Кодекс етики ШІ LEGIER та групи „SANDIC by LEGIER“

Зміст

Зауважте: Якщо автоматична директорія виглядає порожньою, клацніть правою кнопкою миші у Word → „Оновити поле“.

1. преамбула та сфера застосування

Цей Кодекс встановлює обов'язкові принципи, процеси та засоби контролю для розробки, закупівлі, експлуатації та використання ШІ в Групі LEGIER. Він застосовується в усій Групі до працівників, керівників, виконавців контрактів, постачальників і партнерів. Він об'єднує існуючі керівні принципи Групи (захист даних, процеси надання цифрових послуг, корпоративне управління, сталий розвиток, політика в галузі прав людини, заява про сучасне рабство) і розширює їх, включаючи вимоги, що стосуються штучного інтелекту. Мета полягає в тому, щоб забезпечити переваги та інновації, зробити ризики керованими та захистити права користувачів, клієнтів і широкої громадськості. 2. основні цінності та керівні принципи

Людська гідність та основоположні права стоять вище за економічну ефективність. ШІ служить людям, а не навпаки.
Юридична відповідність: Дотримання вимог Закон ЄС про штучний інтелект, GDPR, DSA та галузевих стандартів. Відсутність використання заборонених практик.
Відповідальність та підзвітність: Для кожної системи ШІ призначається відповідальний власник; рішення можна відстежити та оскаржити.
Пропорційність: Баланс мети, ризику, інтенсивності втручання та соціального впливу.
Прозорість та зрозумілість: Адекватна інформація, документація та канали зв'язку щодо функціональності, ситуацій з даними та обмежень.
Справедливість та інклюзивність: Систематичне тестування на упередженість, захист вразливих груп, доступність та багатомовність.
Безпека та стійкість: 1TP63Безпека за задумом, глибокий захист, безперервне загартування та моніторинг.
Стійкість: Ефективність моделей і центрів обробки даних (енергія, PUE/CFE), перегляд життєвого циклу даних/моделей.

3. управління та відповідальність (Рада з етики АІ, RACI)

Рада з етики AI (AIEB): Міждисциплінарний (технологічний, юридичний/комплаєнс, захист даних, безпека, редакція/продукт, люди). Завдання: Оновлення політик, видача дозволів (особливо високого ризику), вирішення конфліктів, моніторинг звітів. Ролі: Власник варіанту використання, власник моделі, Data Steward, DPO, Sec Security Lead, відповідальний редактор, власник сервісу, керівник закупівель. Комітети та шлюзи: Затвердження AIIA перед запуском в експлуатацію; консультативна рада з питань суттєвих змін; щорічні управлінські огляди. Принцип RACI: Чіткий розподіл відповідальності за кожен вид діяльності (відповідальний, підзвітний, консультований, поінформований).

4. правова база та стандартизація (Закон ЄС про штучний інтелект, GDPR, DSA, авторське право, торгове право)

EU-AI-Act: Ризик-орієнтована система із заборонами, зобов'язаннями щодо систем високого ризику, документації, реєстрації, управління, зобов'язаннями щодо прозорості; поетапне застосування з 2025/2026 років.
GDPR: Правові основи (ст. 6/9), права суб'єктів даних, конфіденційність за задумом/за замовчуванням, оцінка впливу на захист даних (DPIA), передача даних до третіх країн (ст. 44 і далі).
DSA: Платформні процеси для повідомлень, скарг, звітів про прозорість, оцінки ризиків великих платформ.
Авторське право та суміжні права / особисті права: Чіткі ліцензійні ланцюжки, права на зображення/назви, доміцилійні права третіх сторін.
Галузеві вимоги (наприклад, авіаційне/морське право/Health) також повинні бути дотримані.

5. класифікація ризиків та оцінка впливу штучного інтелекту (AIIA)

Класифікація:

Заборонені практики (не допускаються)
Системи з високим ризиком (суворі зобов'язання)
Обмежений ризик (прозорість)
Мінімізація ризиків

Процедура AIIA: Опис Мета/обсяг, зацікавлені сторони, правова основа, джерела даних; аналіз ризиків (юридичних, етичних, безпеки, упередженості, впливу на навколишнє середовище); план пом'якшення наслідків; рішення (схвалення АІЕБ). Переоцінки: Для суттєвих змін - щорічно для високого ризику; документація в центральному реєстрі.

6. етика даних та захист даних (правова основа, DPIA, файли cookie, треті країни)

Мінімізація даних та обмеження цілей; Бажана псевдонімізація/анонімізація.
Прозорість: Інформація про захист даних, канали інформування та видалення; портативність; можливості заперечення.
Файли cookie/відстеження: Управління згодою; відкликання; анонімізація ІВ; тільки схвалені інструменти.
Перекази з третіх країн: Тільки з відповідними гарантіями (SCC/адекватність); регулярне тестування субпроцесорів.
DPIA: Обов'язково для обробки високого ризику; документуйте технічні/організаційні заходи (ТЗМ).

7. життєвий цикл моделі та даних (ML-життєвий цикл, картки Data, модельні картки)

Життєвий цикл Data: Придбання → Курація → Етикетування → Ворота якості → Редагування версій → Збереження/Видалення. Життєвий цикл моделі: Визначення проблеми → Вибір архітектури → Навчання/доопрацювання → Оцінка (офлайн/онлайн) → Випуск → Експлуатація → Моніторинг → Перепідготовка/виведення на пенсію. Карти Data: Походження, репрезентативність, якість, упередженість висновків, обмеження на використання. Зразки для наслідування: Мета, навчальні дані, еталони, метрики, обмеження, очікувані типи помилок, що робити/не робити. Походження та відтворюваність: Хеші, версії даних/моделей, перевірки конвеєрів.

8. прозорість, зрозумілість та інструкції для користувачів

Маркування для взаємодії зі штучним інтелектом і контенту, створеного штучним інтелектом.
Пояснюваність: Використовуйте пояснення, адаптовані до конкретного випадку, зрозумілі для нефахівців (локальні/глобальні).
Інструкція для користувача: Мета, основні фактори впливу, обмеження; методи зворотного зв'язку та корекції.

9. людина в циклі та наглядові обов'язки

Людський нагляд як стандарт для відповідних рішень (особливо високого ризику).
Принцип "чотирьох очей" для редакційно/соціально чутливих завдань.
Функції перевизначення/скасування; шляхи ескалації; документація.

10. безпека, надійність та red-teaming (швидка ін'єкція, джейлбрейки)

Моделювання загроз (STRIDE + специфічне для ШІ): Оперативна ін'єкція, отруєння навчальних даних, крадіжка моделей, витік захисту даних.
Red teaming & adversary tests; запобігання джейлбрейку; обмеження швидкості; вихідна фільтрація; сканування протектора 1TP63.
Міцність: Підказки, запобіжники, плани відкату; випуски канарок; тести хаосу на безпеку.

11. ланцюг постачання, права людини та справедлива праця (Сучасне рабство, аналог LkSG)

Комплексна перевірка дотримання прав людини: Аналіз ризиків, кодекс поведінки постачальника, договірні зобов'язання, аудит, коригувальні дії.
Сучасне рабство: Щорічна декларація, інформування, канали звітності.
Трудові стандарти: Справедлива оплата праці, робочий час, охорона здоров'я; захист викривачів.

12. управління упередженнями, справедливість та інклюзія (вразливі клієнти, доступність)

Перевірка на упередженість: Аналіз наборів даних, балансування, різні тестові групи, метрики справедливості; задокументоване пом'якшення наслідків.
Клієнти в зоні ризику: Цілі захисту, альтернативні канали, зрозуміла мова, відсутність експлуатації когнітивних слабкостей.
Доступність: WCAG-Відповідність; багатомовність; інклюзивний підхід.

13. генеративний ШІ, доказ походження та маркування (C2PA, водяний знак)

Маркування: Видимі мітки/метадані для контенту зі штучним інтелектом; підказки для взаємодії.
Гарантії походження: C2PA-контекст, підписи/водяні знаки, наскільки це технічно можливо.
Авторські права/захист послуг: Уточнення ліцензій; відповідність навчальних даних; документування ланцюжка прав.

14. процеси контенту, модерації та DSA (звітність, скарги, прозорість)

Канали зв'язку: Низькопорогове звітування про користувачів; пріоритетна обробка незаконного контенту.
Процес розгляду скарг: Прозоре обґрунтування, заперечення, ескалація.
Звіти про прозорість: Періодична публікація відповідних ключових показників та заходів.

15. використання для конкретного домену (News, Data, Health, Aviation, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)

Новини/видання: Дослідницька допомога, переклад, модерація; чітке маркування генеративного контенту.
SCANDIC DATA: Безпечна інфраструктура AI/HPC, розділення клієнтів, HSM/KMS, спостережливість, артефакти комплаєнсу.
Health: Використання на основі доказів, остаточне рішення приймає людина, немає неперевірених діагнозів.
Авіація/Yachts: Процеси безпеки, людський нагляд, аварійні процедури.
Estate: Моделі оцінки з перевіркою на справедливість; інтеграція ESG.
Pay/Trade/Trust/Coin: Запобігання шахрайству, KYC/AML, нагляд за ринком, зрозумілі рішення.
Cars: Персоналізовані послуги з суворим захистом даних.

16. управління ризиками третіх осіб, закупівель та постачальників

Належна перевірка перед вступом на роботу: Рівень безпеки/захисту даних, розташування даних, підпроцесори, сертифікати.
Контракти: Права на аудит, прозорість та положення про виправлення помилок, метрики SLA/OLA.
Моніторинг: Ключові показники ефективності, обмін висновками/інцидентами, плани виходу.

