LEGIER 및 „SANDIC by LEGIER“ 그룹의 AI 윤리 강령

1. 전문 및 적용 범위

Dieser Kodex legt verbindliche Grundsätze, Prozesse und Kontrollen für Entwicklung, Beschaffung, Betrieb und Nutzung von KI in der LEGIER Gruppe fest. Er gilt konzernweit für Mitarbeitende, Führungskräfte, Auftragsverarbeiter, Lieferanten und Partner. Er integriert vorhandene Konzernrichtlinien (Datenschutz, Digitale-Dienste-Prozesse, Corporate-Governance, Nachhaltigkeit, Menschenrechtspolitik, Modern-Slavery-Statement) und erweitert sie um KI-spezifische Anforderungen. 목표 의 목표는 혜택과 혁신을 실현하고 위험을 관리하며 사용자, 고객 및 일반 대중의 권리를 보호하는 것입니다. 2. 기본 가치 및 기본 원칙

인간의 존엄성과 기본권 경제적 효율성보다 우선합니다. AI는 사람을 위한 것이지 결코 그 반대가 아닙니다.
법적 적합성: 다음 규정 준수 EU AI 법, GDPR, DSA 및 부문별 표준을 준수합니다. 금지된 관행을 사용하지 않습니다.
책임과 의무: 각 AI 시스템에 대해 책임 있는 소유자가 지정되며, 결정은 추적 가능하고 이의를 제기할 수 있습니다.
비례성: 목적, 위험, 개입 강도 및 사회적 영향의 균형.
투명성 및 설명 가능성: 기능, 데이터 상황 및 제한 사항에 대한 적절한 정보, 문서 및 커뮤니케이션 채널을 제공합니다.
공정성 및 포용성: 체계적인 편견 테스트, 취약 계층 보호, 접근성 및 다국어 지원.
보안 및 복원력: 1TP63설계에 따른 보안, 심층적인 방어, 지속적인 강화 및 모니터링.
지속 가능성: 모델 및 데이터센터의 효율성(에너지, PUE/CFE), 데이터/모델의 수명 주기 보기.

3. 거버넌스 및 책임(AI 윤리 위원회, RACI)

AI 윤리 위원회(AIEB): 다학제적(기술, 법률/컴플라이언스, 데이터 보호, 보안, 편집/제품, 인사). 업무: 정책 업데이트, 승인 발급(특히 고위험군), 충돌 결정, 보고서 모니터링. 역할: 사용 사례 소유자, 모델 소유자, Data 스튜어드, DPO, 1TP63보안 책임자, 책임 편집자, 서비스 소유자, 조달 책임자. 위원회 및 게이트웨이: 출시 전 AIIA 승인, 중요한 변경 사항에 대한 변경 자문위원회, 연례 관리 검토. RACI 원칙: 각 활동에 대한 명확한 책임 할당(책임, 책임, 협의, 정보 제공).

4. 법률 및 표준화 프레임워크(EU AI 법, GDPR, DSA, 저작권, 무역법)

EU-AI-Act: 금지 사항, 고위험 시스템에 대한 의무, 문서화, 로깅, 거버넌스, 투명성 의무가 포함된 위험 기반 프레임워크, 2025/2026년부터 시차를 두고 적용합니다.
GDPR: 법적 근거(제6조/제9조), 데이터 주체의 권리, 설계/기본에 의한 개인정보 보호, 데이터 보호 영향 평가(DPIA), 제3국 이전(제44조 후단).
DSA: 대규모 플랫폼의 알림, 불만 사항, 투명성 보고서, 위험 평가를 위한 플랫폼 프로세스.
저작권 및 이웃 권리 / 개인 권리: 라이선스 체인, 이미지/이름 권한, 타사 거주지 권한을 삭제합니다.
산업별 요구 사항 (예: 항공/해양법/Health)도 준수해야 합니다.

5. 위험 분류 및 AI 영향 평가(AIIA)

분류:

금지된 관행(허용되지 않음)
고위험 시스템(엄격한 의무)
제한된 위험(투명성)
위험 최소화

AIIA 절차: 설명 목적/범위, 이해관계자, 법적 근거, 데이터 소스, 위험 분석(법적, 윤리적, 안전, 편견, 환경 영향), 완화 계획, 결정(AIEB 승인). 재평가: 중대한 변경의 경우, 고위험의 경우 매년 중앙 등록부에 문서화합니다.

6. 데이터 윤리 및 데이터 보호(법적 근거, DPIA, 쿠키, 제3국)

데이터 최소화 및 목적 제한; 가명화/익명화 선호.
투명성: 데이터 보호 정보, 정보 및 삭제 채널, 이동성, 이의 제기 옵션.
쿠키/추적: 동의 관리, 해지, IP 익명화, 승인된 도구만 사용.
제3국 송금: 적절한 보증(SCC/적절성)이 있는 경우에만 하위 프로세서에 대한 정기적인 테스트를 실시합니다.
DPIA: 고위험 처리의 경우 의무적으로 기술/조직적 조치(TOM)를 문서화해야 합니다.

7. 모델 및 데이터 수명 주기(ML-라이프사이클, Data 카드, 모델 카드)

Data 수명 주기: 수집 → 큐레이션 → 라벨링 → 품질 게이트 → 버전 관리 → 보존/삭제. 모델 수명 주기: 문제 정의 → 아키텍처 선택 → 교육/조율 → 평가(오프라인/온라인) → 릴리스 → 운영 → 모니터링 → 재교육/폐기. Data 카드: 출처, 대표성, 품질, 편향성 발견, 사용 제한. 모델 카드: 목적, 학습 데이터, 벤치마크, 메트릭, 제한 사항, 예상 오류 패턴, 해야 할 일/하지 말아야 할 일. 출처 및 재현성: 해시, 데이터/모델 버전, 파이프라인 검증.

8. 투명성, 설명 가능성 및 사용자 지침

AI 상호 작용 및 AI 생성 콘텐츠에 대한 라벨링.
설명 가능성: 사용 사례에 맞춘 일반인 친화적인 설명(로컬/글로벌)을 제공합니다.
사용자 지침: 목적, 주요 영향 요인, 제한 사항, 피드백 및 수정 방법.

9. 인적 자원 및 감독 업무

관련 결정(특히 고위험군)에 대한 사람의 감독을 표준으로 합니다.
편집상/사회적으로 민감한 과제에 대한 네 가지 눈 원칙.
함수 재정의/취소, 에스컬레이션 경로, 문서화.

10. 보안, 견고성 및 레드팀(프롬프트 인젝션, 탈옥)

위협 모델링(STRIDE + AI 전용): 프롬프트 주입, 훈련 데이터 중독, 모델 도용, 데이터 보호 유출.
레드팀 및 적대적 테스트, 탈옥 방지, 속도 제한, 출력 필터링, 1TP63 트레드 스캔.
견고함: 폴백 프롬프트, 가드레일, 롤백 계획, 카나리아 릴리스, 안전성을 위한 카오스 테스트.

11. 공급망, 인권 및 공정 노동(현대판 노예, LkSG-아날로그)

인권 실사: 위험 분석, 공급업체 행동 강령, 계약상의 약속, 감사, 시정 조치.
현대 노예제: 연례 선언, 민감성, 보고 채널.
노동 기준: 공정한 급여, 근무 시간, 건강 보호, 내부 고발자 보호.

12. 편견 관리, 공정성 및 포용성(취약 고객, 접근성)

편향성 검사: 데이터 세트 분석, 밸런싱, 다양한 테스트 그룹, 공정성 지표, 문서화된 완화 조치.
위험에 처한 고객: 보호 목표, 대체 채널, 명확한 언어, 인지적 약점을 악용하지 않습니다.
접근성: WCAG-적합성, 다국어 지원, 포용적 접근 방식.

13. 제너레이티브 AI, 원산지 증명 및 라벨링(C2PA, 워터마크)

라벨링: AI 콘텐츠에 표시되는 레이블/메타데이터, 상호작용을 위한 힌트.
원산지 보증: C2PA-기술적으로 가능한 한 컨텍스트, 서명/워터마크.
서비스 저작권/보호: 라이선스 명확화, 데이터 규정 준수 교육, 문서 권한 체인.

14. 콘텐츠, 중재 및 DSA 프로세스(신고, 불만, 투명성)

보고 채널: 낮은 문턱의 사용자 신고, 불법 콘텐츠의 우선 처리.
불만 처리 절차: 투명한 정당화, 이의 제기, 에스컬레이션.
투명성 보고서: 관련 주요 수치와 조치를 주기적으로 발표합니다.

15. 도메인별 사용(뉴스, Data, Health, 항공, Yachts, Estate, Pay/트레이드/Trust/코인, Cars)

뉴스/게시: 연구 지원, 번역, 중재, 생성 콘텐츠의 명확한 라벨링.
SCANDIC DATA: 안전한 AI/HPC 인프라, 클라이언트 분리, HSM/KMS, 통합 가시성, 규정 준수 아티팩트.
Health: 증거에 기반한 사용, 사람의 최종 결정, 검증되지 않은 진단 금지.
항공/Yachts: 안전 프로세스, 인적 감독, 비상 절차.
Estate: 공정성 점검이 포함된 가치 평가 모델, ESG 통합.
Pay/거래/Trust/코인: 사기 방지, KYC/AML, 시장 감시, 설명 가능한 의사 결정.
Cars: 엄격한 데이터 보호를 통해 개인화된 서비스를 제공합니다.

16. 제3자, 조달 및 공급업체 위험 관리

온보딩 전 실사: 보안/데이터 보호 수준, 데이터 위치, 하위 프로세서, 인증서.
계약: 감사 권한, 투명성 및 수정 조항, SLA/OLA 메트릭.
모니터링: 성과 KPI, 결과/사고 교환, 출구 계획.

17. 운영, 관찰 가능성, 비상 및 재시작 계획

운영: 통합 가시성(로그, 메트릭, 추적), SLO/SLI 관리, 용량 계획.
긴급 상황: 런북, DR 테스트, 복구 시간, 통신 계획.
구성/비밀 관리: 최소 권한, 로테이션, 경화.

18. 사고 및 구제책(윤리, 데이터 보호, 보안)

윤리 사건: 원치 않는 차별, 허위 정보, 출처가 불분명한 정보 - 즉각적인 조치 및 AIEB 검토.
데이터 보호 사고: DPO/감독에 대한 보고 프로세스, 영향을 받는 당사자를 위한 정보, 근본 원인 분석.
보안 인시던트: CSIRT 절차, 포렌식, 교훈, 예방 조치.

19. 지표, KPI 및 보증(내부/외부)

필수 KPI: 생산적인 AI 사용 사례의 % AIIA 적용 범위 100건, 평균 처리 시간 14일 미만의 불만 사항, % 교육 비율 >95%, 미해결 중요 감사 결과 0건.
공정성 지표: 서로 다른 영향력, 균등화된 확률(사용 사례별).
지속 가능성: 데이터센터의 에너지/PUE/탄소 수치, 모델의 효율성.

20. 교육, 인식 및 문화 변화

의무 교육(연간): AI 윤리, 데이터 보호, 보안, 미디어 윤리, 대상 그룹별 모듈.
인식 제고 캠페인: 가이드, 브라운백 세션, 상담 시간, 내부 실무 커뮤니티.
문화: 롤 모델로서의 리더십, 오류 문화, 책임감 있는 행동에 대한 보상.

21. 구현 및 로드맵(0-6 / 6-12 / 12-24개월)

0~6개월: AI 사용 사례 목록, AIIA 프로세스, 최소한의 통제, 트레이닝 웨이브, 공급업체 심사.
6-12개월: 레드팀 구성, 첫 번째 투명성 보고서, 에너지 프로그램, RACI 마무리.
12-24개월: ISO/IEC-42001 정렬, 제한적 보증, 지속적인 개선, CSRD/ESRS 준비(해당되는 경우).

22. 롤 및 RACI 매트릭스

사용 사례 소유자(A): 목적, 혜택, KPI, 예산, 재평가.
모델 소유자(R): 데이터/훈련/평가, 모델 카드, 드리프트 모니터링.
DPO(데이터 보호를 위한 C/A): 법적 근거, DPIA, 데이터 주체의 권리.
1TP63튜리티 리드(C): 위협 모델링, 레드팀, TOM.
책임 편집자(C): 미디어 윤리, 라벨링, 정정 등록.
서비스 소유자(R): 운영, SLO, 인시던트 관리.
조달 책임자(R/C): 제3자, 계약, 출구 계획.

23. 체크리스트(AIIA 쇼트, 데이터 릴리스, 고라이브 게이트)

AIIA 빠른 확인: 목적? 법적 근거? 영향을 받는 당사자? 위험(법적/윤리적/1TP63보안/편견/환경)? 완화? HIL 통제?
데이터 릴리스: 합법적인 출처? 최소화? 보존? 접근? 제3국?
Go-Live-Gate: 유물 완료(Data/모델 카드, 로그)? 레드팀 결과가 해결되었나요? 모니터링/DR 설정 완료?

24. 양식 및 템플릿(모델 카드, Data 카드, 인시던트 보고서)

모델-카드-템플릿: 목적, 데이터, 교육, 벤치마크, 제한 사항, 위험, 책임자, 연락처.
Data-카드 템플릿: 출처, 라이선스, 품질, 대표성, 편향성 검사, 사용 제한.
인시던트 보고서 템플릿: 사고, 영향, 영향을 받은 사람, 즉각적인 조치, 근본 원인, 해결 방법, 교훈을 제공합니다.

25 용어집 및 참고 자료

용어집: AI 시스템, 생성 AI, 고위험 시스템, AIIA, HIL, C2PA, 레드팀, DPIA, RACI, SLO/SLI. 참조:

EU AI 법
GDPR
DSA
OECD AI 원칙
NIST AI RMF
ISO/IEC 42001
내부 가이드라인(데이터 보호, DSA 프로세스, 현대판 노예, 지속가능성)

참고: 이 AI 강령은 다음과 같은 기존 LEGIER 가이드라인을 보완합니다: (데이터 보호, 디지털 서비스, 인권/공급망, 기업 거버넌스, 지속가능성, 현대판 노예). 이 강령은 LEGIER 그룹(LEGIER Beteiligungs mbH)의 규정 준수 프레임워크의 필수적인 부분입니다.