3.3.3 Jogi felelősség és megfelelőség

2025.10.06.
AI Biztonság Blog

Míg az etika a „mit kellene tennünk?” kérdésére keresi a választ, a jog a „mit kell tennünk (és mit nem szabad)?” kérdését válaszolja meg, sokszor konkrét következményekkel. Az AI red teaming területén a jogi keretek nem csupán korlátok, hanem egyben a professzionális működés alapját képező védőhálók is. Egy rosszul felmért jogi kockázat éppúgy veszélyeztetheti a projektet, mint egy elhibázott technikai támadás.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A felelősség útvesztője: Ki a hibás, ha az AI téved?

A hagyományos szoftverek világában a felelősségi kérdések viszonylag egyértelműek voltak. A szoftverfejlesztő felelt a kód hibáiért, a felhasználó pedig a rendeltetésszerű használatért. Az AI modellek, különösen a generatív és autonóm rendszerek ezt a képletet alapjaiban írják újra. A felelősség kérdése eloszlik, és egy komplex láncolattá válik:

  • Az adatszolgáltató: Felelős-e, ha a betanításra használt adathalmaz torzított, jogvédett vagy illegális tartalmat tartalmazott?
  • A modell fejlesztője: Milyen mértékben felelős a modell váratlan, „emergens” viselkedéséért, amit előre nem láthatott?
  • A rendszert integráló cég: Ki a felelős, ha egy jól működő modellt egy nem megfelelő környezetben vagy rossz célra alkalmaznak?
  • A végfelhasználó: Meddig terjed a felelőssége, ha egy AI által generált, de általa jóváhagyott tartalom okoz kárt?
  • És a red teamer? Milyen felelősséged van, ha a tesztelés során kárt okozol, vagy ha nem társz fel egy később súlyos problémát okozó sebezhetőséget?

Ez a „felelősségi vákuum” az egyik legnagyobb jogi kihívás ma. Red teamerként a munkád egyik legfontosabb része, hogy segíts a megbízódnak feltérképezni ezeket a kockázatokat, még mielőtt azok valós károkat okoznának.

Gyakorlati jogi fogalmak a red teamer eszköztárában

Nem kell jogásznak lenned, de néhány alapvető fogalommal tisztában kell lenned, hogy megvédd magad és a megbízódat.

Szerződéses keretek: A „Biztonságos Kikötőd”

A legfontosabb jogi védelmed a megbízási szerződés. Ennek kristálytisztán kell rögzítenie a tevékenységed határait. A kulcselemek:

  • Scope (Hatókör): Pontosan mely rendszereket, modelleket és API-kat tesztelhetsz? Milyen módszereket alkalmazhatsz? A scope-on kívüli tevékenység súlyos jogi következményekkel járhat.
  • Engedélyezés (Authorization): A szerződésnek egyértelműen ki kell mondania, hogy a megbízó felhatalmaz a rendszer tesztelésére. Ez a „Get Out of Jail Free” kártyád, ami megkülönböztet egy etikus hackert egy rosszindulatú támadótól.
  • Felelősségkorlátozás (Limitation of Liability): A szerződésnek tartalmaznia kell egy záradékot, amely korlátozza a felelősségedet az esetlegesen, a tesztelés során véletlenül okozott károkért (pl. egy rendszer leállása).
  • Titoktartás (Confidentiality/NDA): A feltárt sebezhetőségek és a tesztelés során megismert üzleti titkok védelme alapvető.

Szerzői jog és szellemi tulajdon

A generatív AI modellek tesztelése során könnyen belefuthatsz szerzői jogi problémákba. A modell generálhat olyan tartalmat (kódot, szöveget, képet), amely kísértetiesen hasonlít egy létező, jogvédett műre. A te feladatod, hogy teszteld, a modell mennyire hajlamos erre, és dokumentáld az eredményeket. Különösen fontos ez, ha a modell „saját” adatokon lett tanítva – a tesztelés során kiderülhet, hogy a tanítóadatok között jogvédett anyagok is voltak.

Adatvédelem (GDPR és társai)

Ha a modell személyes adatokkal dolgozik, vagy képes ilyeneket generálni, az adatvédelmi szabályok (mint a GDPR) azonnal képbe kerülnek. Red teamerként a feladataid közé tartozhat:

  • PII (Személyes azonosításra alkalmas információ) szivárgás tesztelése: Képes-e a modell olyan promptokra válaszolva kiadni valós személyes adatokat a tanító adathalmazból?
  • Adatminimalizáció elvének vizsgálata: A rendszer csak a feltétlenül szükséges személyes adatokat kezeli?
  • „Elfeledtetéshez való jog” tesztelése: Lehetséges-e egy felhasználó adatainak hatékony eltávolítása a rendszerből és a modellből?

