27.3.1. NDA sablonok különböző szintekre

2025.10.06.
AI Biztonság Blog

A tévhit: „Egy NDA az egy NDA. Letöltök egyet a netről, és kész.”

Ez a hozzáállás az AI Red Teaming területén egyenértékű azzal, mintha egy papírpajzzsal mennél csatába. A valóság az, hogy a titoktartási megállapodás (Non-Disclosure Agreement, NDA) nem egy univerzális dokumentum. A védendő információ jellege, a hozzáférés mélysége és a projekt kockázati szintje mind-mind meghatározzák, hogy milyen szigorúságú és részletességű megállapodásra van szükség. Egy rosszul megválasztott NDA nemcsak hatástalan, de hamis biztonságérzetet is adhat.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Miért van szükség különböző szintekre?

Egy AI Red Teaming projekt során a bizalmas információk skálája rendkívül széles. Más szintű védelmet igényel egy általános projektleírás, mint a modell súlyait tartalmazó fájl, a betanításhoz használt, esetleg személyes adatokat is tartalmazó adathalmaz, vagy egy általad felfedezett, még nem publikált sebezhetőség (zero-day) leírása. A különböző szintű NDA-k lehetővé teszik, hogy a védelem arányos legyen a kockázattal, anélkül, hogy felesleges adminisztratív terhet rónál az alacsonyabb kockázatú együttműködésekre.

Gondolj bele: egy külsős tanácsadóval folytatott első megbeszéléshez nem kell ugyanazt a vasbeton szigorúságú szerződést aláíratni, mint a core fejlesztői csapattal, akik a modell legérzékenyebb részeihez is hozzáférnek. A rétegzett megközelítés rugalmasságot és hatékonyságot biztosít.

Az NDA-k három alapvető szintje

Az alábbiakban felvázolunk három tipikus szintet, amelyek jó kiindulási alapot adnak a saját dokumentumaid kialakításához. Ezek nem kőbe vésett sablonok, hanem inkább keretrendszerek, amelyeket a konkrét helyzetre kell szabni.

1. szint: Alapszintű (Standard) NDA

Ez a leggyakoribb, „kapudrog” NDA. Célja, hogy lehetővé tegye a felek számára a bizalmas tárgyalások megkezdését anélkül, hogy a legérzékenyebb üzleti vagy technikai titkokat azonnal fel kellene fedni.

  • Mikor használd? Első kapcsolatfelvétel, potenciális partnerekkel, alvállalkozókkal vagy szabadúszókkal folytatott kezdeti megbeszélések során.
  • Mit véd? A projekt létezését, általános céljait, a felek közötti üzleti kapcsolat tényét, felső szintű technológiai koncepciókat.
  • Jellemzői: Általában kölcsönös (mindkét fél titkait védi), viszonylag rövid (1-3 oldal), és a „Bizalmas Információ” definíciója tág, de nem megy bele technikai mélységekbe.

2. szint: Kiterjesztett (Technikai) NDA

Amikor a projekt konkrét megvalósítási fázisba lép, és a csapattagoknak már technikai részletekhez is hozzá kell férniük, egy erősebb megállapodásra van szükség.

  • Mikor használd? A projektbe bevont red teamerekkel, fejlesztőkkel, adatelemzőkkel, akik hozzáférnek a tesztkörnyezetekhez, API-khoz, dokumentációhoz vagy a modell bizonyos részeihez.
  • Mit véd? A fentieken túl: specifikus modellarchitektúrák, tesztelési módszertanok, prompt engineering technikák, szintetikus adatok, belső riportok, azonosított (de még nem javított) alacsony vagy közepes kockázatú sebezhetőségek.
  • Jellemzői: Gyakran egyoldalú (a megbízó titkait védi elsősorban). A „Bizalmas Információ” definíciója sokkal specifikusabb, expliciten megnevezve a technológiákat és adatköröket. Tartalmazhat rendelkezéseket a szellemi tulajdon (IP) kezeléséről, különösen a tesztelés során létrehozott új információkra (pl. sebezhetőségi riportok) vonatkozóan.

3. szint: Szigorított (Magas biztonsági szintű) NDA

Ez a legmagasabb szintű védelem, a „koronaékszerek” megóvására szolgál. Csak a legszűkebb kör számára indokolt, akik a projekt legkritikusabb elemeihez férnek hozzá.

  • Mikor használd? A belső mag, a vezető red teamerek, vagy olyan partnerek esetében, akik hozzáférést kapnak a modell súlyaihoz, a teljes, éles betanítási adathalmazhoz, forráskódhoz vagy a felfedezett kritikus sebezhetőségekhez.
  • Mit véd? Minden eddigin felül: a modell súlyai, a teljes forráskód, a teljes, nyers betanítási adathalmaz, a legkritikusabb sebezhetőségek részletes leírása (PoC kóddal együtt), a vállalat belső biztonsági infrastruktúrájának részletei.
  • Jellemzői: Rendkívül részletes és szigorú. Gyakran tartalmaz kiegészítő záradékokat, mint például az adatok visszaszolgáltatásának vagy hitelesített megsemmisítésének kötelezettsége a projekt végén. Előírhatja a versenytilalmi vagy az elcsábítási tilalmi (non-compete/non-solicit) klauzulákat, bár ezek jogi érvényesíthetősége országonként eltérő. A szerződésszegés következményei (kötbér) sokkal súlyosabbak lehetnek.

NDA szintek összehasonlító táblázata

Az alábbi táblázat segít gyorsan áttekinteni a szintek közötti legfontosabb különbségeket.

Jellemző 1. szint: Alapszintű 2. szint: Kiterjesztett 3. szint: Szigorított
Célcsoport Potenciális partnerek, külsős tanácsadók (kezdeti fázis) Red teamerek, fejlesztők, projektben résztvevők Core csapat, modell súlyaihoz hozzáférők, vezetők
Védett Információk Projekt léte, általános célok, üzleti tervek API-k, tesztadatok, módszertanok, közepes kockázatú sebezhetőségek Modell súlyai, forráskód, betanítási adatok, kritikus sebezhetőségek
Definíciók Tág, általános Specifikus, technikai jellegű Rendkívül részletes, mindenre kiterjedő
Tipikus időtartam 1-3 év 3-5 év, vagy a projekt után is fennmaradó 5+ év, vagy akár örökös (bizonyos információkra)
Speciális klauzulák Ritkán tartalmaz Szellemi tulajdon kezelése, „maradék információ” (residuals) záradék Adatmegsemmisítési kötelezettség, versenytilalmi záradék, magas kötbér

Kulcsfontosságú záradékok, amelyekre figyelj

Függetlenül a szinttől, van néhány pont egy NDA-ban, aminek a megfogalmazása kritikus egy AI projekt szempontjából:

A „Bizalmas Információ” pontos definíciója

Ez a szerződés szíve. Legyen egyértelmű, hogy mi tartozik ide. Ne csak annyit írj, hogy „a modell”, hanem részletezd: „a modell architektúrája, súlyai, hiperparaméterei, a betanításhoz használt adathalmazok, a tesztelés során generált kimenetek…”

A titoktartási kötelezettség időtartama (Survival Clause)

A kötelezettségnek túl kell élnie a szerződéses kapcsolat végét. Egy kritikus sebezhetőség vagy egy üzleti titok nem szűnik meg bizalmasnak lenni csak azért, mert lejárt a szerződés. Az időtartam legyen arányos az információ értékével.

Az információk visszaszolgáltatása vagy megsemmisítése

A projekt végén vagy a szerződés megszűnésekor a fogadó félnek minden bizalmas információt (beleértve a másolatokat is) vissza kell adnia vagy igazoltan meg kell semmisítenie. Ez különösen fontos a modell súlyai és a nagy méretű adathalmazok esetében.

Kivételek (Exclusions)

Egyértelműen rögzíteni kell, hogy mi NEM minősül bizalmas információnak. Tipikusan ilyenek a már köztudomású, a fogadó fél által függetlenül kifejlesztett, vagy harmadik féltől jogszerűen megszerzett információk.

Jogi tanácsadás elengedhetetlen

Ez a fejezet tájékoztató jellegű, és nem minősül jogi tanácsadásnak. Bármilyen NDA vagy más jogi dokumentum elkészítése vagy aláírása előtt feltétlenül konzultálj egy, a szellemi tulajdon és a technológiai jog területén jártas ügyvéddel. Egy jól megírt NDA a védelem első vonala, de csak akkor ér valamit, ha jogilag megalapozott és végrehajtható.

27.2.5 Partnerségi megállapodások

2025.10.06.

27.3.2. GDPR megfelelőségi dokumentumok

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit