Как да създам отговорна AI политика?

Как да създам отговорна AI политика?

За да създадеш отговорна AI политика (policy) в организацията си, опиши ясно: (1) за какво е позволено и забранено да се използва AI, (2) кои данни могат да се подават към модели и към външни доставчици, (3) как се оценява рискът и качеството преди продукция, (4) как се прави прозрачност към потребители, и (5) кой носи отговорност при инцидент. Най-практичният подход е да направиш кратък документ (2–6 страници) и да го вържеш към реален процес за одобрение и контрол.

Отговорната AI политика е „операционен договор“: ако не може да се изпълнява и проверява, тя е само документ.

Въведение

AI политика ти трябва, когато:

• хората започват да ползват генеративен AI за реална работа;
• имаш клиентски данни и риск от изтичане;
• произвеждаш съдържание или решения, на които други разчитат;
• искаш да минеш от „всеки си пробва“ към управляем процес.

Добрата политика не е забрана. Тя е рамка, която ускорява работата, като намалява риска: ясни правила, ясни роли, и ясна процедура за одобрение.

В ЕС регулациите за AI се развиват по времева линия (EU AI Act). Това не означава, че трябва да чакаш. Политиката е инструмент да се подготвиш: инвентар на use case-и, прозрачност, контрол на данни, процеси за оценка и инциденти.

Стъпка 1: Определи обхват и дефиниции

Започни с 1 страница „scope“:

• Кои системи се включват: LLM чат, internal assistants, препоръчващи системи, класификатори, генериране на изображения/видео.
• Кои екипи: маркетинг, поддръжка, инженеринг, HR.
• Кои среди: dev, staging, production.

Дефинирай термини (за да няма „всеки разбира различно“):

• „генеративен AI“
• „външен доставчик“
• „чувствителни данни“ (PII, здравни, финансови, търговска тайна)
• „инцидент“ (data leak, токсичен/вреден отговор, нарушение на права)

Стъпка 2: Роли и отговорности (RACI)

Назначи минимални роли:

• Policy owner (security/compliance или CTO)
• Privacy/DPO контакт
• Product owner за AI функционалности
• Engineering owner за внедряване и мониторинг

RACI пример (опростено):

• Нов AI use case: Responsible: product; Accountable: policy owner; Consulted: privacy + security; Informed: leadership.
• Деплой в продукция: Responsible: engineering; Accountable: product; Consulted: policy owner.

Целта е проста: да няма „никой не знае кой е пуснал това“.

Стъпка 3: Допустима употреба (allowlist) и забранени случаи (denylist)

Направи таблица „разрешено/забранено“ по екипи.

Примери за разрешено (с условия):

• Чернови на текст + човешка редакция.
• Резюмета на вътрешни документи (ако данните са разрешени за съответния инструмент).
• Помощ за код (без секрети и ключове).
• Автоматично класифициране на тикети (ако има мониторинг и възможност за корекция).

Примери за забранено (или изисква специално одобрение):

• Автоматични решения за хора (HR, кредитиране, оценки) без човешки контрол.
• Подаване на лични/чувствителни данни към публични AI услуги.
• Публикуване на AI съдържание без маркиране и редактор.

Най-работещият модел е allowlist за „какво е позволено“, а не безкраен списък от забрани.

Стъпка 4: Данни и поверителност (Data Classification за AI)

Опиши категории данни и правила:

• Публични данни: позволени, но проверяваш лиценз/източник.
• Вътрешни некритични: позволени в одобрени инструменти.
• Клиентски/PII: само при одобрен процес, минимизация и ограничен достъп.
• Търговска тайна/секрети: по подразбиране забранени за външни модели.

Минимални мерки:

• Никога не въвеждай API ключове/пароли в AI чатове.
• Не копирай цели клиентски бази или договори в публични инструменти.
• Ако трябва да логваш, логвай метрики и версии, не сурови лични данни.

Стъпка 5: Доставчици и инструменти (Vendor & Tool Policy)

Създай „одобрен списък“ от инструменти и условия за ползване:

• Кой ги одобрява и по какви критерии.
• Какво пише в договорите за данни и логове.
• Има ли опция за изключване на обучение върху данни.
• Къде се съхраняват данни (регион), кой има достъп.

Минимален procurement чеклист:

• Има ли документация за сигурност?
• Има ли SLA и политика за инциденти?
• Можеш ли да изтриеш данните?
• Какво се случва при прекратяване на услугата?

Стъпка 6: Оценка на риск и качество преди продукция

Въведи „AI review“ като задължителна стъпка преди production. Това може да е 30–60 минути и един формуляр.

Какво включва:

• Описание на use case-а и целта.
• Какви данни се използват (категории, източници).
• Рискове: грешки, пристрастия, халюцинации, токсичност, изтичане.
• Мерки: филтри, human review, rate limits, guardrails.
• Тестове и метрики: как измерваш „добре ли е“.

Практична идея: дефинирай 3 нива на строгост:

• Ниво 1 (вътрешно, нисък риск): basic тестове + логове.
• Ниво 2 (към клиенти): регресионни тестове, мониторинг, rollback.
• Ниво 3 (висок риск): допълнителен преглед, документиране и одит.

Без тестове и критерии за качество „AI политика“ не може да се наложи на практика.