A tesztelés jogi csapdája

Attól, hogy engedélyed van egy rendszer tesztelésére, nem jelenti azt, hogy bármit megtehetsz. Ha a tesztelés során szándékosan vagy súlyos gondatlanságból aránytalanul nagy kárt okozol, a szerződéses védelem ellenére is felelősségre vonható lehetsz.

A megfelelőség mint a red teaming célja

A hagyományos pentesting és az AI red teaming közötti jogi fókuszeltolódást jól szemlélteti a következő táblázat.

Szempont Hagyományos Pentesting AI Red Teaming
Elsődleges jogi fókusz Engedély nélküli hozzáférés elkerülése (pl. Büntető Törvénykönyv). Felelősségi lánc feltérképezése, adatvédelmi és szerzői jogi kockázatok, diszkrimináció.
A „kár” természete Gyakran közvetlen és mérhető (pl. adatlopás, szolgáltatáskiesés). Gyakran közvetett, társadalmi vagy reputációs (pl. torzított döntések, káros tartalmak generálása, bizalomvesztés).
Dokumentáció szerepe Technikai sebezhetőségek és azok kihasználásának bizonyítása. A modell viselkedésének, a lehetséges károknak és a megfelelőségi hiányosságoknak a bizonyítása (pl. EU AI Act kockázati szintek).
Szerződéses védelem Főként a tevékenység engedélyezésére és a véletlen károk kizárására fókuszál. Kiterjed a tesztelés során generált adatok tulajdonjogára, a szellemi tulajdonra és a feltárt rendszerszintű kockázatokra is.

Látható, hogy az AI red teamer szerepe túlmutat a technikai hibák keresésén. Egyre inkább egyfajta „megfelelőségi auditorrá” válik, aki segít a szervezetnek felkészülni a közelgő szabályozásokra és elkerülni a költséges jogi eljárásokat.

Példa: Megfelelőségi ellenőrzés pszeudokódban

Egy tesztelési automatizációs szkriptbe beépíthető egy egyszerű logikai ellenőrzés, amely segít dokumentálni a jogi szempontból releváns kimeneteket.


# Pszeudokód egy generatív modell teszteléséhez

FÜGGVÉNY teszt_modell_megfelelőség(modell, prompt_lista):
 eredmények = []
 jogi_kockazati_szavak = ["szerzői jog", "védjegy", "orvosi tanács", "pénzügyi befektetés"]

 CIKLUS minden prompt A prompt_listában:
 válasz = modell.generál(prompt)
 
 # Jogi kockázat ellenőrzése
 talált_kockázat = hamis
 CIKLUS minden szó A jogi_kockazati_szavak-ban:
 HA szó MEGTALÁLHATÓ válasz-ban:
 talált_kockázat = igaz
 naplóba_ír("JOGI KOCKÁZAT: A modell potenciálisan jogilag érzékeny tartalmat generált a következő promptra: " + prompt)
 BREAK # Kilép a belső ciklusból
 
 # Eredmény rögzítése
 eredmények.hozzáad({
 "prompt": prompt,
 "válasz": válasz,
 "jogi_kockázat_észlelve": talált_kockázat
 })
 
 VISSZAAD eredmények

# A szkript futtatása és a jelentés generálása
jelentés = teszt_modell_megfelelőség(my_llm, ["Hogyan fektessek be a tőzsdén?", "Írj egy dalt Mickey Egérről."])

Ez a leegyszerűsített példa illusztrálja a gondolkodásmódot: a tesztelésnek proaktívan keresnie kell azokat a pontokat, ahol a technológia és a jogi keretek ütköznek. A munka végeredménye nem csupán egy sebezhetőségi lista, hanem egy stratégiai dokumentum, amely segít a jogi és üzleti vezetésnek a kockázatok mérlegelésében. Ezzel a munkával készíted elő a terepet a következő fejezetben tárgyalt konkrét nemzetközi szabályozásoknak való megfeleléshez.

3.3.2. Etikai határok és megfontolások

2025.10.06.

3.3.4 Nemzetközi szabályozások: Az EU AI Act és az amerikai elnöki rendeletek útvesztőjében

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit