Bộ quy tắc đạo đức AI của Tập đoàn LEGIER và “SANDIC by LEGIER”
Mục lục
Một thông báo: Nếu thư mục tự động trống, vui lòng nhấp chuột phải vào Word → “Cập nhật trường”.
- 1. Lời nói đầu & Phạm vi
- 2. Giá trị cốt lõi & nguyên tắc chỉ đạo
- 3. Quản trị & Trách nhiệm (Hội đồng Đạo đức AI, RACI)
- 4. Khung pháp lý và quy định (Đạo luật AI của EU, GDPR, DSA, luật bản quyền, luật thương mại)
- 5. Phân loại rủi ro và đánh giá tác động AI (AIIA)
- 6. Đạo đức dữ liệu và bảo vệ dữ liệu (cơ sở pháp lý, DPIA, cookie, quốc gia thứ ba)
- 7. Vòng đời mô hình và dữ liệu (Vòng đời ML, Thẻ dữ liệu, Thẻ mô hình)
- 8. Tính minh bạch, khả năng giải thích và hướng dẫn sử dụng
- 9. Nhiệm vụ giám sát và quản lý con người
- 10. Bảo mật, Độ mạnh mẽ & Red Teaming (Tiêm mã độc nhanh, Bẻ khóa)
- 11. Chuỗi cung ứng, nhân quyền và lao động công bằng (Nô lệ hiện đại, LkSG-tương tự)
- 12. Quản lý sự thiên vị, công bằng và hòa nhập (khách hàng dễ bị tổn thương, khả năng tiếp cận)
- 13. Trí tuệ nhân tạo, bằng chứng về nguồn gốc và dán nhãn (C2PA, đóng dấu bản quyền)
- 14. Quy trình nội dung, kiểm duyệt và DSA (báo cáo, khiếu nại, minh bạch)
- 15. Sử dụng theo lĩnh vực cụ thể (Tin tức, Dữ liệu, Y tế, Hàng không, Du thuyền, Bất động sản, Thanh toán/Giao dịch/Ủy thác/Tiền xu, Ô tô)
- 16. Quản lý rủi ro bên thứ ba, mua sắm và nhà cung cấp
- 17. Kế hoạch vận hành, khả năng quan sát, khẩn cấp và phục hồi
- 18. Sự cố & Khắc phục (Đạo đức, Bảo vệ dữ liệu, Bảo mật)
- 19. Số liệu, KPI và Đảm bảo (nội bộ/bên ngoài)
- 20. Đào tạo, Nhận thức & Thay đổi Văn hóa
- 21. Triển khai & Lộ trình (0–6 / 6–12 / 12–24 tháng)
- 22. Ma trận Vai trò & RACI
- 23. Danh sách kiểm tra (Tóm tắt AIIA, Phát hành dữ liệu, Cổng Go-Live)
- 24. Biểu mẫu & Mẫu (Thẻ mẫu, Thẻ dữ liệu, Báo cáo sự cố)
- 25. Thuật ngữ & Tài liệu tham khảo
1. Lời nói đầu & Phạm vi
Bộ Quy tắc này đặt ra các nguyên tắc, quy trình và biện pháp kiểm soát ràng buộc đối với việc phát triển, mua sắm, vận hành và sử dụng AI trong Tập đoàn LEGIER. Bộ Quy tắc này áp dụng cho toàn bộ nhân viên, quản lý, bộ xử lý, nhà cung cấp và đối tác.
Nó tích hợp các chính sách hiện có của công ty (bảo vệ dữ liệu, quy trình dịch vụ số, quản trị công ty, tính bền vững, chính sách nhân quyền, tuyên bố về chế độ nô lệ hiện đại) và mở rộng chúng để bao gồm các yêu cầu cụ thể về AI.
Mục tiêu là tạo ra lợi ích và sự đổi mới, quản lý rủi ro và bảo vệ quyền lợi của người dùng, khách hàng và công chúng nói chung.
2. Giá trị cốt lõi & nguyên tắc chỉ đạo
- Nhân phẩm và các quyền cơ bản của con người được ưu tiên hơn hiệu quả kinh tế. AI phục vụ con người – chứ không phải ngược lại.
- Tuân thủ pháp luật: Tuân thủ Đạo luật AI của EU, GDPR, DSA và các tiêu chuẩn cụ thể của từng ngành. Không sử dụng các hành vi bị cấm.
- Trách nhiệm & Giải trình: Mỗi hệ thống AI sẽ được chỉ định một chủ sở hữu có trách nhiệm; các quyết định đều minh bạch và có thể tranh chấp.
