AI Act techninė dokumentacija
Paskutinį kartą atnaujinta: 2026 m. gegužės 6 d.
Šis puslapis apibendrina AETHER atitiktį ES AI Act'o (Reglamentas 2024/1689) reikalavimams, įsigaliojusiems 2024 m. rugpjūčio 1 d., su laipsniškais terminais (Art. 5 prohibicijos taikomos nuo 2025 m. vasario 2 d., GPAI obligacijos nuo 2025 m. rugpjūčio 2 d., didelės rizikos sistemos nuo 2026 m. rugpjūčio 2 d.).
1. AETHER rizikos klasifikacija
AETHER yra ribotos rizikos (Limited Risk) AI sistema pagal AI Act 50 straipsnį. Šis statusas nustatytas remiantis šiais kriterijais:
| AI Act kategorija | Statusas | Pagrindas |
|---|---|---|
| Draudžiama (Art. 5) | ❌ Netaikoma | AETHER nenaudoja socialinio vertinimo, biometrinės kategorizacijos, emocijų atpažinimo darbo vietoje, manipuliacinių technikų ar kitų Art. 5 draudžiamų praktikų |
| Didelės rizikos (Annex III) | ❌ Netaikoma | AETHER nenaudojama Annex III srityse: kritinė infrastruktūra, švietimas, užimtumas, esminės paslaugos, teisėsauga, migracija, teisingumo administravimas. AETHER yra komercinė saugumo atitikties patarimo paslauga, ne sprendimo priėmimo įrankis Annex III srityje. |
| Ribotos rizikos (Art. 50) | ✅ Taikoma | AETHER tiesiogiai bendrauja su fiziniais asmenimis (chat widget + AI generuojamos audito ataskaitos). Art. 50(1) reikalauja aiškios transparency notice. |
| Minimalios rizikos | ❌ Netaikoma | Per Art. 50 trigger'ą — bendraujama su žmonėmis |
2. Foundation Model — model card
| Atributas | Vertė |
|---|---|
| Modelio pavadinimas | Anthropic Claude (Sonnet 4.5 + Opus 4.7 priklausomai nuo užduoties) |
| Provider | Anthropic Inc. (San Francisco, CA, JAV) · anthropic.com |
| Modelio tipas | Foundation model (general-purpose AI per AI Act 51 str.) — LLM |
| API endpoint | api.anthropic.com · HTTPS · TLS 1.3 |
| Modelio mokymo duomenų klausimas | AETHER duomenys NEnaudojami Anthropic modelių mokymui. Sutartinė garantija per Anthropic Commercial Terms + Zero Data Retention sutartis. |
| Duomenų retention pas Anthropic | 30 dienų safety/abuse monitoring (default) → galima sumažinti iki 0 dienų (ZDR) enterprise tier |
| Tarpvalstybinis perdavimas | ES → JAV pagal EU-U.S. DPF + SCC pagal BDAR 46 str. |
| Modelio kortelė (Anthropic) | Anthropic model release notes + responsible scaling policy |
| Multimodal capability | Tekstas + ribotas image input (audito kontekste — tekstas-only) |
| Sistema prompt'o cache'avimas | Anthropic prompt caching (cache_control: ephemeral) — KSRA kontekstas + brand guidelines cache'uoti server-side |
3. Naudojimo atvejai
3.1. KSRA audito ataskaitos generavimas
- Input: Kliento klausimyno atsakymai (struktūruotas JSON) + neprivalomos prikabintos politikos (PDF/DOCX)
- Output: AI sugeneruotos rekomendacijos, gaps analysis, santrumpa
- Žmogaus priežiūra: Kvalifikuotas AETHER specialistas peržiūri kiekvieną rekomendaciją prieš siuntimą klientui →
approved_by_human=trueflag
3.2. Public chat widget (azorasec.lt)
- Input: Vartotojo klausimas (LT/EN) apie KSRA, kainas, audito procesą
- Output: AI streaming atsakymas su KSRA kontekstu
- Žmogaus priežiūra: Sąmoningai be moderation real-time (pokalbis informacinis); klaidos / pažeidimai siunčiami į log + atsakomas operator review per 24h
4. Žmogaus priežiūra (Human Oversight) — AI Act Art. 14 analogija
Nors Art. 14 formaliai taikomas didelės rizikos sistemoms, AETHER taiko jo principus voluntariškai:
- Auditų ataskaitos: Mandatory human-in-loop. Kiekviena AI generuojama rekomendacija turi
approved_by_human=trueflag prieš PDF generavimą + audito log įrašą su admin user ID. - Chat widget: Real-time output be moderation, BET su aiškiu Art. 50 disclaimer'iu kiekvienoje sesijoje: "AI sistema (Claude). Informaciniai atsakymai — ne teisinė ar kibernetinio saugumo konsultacija."
- Override mechanizmas: AETHER specialistas gali atmesti, redaguoti ar perrašyti AI rekomendaciją. Audito ataskaita saugo abiejų versijų istoriją (AI raw + human-edited).
- Stop capability: Sistema gali būti sustabdyta (config flag
AI_GENERATION_DISABLED=true) jei aptinkamos sistemingos AI klaidos.
5. Transparency obligations (Art. 50)
5.1. Vartotojo informavimas
Visi AETHER kanalai aiškiai pažymi AI dalyvavimą:
- Public chat widget: Footer notice po input'u — "AI sistema (Claude)" + "ne teisinė konsultacija"
- Klientų portalas: Audito ataskaitose AI sugeneruoti blokai pažymėti badge'ais
- PDF ataskaita: Cover page'e disclaimer "Sugeneruota su AI pagalba, peržiūrėta žmogaus" + Anthropic Claude attribution
- Email automation: "Sent by AETHER" + AI generuojamos dalys aiškiai atskirtos
5.2. Synthetic content marking (Art. 50(2)+(4))
Synthetic audio / video / text generavimas — netaikoma AETHER (negeneruojame deepfakes, sintetinio video). Tekstas yra informacinis, ne dezinformacinis.
6. Vartotojų teisės
AETHER vartotojai turi šias teises (kombinuoja BDAR + AI Act):
- Žinoti, kad bendrauja su AI — Art. 50(1) ✅ (notice'as kiekviename kanale)
- Atsisakyti AI auto-decision'o — BDAR Art. 22 ✅ (žmogaus peržiūra mandatory)
- Užginčyti AI rekomendaciją — kontaktas appeal@azorasec.lt, re-review per 5 d.d.
- Reikalauti žmogaus re-review — bet kuriuo metu, jei nesutinkate su AI rekomendacija ataskaitoje
- Gauti modelio paaiškinimą — kokia logika veda prie išvados (limited interpretability — LLM "black box"-like, bet KSRA sąrašo blokas + pagrindas pateikiamas kiekvienoje rekomendacijoje)
- Nepateikti duomenų AI tvarkymui — opt-out į manual audito kelią (kaina ta pati, terminas +5 d.d.)
7. Rizikos vertinimas (AI-specific)
| Rizika | Likelihood | Impact | Mitigation |
|---|---|---|---|
| AI haliucinacija (faktiniai netikslumai) | Medium | Medium | Mandatory human review + KSRA citation requirement (kiekviena rekomendacija nuoroda į konkretų KSRA punktą) |
| Bias / diskriminacija | Low | Medium | Anthropic Constitutional AI + RLHF — reikšmingas bias mitigacija; KSRA kontekstas neutralus, ne demografinis |
| Prompt injection (kliento input → exploit) | Medium | Medium | Sistema prompt'as cache'uotas server-side (immutable), user input sanitized, klausimynas struktūruotas (ne free-form) |
| Data leakage į modelio mokymą | Low | Critical | Anthropic Zero Data Retention (sutartinė garantija) |
| Model drift / capabilities pakeitimas | Medium | Low | Pinned model version (claude-sonnet-4-5-20250929 ir pan.), regression testing po model upgrade |
| Vendor lock-in (Anthropic outage) | Low | High | Degraded mode (manual audito kelias), backup model planuojamas (OpenAI/Google) jei verslo case opens |
| AI-generated PII leak | Low | High | Server-side PII redaction prieš API call, output parser PII detect |
8. Conformity Assessment (CA)
Ribotos rizikos sistemos neturi formalios CE ženklinimo procedūros per AI Act'ą (skiriasi nuo didelės rizikos sistemų). AETHER laikosi šių self-assessment praktikų:
- Šis viešas dokumentas (techninė dokumentacija)
- Annual review per ISO 27001 surveillance audit'o ciklą (žr. ISO 27001 pasirengimas)
- Eksternal AI ethics review — planuojamas 2026 H2 jei klientai prašys (Anthropic Trust Portal + ESPLab konsultacijos)
9. AI Office (ES) ir nacionalinės institucijos
Pagal AI Act 70 + 77 str., LT atsakingos institucijos:
- Lietuvos AI priežiūros institucija — paskiriama 2026 (Susisiekimo ministerija + Ekonomikos ir inovacijų ministerija koordinuoja)
- Valstybinė duomenų apsaugos inspekcija (VDAI) — atsakinga už AI sistemų BDAR aspektus
- Europos AI Office (ES) — generaliniame DG CNECT, atsakingas už GPAI ir cross-border issues
AETHER bendradarbiaus su priežiūros institucijomis pagal poreikį. Skundus arba užklausas dėl AI funkcionalumo siųsti appeal@azorasec.lt.
10. Versijos istorija
| Versija | Data | Pakeitimas |
|---|---|---|
| v1.0 | 2026-05-06 | Pradinė AI Act techninė dokumentacija (compliance push) |
11. Susiję dokumentai
- Privatumo politika — BDAR + AI sąsajos (§3, §8)
- Saugumo politika — AI saugumas (§3)
- ISO 27001 pasirengimas — A.5.34 PII apsauga + ISMS scope
- Naudojimosi sąlygos — AI atsakomybės ribos (§7)
- Anthropic DPA + Acceptable Use Policy