17. Плани експлуатації, спостереження, аварійних ситуацій та перезапуску

Операція: Спостережуваність (журнали, метрики, траси), управління SLO/SLI, планування потужностей.
Надзвичайна ситуація: Бігові книги, тести на аварійне відновлення, час відновлення, плани зв'язку.
Управління конфігурацією/секретами: Найменший привілей, ротації, загартування.

18. інциденти та засоби захисту (етика, захист даних, безпека)

Етичні інциденти: Небажана дискримінація, дезінформація, незрозуміле походження - негайні заходи та огляд AIEB.
Інциденти, пов'язані із захистом даних: Процеси звітування перед DPO/наглядом; інформація для постраждалих сторін; аналіз першопричин.
Інциденти з безпекою: Процедури CSIRT, судова експертиза, отримані уроки, профілактичні заходи.

19. метрики, KPI та підтвердження (внутрішнє/зовнішнє)

Обов'язкові KPI: 100 % Охоплення продуктивних кейсів використання AIIA; 95 % рівень навчання; 0 відкритих критичних результатів аудиту.
Метрики справедливості: Неоднаковий вплив, зрівняні шанси (залежно від конкретного випадку).
Стійкість: Показники енергоспоживання/використання енергії/викидів вуглецю в центрах обробки даних; ефективність моделей.

20. навчання, підвищення обізнаності та культурні зміни

Обов'язкове навчання (щорічне): Етика ШІ, захист даних, безпека, медіа-етика; модулі, орієнтовані на цільові групи.
Інформаційні кампанії: Путівники, сесії "коричневих мішків", години консультацій; внутрішні спільноти практиків.
Культура: Лідерство як зразок для наслідування, культура помилок, винагорода за відповідальну поведінку.

21. імплементація та дорожня карта (0-6 / 6-12 / 12-24 місяці)

0-6 місяців: Інвентаризація кейсів використання ШІ; процес AIIA; мінімальний контроль; навчальна хвиля; перевірка постачальників.
6-12 місяців: Впровадження червоної команди; перші звіти про прозорість; енергетична програма; завершення RACI.
12-24 місяці: Узгодження з ISO/IEC-42001; обмежена впевненість; постійне вдосконалення; підготовка CSRD/ESRS (якщо застосовно).

22. рулони та матриця RACI

Власник варіанту використання (A): Мета, переваги, KPI, бюджет, переоцінки.
Модель-власник (R): Дані/Навчання/Оцінка, Модельна карта, Моніторинг дрейфу.
DPO (C/A для захисту даних): Правова основа, DPIA, права суб'єктів даних.
1TP63Свинець чистоти (C): Моделювання загроз, червоні команди, TOMs.
Відповідальний редактор (С): Медіа-етика, маркування, реєстр виправлень.
Власник сервісу (R): Операції, SLO, управління інцидентами.
Керівник відділу закупівель (R/C): Треті особи, контракти, плани виходу.

23. контрольні списки (короткий AIIA, оприлюднення даних, запуск в експлуатацію)

Швидка перевірка: Мета? Правова основа? Зацікавлені сторони? Ризики (правові / етичні / безпека / упередженість / навколишнє середовище)? Пом'якшення? Контроль HIL?
Видача даних: Джерело законне? Мінімізація? Збереження? Доступ? Третя країна?
Go-Live-Gate: Артефакти завершені (Data/модельні карти, журнали)? Результати Червоної команди розглянуті? Моніторинг/ОБП налагоджено?

24. форми та шаблони (Типова картка, Картка Data, Звіт про інцидент)

Модель-Картка-Шаблон: Мета, дані, навчання, контрольні показники, обмеження, ризики, відповідальні особи, контакт.
Data-Card-Template: Походження, ліцензія, якість, репрезентативність, перевірка на упередженість, обмеження на використання.
Шаблон звіту про інцидент: Інцидент, наслідки, постраждалі особи, негайні заходи, першопричина, усунення, отримані уроки.

25 Глосарій та посилання

Глосарій: Система ШІ, генеративний ШІ, система високого ризику, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI. Посилання:

Закон ЄС про штучний інтелект
GDPR
DSA
Принципи штучного інтелекту ОЕСР
NIST AI RMF
ISO/IEC 42001
Внутрішні настанови (захист даних, процеси DSA, сучасне рабство, сталий розвиток)

Зауважте: Цей Кодекс AI доповнює існуючі керівні принципи LEGIER, такі як, серед іншого: (Захист даних, Цифрові послуги, Права людини/Ланцюжок поставок, Корпоративне управління, Сталий розвиток, Сучасне рабство). Він є невід'ємною частиною системи комплаєнсу Групи LEGIER (LEGIER Beteiligungs mbH).