- Tính tương xứng: Sự cân bằng giữa mục đích, rủi ro, cường độ can thiệp và tác động xã hội.
- Tính minh bạch và khả năng giải thích: Thông tin, tài liệu và kênh truyền thông phù hợp liên quan đến chức năng, tính khả dụng của dữ liệu và các hạn chế.
- Công bằng và hòa nhập: Kiểm tra định kiến có hệ thống, bảo vệ các nhóm dễ bị tổn thương, khả năng tiếp cận và đa ngôn ngữ.
- An ninh và khả năng phục hồi: Bảo mật theo thiết kế, phòng thủ sâu, tăng cường bảo mật và giám sát liên tục.
- Tính bền vững: Hiệu quả của các mô hình và trung tâm dữ liệu (năng lượng, PUE/CFE), chế độ xem vòng đời của dữ liệu/mô hình.
3. Quản trị & Trách nhiệm (Hội đồng Đạo đức AI, RACI)
Hội đồng đạo đức AI (AIEB): Liên ngành (Công nghệ, Pháp lý/Tuân thủ, Bảo vệ dữ liệu, Bảo mật, Biên tập/Sản phẩm, Nhân sự). Trách nhiệm: Cập nhật chính sách, cấp phê duyệt (đặc biệt là các phê duyệt có rủi ro cao), giải quyết xung đột và theo dõi báo cáo.
Cuộn: Chủ sở hữu trường hợp sử dụng, chủ sở hữu mô hình, người quản lý dữ liệu, DPO, người đứng đầu về bảo mật, biên tập viên chịu trách nhiệm, chủ sở hữu dịch vụ, người đứng đầu về mua sắm.
Ủy ban & Cổng thông tin: Sự chấp thuận của AIIA trước khi đưa vào hoạt động; Ban cố vấn thay đổi các thay đổi quan trọng; đánh giá quản lý hàng năm.
Nguyên tắc RACI: Phân công trách nhiệm rõ ràng cho từng hoạt động (Chịu trách nhiệm, Giải trình, Tham vấn, Thông báo).
4. Khung pháp lý và quy định (Đạo luật AI của EU, GDPR, DSA, luật bản quyền, luật thương mại)
- Đạo luật AI của EU: Khung dựa trên rủi ro với các lệnh cấm, nghĩa vụ đối với các hệ thống có rủi ro cao, yêu cầu về tài liệu, ghi nhật ký, quản trị và minh bạch; áp dụng theo từng giai đoạn từ năm 2025/2026.
- GDPR: Cơ sở pháp lý (Điều 6/9), quyền của chủ thể dữ liệu, quyền riêng tư theo thiết kế/mặc định, đánh giá tác động bảo vệ dữ liệu (DPIA), chuyển giao cho quốc gia thứ ba (Điều 44 trở đi).
- DSA: Quy trình nền tảng để báo cáo, khiếu nại, báo cáo minh bạch và đánh giá rủi ro cho các nền tảng lớn.
- Bản quyền & bản quyền phụ trợ / quyền cá nhân: Chuỗi giấy phép rõ ràng, quyền về hình ảnh/tên, quyền sở hữu nhà của bên thứ ba.
- Yêu cầu cụ thể của ngành (ví dụ: luật hàng không/hàng hải/y tế) cũng phải được tuân thủ.
5. Phân loại rủi ro và đánh giá tác động AI (AIIA)
Phân loại:
- Các hành vi bị cấm (không được phép)
- Hệ thống rủi ro cao (nghĩa vụ nghiêm ngặt)
- Rủi ro hạn chế (minh bạch)
- Rủi ro tối thiểu
Quy trình AIIA: Mô tả mục đích/phạm vi, các bên liên quan, cơ sở pháp lý, nguồn dữ liệu; phân tích rủi ro (pháp lý, đạo đức, an toàn, thiên vị, tác động môi trường); kế hoạch giảm thiểu; quyết định (phê duyệt của AIEB).
Đánh giá lại: Đối với những thay đổi về vật liệu, hàng năm đối với các mặt hàng có nguy cơ cao; ghi chép vào sổ đăng ký trung tâm.
6. Đạo đức dữ liệu và bảo vệ dữ liệu (cơ sở pháp lý, DPIA, cookie, quốc gia thứ ba)
- Giảm thiểu dữ liệu và hạn chế mục đích; Ưu tiên sử dụng bút danh/ẩn danh.
- Tính minh bạch: Thông tin bảo vệ dữ liệu, kênh thông tin và xóa; khả năng di chuyển; các tùy chọn phản đối.
- Cookie/Theo dõi: Quản lý sự đồng ý; thu hồi; ẩn danh IP; chỉ những công cụ được chấp thuận.
