mesecev: popis primerov uporabe umetne inteligence; postopek AIIA; minimalni nadzor; val usposabljanja; pregled dobaviteljev.
6-12 mesecev: Uvedba red teaminga; prva poročila o preglednosti; energetski program; dokončanje RACI.
12-24 mesecev: uskladitev z ISO/IEC-42001; omejeno zagotavljanje; stalno izboljševanje; priprava CSRD/ESRS (po potrebi).

22. rolice in matrika RACI

Lastnik primera uporabe (A): Namen, koristi, KPI, proračun, ponovne ocene.
Lastnik modela (R): Podatki/učenje/ocenjevanje, kartica modela, spremljanje zdrsa.
DPO (pooblaščena oseba za varstvo podatkov): Pravna podlaga, DPIA, pravice posameznikov, na katere se nanašajo osebni podatki.
vodja varnosti (C): Modeliranje groženj, oblikovanje rdečih skupin, TOM.
Odgovorni urednik (C): Medijska etika, označevanje, register popravkov.
Lastnik storitve (R): Delovanje, SLO, upravljanje incidentov.
Vodja javnih naročil (R/C): Tretje osebe, pogodbe, načrti za izstop.

23. kontrolni seznami (kratek seznam AIIA, sprostitev podatkov, prehod na novo delovanje)

Hitro preverjanje AIIA: Namen? Pravna podlaga? Prizadete stranke? Tveganja (pravna/etična/varnostna/objektivna/okoljska)? Zmanjševanje? Kontrole HIL?
Objava podatkov: Vir je zakonit? Minimalizacija? Hramba? Dostop? Tretja država?
Go-Live-Gate: Ali so artefakti popolni (podatkovne/modelne kartice, dnevniki)? So rezultati rdeče skupine obravnavani? Vzpostavljeno spremljanje/DR?

24. obrazci in predloge (vzorčna kartica, podatkovna kartica, poročilo o incidentu)

Model-Card-Template: Namen, podatki, usposabljanje, merila uspešnosti, omejitve, tveganja, odgovorne osebe, kontakt.
Predloga podatkovne kartice: Izvor, licenca, kakovost, reprezentativnost, preverjanje pristranskosti, omejitve uporabe.
Predloga poročila o incidentu: Incident, učinki, prizadete osebe, takojšnji ukrepi, temeljni vzrok, sanacija, pridobljene izkušnje.

25 Glosar in reference

Glosar: sistem umetne inteligence, generativna umetna inteligenca, sistem z visokim tveganjem, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Reference:

Akt EU o umetni inteligenci
GDPR
DSA
Načela umetne inteligence OECD
NIST AI RMF
ISO/IEC 42001
Notranje smernice (varstvo podatkov, postopki DSA, sodobno suženjstvo, trajnost)

Opomba: Ta kodeks umetne inteligence dopolnjuje obstoječe smernice LEGIER, kot so med drugim: (varstvo podatkov, digitalne storitve, človekove pravice/dobavna veriga, korporativno upravljanje, trajnost, sodobno suženjstvo). Je sestavni del okvira skladnosti skupine LEGIER (LEGIER Beteiligungs mbH).