Стъпка 7: Прозрачност към потребители и маркиране на съдържание

Политиката трябва да казва минимум:

• кога казваш „това е AI“ (чатбот, автоматични отговори, препоръки);
• как маркираш AI-генерирано/манипулирано съдържание;
• какво обещаваш (и какво не).

Свържи това с реални UI шаблони и текстове, за да не се измисля „на парче“.

Стъпка 8: Инциденти, ескалация и обучение

Напиши кратък runbook:

• Какво е инцидент (напр. изтичане на данни, вреден съвет, дискриминационен изход).
• Кой се уведомява (security, product, legal/privacy).
• Как се спира системата (kill switch).
• Как се прави postmortem и как се коригират причините.

Обучение:

• Onboarding за всички екипи.
• Кратки примери: „какво е OK да копираш“, „какво е забранено“, „как да маркираш съдържание“.

Процес за одобрение на нов AI use case (1 страница)

1. Идея и цел.
2. Данни: категории и източници.
3. Риск ниво (1/2/3).
4. План за тестове и метрики.
5. План за прозрачност (какво казваш на потребителя).
6. План за мониторинг и инциденти.
7. Подпис/одобрение от policy owner.

Това превръща политиката от „PDF“ в workflow.

Минимален шаблон за AI политика (структура)

1. Цел и обхват
2. Дефиниции
3. Роли и отговорности
4. Допустима употреба
5. Забранени случаи
6. Данни и поверителност
7. Доставчици и инструменти
8. Оценка на риск и качество
9. Прозрачност и комуникация
10. Инциденти и ескалация
11. Одит и преглед (напр. на всеки 6 месеца)

Политиката е жива: преглеждай я на всеки 6 месеца или след голям инцидент/регулаторна промяна.

Съвети за по-добри резултати

• Пиши кратко: 2–6 страници са по-изпълними от 30.
• Добави примери за всеки екип (маркетинг, поддръжка, HR).
• Вържи политиката към процес: template за одобрение, чеклист, собственик.
• Пази „одобрен списък“ от инструменти и ясна алтернатива за чувствителни случаи.
• Планирай по дати: в ЕС AI Act има поетапно прилагане.

Чести грешки, които да избягваш

• Политика без собственик и без процес.
• Забрани без алтернативи (хората ще заобикалят правилата).
• Няма правила за данни и логове.
• Няма тестове и критерии за качество преди продукция.
• „Одобрение“ само по имейл, без запис какво е одобрено и защо.

Често задавани въпроси

1) Колко дълга трябва да е една AI политика?

Обикновено 2–6 страници са достатъчни, ако са конкретни и с примери. По-важно е да има процес за изпълнение.

2) Трябва ли политика, ако ползваме AI само за чернови?

Да, защото рискът често е в данните (какво се копира) и в публикуването (маркиране/отговорност).

3) Как да контролирам „сенчесто“ използване на AI?

Дай одобрени инструменти и ясни правила за данни. Добави обучение и прост механизъм за одобрение на нови use cases.

4) Кои рамки са най-полезни като основа?

За практично управление на риск: NIST AI RMF. За системен мениджмънт и контрол: ISO/IEC 42001. За регулаторен контекст в ЕС: EU AI Act.

5) Кога трябва да я преглеждам?

Минимум на 6 месеца и след инцидент, нов доставчик, или значима промяна в регулации/продукт.

Източници (проверено към 10 февруари 2026)

• NIST AI RMF: https://www.nist.gov/itl/ai-risk-management-framework
• ISO/IEC 42001:2023 (AISMS): https://www.iso.org/standard/81230.html
• Европейска комисия: EU AI Act timeline и регулаторна рамка: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

Приложение: примерен текст за „AI политика“ (кратък и изпълним)

Това е пример, който можеш да адаптираш (не е юридически съвет). Идеята е да имаш текст, който е достатъчно конкретен, за да се следва.

1) Цел

„Тази политика описва правилата за използване на AI инструменти и AI функционалности, за да защитим данните, потребителите и репутацията на организацията.“

2) Разрешена употреба

• AI може да се използва за чернови, резюмета и идеи, когато резултатът се преглежда от човек.
• AI може да се използва за помощ при кодиране, но е забранено да се споделят ключове, пароли и секрети.
• AI може да се използва за вътрешни анализи само с одобрени инструменти и разрешени данни.

3) Забранена употреба

• Забранено е качване/копиране на лични и чувствителни данни в не-одобрени AI услуги.
• Забранено е публикуване на AI-генерирано съдържание без маркиране и без редакторска отговорност.
• Забранено е използване на AI за вземане на решения за хора без човешки контрол и документиран процес.

4) Данни

• Всеки екип използва само данни от категории, които са разрешени за конкретния инструмент.
• Логовете и промптовете се третират като потенциално чувствителни данни.
• При нужда от работа с чувствителни данни се използва одобрена, защитена среда.

5) Одобрение на нов use case

• Всеки нов use case за продукция минава AI review: риск ниво, тестове, метрики, план за прозрачност и мониторинг.
• Собственикът на use case-а отговаря за поддръжката, мониторинга и инцидентите.

6) Инциденти

• Инцидент е всяко подозрение за изтичане на данни, токсичен/вреден изход или нарушение на правила.
• При инцидент: незабавно спиране/ограничаване на функцията (kill switch), уведомяване на policy owner и документиране на постмортем.

7) Преглед

„Политиката се преглежда на всеки 6 месеца и след значим инцидент или промяна в доставчици/регулации.“