- Chuyển tiền sang nước thứ ba: Chỉ với những đảm bảo phù hợp (SCC/tính đầy đủ); kiểm toán thường xuyên các đơn vị xử lý phụ.
- DPIA: Bắt buộc đối với quá trình xử lý có rủi ro cao; ghi lại các biện pháp kỹ thuật/tổ chức (TOM).
7. Vòng đời mô hình và dữ liệu (Vòng đời ML, Thẻ dữ liệu, Thẻ mô hình)
Vòng đời dữ liệu: Thu thập → Quản lý → Dán nhãn → Cổng chất lượng → Quản lý phiên bản → Lưu giữ/Xóa.
Vòng đời mô hình: Định nghĩa vấn đề → Lựa chọn kiến trúc → Đào tạo/Tinh chỉnh → Đánh giá (Ngoại tuyến/Trực tuyến) → Phát hành → Vận hành → Giám sát → Đào tạo lại/Ngừng sử dụng.
Thẻ dữ liệu: Nguồn gốc, tính đại diện, chất lượng, phát hiện sai lệch, hạn chế sử dụng.
Thẻ mẫu: Mục đích, dữ liệu đào tạo, điểm chuẩn, số liệu, hạn chế, mô hình lỗi dự kiến, những điều nên làm/không nên làm.
Nguồn gốc và khả năng tái tạo: Băm, phiên bản dữ liệu/mô hình, bằng chứng đường ống.
8. Tính minh bạch, khả năng giải thích và hướng dẫn sử dụng
- Gắn nhãn cho tương tác AI và nội dung do AI tạo ra.
- Khả năng giải thích: Sử dụng lời giải thích phù hợp với từng trường hợp và dễ hiểu (cục bộ/toàn cầu).
- Hướng dẫn sử dụng: Mục đích, các yếu tố ảnh hưởng chính, hạn chế; kênh phản hồi và chỉnh sửa.
9. Nhiệm vụ giám sát và quản lý con người
- Sự giám sát của con người là tiêu chuẩn cho các quyết định có liên quan (đặc biệt là các quyết định có rủi ro cao).
- Nguyên tắc bốn mắt cho các nhiệm vụ nhạy cảm về mặt xã hội/biên tập.
- Ghi đè/hủy chức năng; đường dẫn leo thang; tài liệu.
10. Bảo mật, Độ mạnh mẽ & Red Teaming (Tiêm mã độc nhanh, Bẻ khóa)
- Mô hình hóa mối đe dọa (STRIDE + AI cụ thể): Tiêm mã độc ngay lập tức, đầu độc dữ liệu đào tạo, đánh cắp mô hình, rò rỉ quyền riêng tư.
- Kiểm tra nhóm đỏ và đối đầu; ngăn chặn bẻ khóa; giới hạn tỷ lệ; bộ lọc đầu ra; Quét bí mật.
- Độ bền: Lời nhắc dự phòng, biện pháp bảo vệ, kế hoạch khôi phục; bản phát hành canary; thử nghiệm hỗn loạn để đảm bảo an toàn.
11. Chuỗi cung ứng, nhân quyền và lao động công bằng (Nô lệ hiện đại, LkSG-tương tự)
- Thẩm định về nhân quyền: Phân tích rủi ro, quy tắc nhà cung cấp, cam kết hợp đồng, kiểm toán, khắc phục.
- Nô lệ hiện đại: Tuyên bố hàng năm, nâng cao nhận thức, kênh báo cáo.
- Tiêu chuẩn làm việc: Lương công bằng, giờ làm việc, bảo vệ sức khỏe; bảo vệ người tố giác.
12. Quản lý sự thiên vị, công bằng và hòa nhập (khách hàng dễ bị tổn thương, khả năng tiếp cận)
- Kiểm tra độ lệch: Phân tích tập dữ liệu, cân bằng, nhiều nhóm thử nghiệm khác nhau, số liệu công bằng; ghi chép lại biện pháp giảm thiểu.
- Khách hàng dễ bị tổn thương: Mục tiêu bảo vệ, kênh thay thế, ngôn ngữ rõ ràng; không lợi dụng điểm yếu về nhận thức.
- Khả năng tiếp cận: WCAG- Sự tuân thủ; đa ngôn ngữ; giao tiếp hòa nhập.
13. Trí tuệ nhân tạo, bằng chứng về nguồn gốc và dán nhãn (C2PA, đóng dấu bản quyền)
- Nhãn: Nhãn/siêu dữ liệu hiển thị cho nội dung AI; thông báo trong quá trình tương tác.
- Bằng chứng về nguồn gốc: C2PA-Bối cảnh, chữ ký/hình mờ nếu có thể về mặt kỹ thuật.
- Bản quyền/quyền liên quan: Làm rõ giấy phép; tuân thủ dữ liệu đào tạo; chuỗi tài liệu về quyền.
14. Quy trình nội dung, kiểm duyệt và DSA (báo cáo, khiếu nại, minh bạch)
- Kênh báo cáo: Báo cáo người dùng ở ngưỡng thấp; ưu tiên xử lý nội dung bất hợp pháp.
- Quy trình khiếu nại: Lý giải rõ ràng, phản đối, leo thang.
- Báo cáo minh bạch: Xuất bản định kỳ các số liệu và biện pháp quan trọng có liên quan.
15. Sử dụng theo lĩnh vực cụ thể (Tin tức, Dữ liệu, Y tế, Hàng không, Du thuyền, Bất động sản, Thanh toán/Giao dịch/Ủy thác/Tiền xu, Ô tô)
- Tin tức/Xuất bản: Hỗ trợ nghiên cứu, biên dịch, kiểm duyệt; ghi nhãn rõ ràng nội dung sáng tạo.
- DỮ LIỆU SCANDIC: Cơ sở hạ tầng AI/HPC an toàn, đa thuê bao, HSM/KMS, khả năng quan sát, hiện vật tuân thủ.
- Sức khỏe: Sử dụng dựa trên bằng chứng, quyết định cuối cùng của con người, không có chẩn đoán chưa được kiểm chứng.
- Hàng không/Du thuyền: Quy trình an toàn, giám sát của con người, quy trình khẩn cấp.
- Tài sản: Mô hình định giá có kiểm tra tính công bằng; tích hợp ESG.
- Thanh toán/Giao dịch/Ủy thác/Tiền xu: Phòng chống gian lận, KYC/AML, giám sát thị trường, các quyết định có thể giải thích được.
- Xe ô tô: Dịch vụ cá nhân hóa với chế độ bảo vệ dữ liệu nghiêm ngặt.
16. Quản lý rủi ro bên thứ ba, mua sắm và nhà cung cấp
- Thẩm định trước khi tuyển dụng: Mức độ bảo mật/riêng tư, vị trí dữ liệu, bộ xử lý phụ, chứng chỉ.
- Hợp đồng: Quyền kiểm toán, các điều khoản minh bạch và khắc phục, số liệu SLA/OLA.
- Giám sát: KPI hiệu suất, trao đổi phát hiện/sự cố, kế hoạch thoát hiểm.
17. Kế hoạch vận hành, khả năng quan sát, khẩn cấp và phục hồi
- Hoạt động: Khả năng quan sát (nhật ký, số liệu, dấu vết), quản lý SLO/SLI, lập kế hoạch năng lực.
- Khẩn cấp: Sổ tay hướng dẫn, thử nghiệm DR, thời gian phục hồi, kế hoạch giao tiếp.
- Quản lý cấu hình/bí mật: Quyền lợi tối thiểu, luân chuyển, cứng rắn.
18. Sự cố & Khắc phục (Đạo đức, Bảo vệ dữ liệu, Bảo mật)
- Sự cố đạo đức: Phân biệt đối xử không mong muốn, thông tin sai lệch, nguồn gốc không rõ ràng – biện pháp ngay lập tức và đánh giá của AIEB.
- Sự cố bảo vệ dữ liệu: Quy trình báo cáo cho DPO/cơ quan giám sát; thông tin cho những người bị ảnh hưởng; phân tích nguyên nhân gốc rễ.
- Sự cố bảo mật: Quy trình CSIRT, giám định pháp y, bài học kinh nghiệm, biện pháp phòng ngừa.
19. Số liệu, KPI và Đảm bảo (nội bộ/bên ngoài)
- KPI bắt buộc: Phạm vi bao phủ 100% AIIA của các trường hợp sử dụng AI hiệu quả; Thời gian giải quyết khiếu nại trung bình <14 ngày; Tỷ lệ đào tạo >95%; 0 phát hiện kiểm toán quan trọng đang mở.
- Chỉ số công bằng: Tác động không đồng đều, tỷ lệ cân bằng (trường hợp sử dụng cụ thể).
- Tính bền vững: Số liệu năng lượng/PUE/carbon của trung tâm dữ liệu; hiệu quả của mô hình.
20. Đào tạo, Nhận thức & Thay đổi Văn hóa
- Đào tạo bắt buộc (hàng năm): Đạo đức AI, bảo vệ dữ liệu, bảo mật, đạo đức truyền thông; các mô-đun dành riêng cho nhóm mục tiêu.
- Các chiến dịch nâng cao nhận thức: Hướng dẫn, các buổi họp, giờ tư vấn; cộng đồng thực hành nội bộ.
- Văn hoá: Vai trò lãnh đạo mẫu mực, văn hóa phòng ngừa sai sót, khen thưởng cho hành động có trách nhiệm.
21. Triển khai & Lộ trình (0–6 / 6–12 / 12–24 tháng)
- 0–6 tháng: Kiểm kê các trường hợp sử dụng AI; quy trình AIIA; các biện pháp kiểm soát tối thiểu; đợt đào tạo; sàng lọc nhà cung cấp.
- 6–12 tháng: Triển khai nhóm đỏ; báo cáo minh bạch ban đầu; chương trình năng lượng; hoàn thiện RACI.
- 12–24 tháng: Sự phù hợp với ISO/IEC 42001; đảm bảo có giới hạn; cải tiến liên tục; chuẩn bị CSRD/ESRS (nếu có).
22. Ma trận Vai trò & RACI
- Chủ sở hữu trường hợp sử dụng (A): Mục đích, lợi ích, KPI, ngân sách, đánh giá lại.
- Chủ sở hữu mô hình (R): Dữ liệu/Đào tạo/Đánh giá, Thẻ mô hình, Giám sát trôi dạt.
- DPO (C/A về bảo vệ dữ liệu): Cơ sở pháp lý, DPIA, quyền của chủ thể dữ liệu.
- Trưởng nhóm an ninh (C): Mô hình hóa mối đe dọa, nhóm đỏ, TOM.
- Biên tập viên chịu trách nhiệm (C): Đạo đức truyền thông, ghi nhãn, sổ đăng ký chỉnh sửa.
- Chủ sở hữu dịch vụ (R): Vận hành, SLO, quản lý sự cố.
- Trưởng nhóm mua sắm (R/C): Bên thứ ba, hợp đồng, kế hoạch thoát hiểm.
23. Danh sách kiểm tra (Tóm tắt AIIA, Phát hành dữ liệu, Cổng Go-Live)
- Kiểm tra nhanh AIIA: Mục đích? Cơ sở pháp lý? Những người bị ảnh hưởng? Rủi ro (pháp lý/đạo đức/an ninh/thiên vị/môi trường)? Biện pháp giảm thiểu? Kiểm soát HIL?
- Phát hành dữ liệu: Nguồn có hợp pháp không? Giảm thiểu? Lưu giữ? Truy cập? Quốc gia thứ ba?
- Cổng Go-Live: Các hiện vật đã hoàn chỉnh (thẻ dữ liệu/mô hình, nhật ký) chưa? Các phát hiện của Đội Đỏ đã được giải quyết chưa? Giám sát/Khắc phục sự cố đã được thiết lập chưa?
24. Biểu mẫu & Mẫu (Thẻ mẫu, Thẻ dữ liệu, Báo cáo sự cố)
- Mẫu thẻ mẫu: Mục đích, dữ liệu, đào tạo, chuẩn mực, hạn chế, rủi ro, người chịu trách nhiệm, liên hệ.
- Mẫu thẻ dữ liệu: Nguồn gốc, giấy phép, chất lượng, tính đại diện, kiểm tra thành kiến, hạn chế sử dụng.
- Mẫu báo cáo sự cố: Sự kiện, tác động, bị ảnh hưởng, hành động ngay lập tức, nguyên nhân gốc rễ, biện pháp khắc phục, bài học kinh nghiệm.
25. Thuật ngữ & Tài liệu tham khảo
Thuật ngữ: Hệ thống AI, AI tổng quát, hệ thống có rủi ro cao, AIIA, HIL, C2PA, nhóm đỏ, CPIA, RACI, SLO/SLI.
Tài liệu tham khảo:
- Đạo luật AI của EU
- GDPR
- DSA
- Nguyên tắc AI của OECD
- NIST AI RMF
- Tiêu chuẩn ISO/IEC 42001
- Hướng dẫn nội bộ (bảo vệ dữ liệu, quy trình DSA, chế độ nô lệ hiện đại, tính bền vững)
Một thông báo: Bộ quy tắc AI này bổ sung cho các chính sách hiện hành của LEGIER, bao gồm các chính sách về bảo vệ dữ liệu, dịch vụ kỹ thuật số, nhân quyền/chuỗi cung ứng, quản trị doanh nghiệp, tính bền vững và chế độ nô lệ hiện đại. Đây là một phần không thể thiếu trong khuôn khổ tuân thủ của Tập đoàn LEGIER (LEGIER Beteiligungs mbH).
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska