人工智能正在迅速成为商业系统和IT生态系统中无处不在的存在,其采用和发展速度超出任何人的预期。如今,似乎无论我们走到哪里,软件工程师都在构建自定义模型并将人工智能集成到他们的产品中,而商业领袖们则在他们的工作环境中引入人工智能驱动的解决方案。
然而,对于如何最佳实施人工智能的不确定性使一些公司无法采取行动。波士顿咨询集团最新的数字加速指数(DAI)对2700名高管的全球调查显示,只有28%的人表示他们的组织已为新的人工智能法规做好充分准备。
这种不确定性因人工智能法规的快速到来而加剧:欧盟人工智能法案正在推进;阿根廷发布了人工智能计划草案;加拿大有人工智能和数据法;中国颁布了一系列人工智能法规;七国集团启动了“广岛人工智能进程”。指导方针层出不穷,经济合作与发展组织(OECD)正在制定人工智能原则,联合国提议成立新的联合国人工智能咨询机构,而拜登政府则发布了人工智能权利法案的蓝图(尽管在特朗普第二任期内这一情况可能会迅速改变)。
各个美国州也在制定立法,并在许多行业框架中出现。迄今为止,21个州已制定法律以某种方式规范人工智能的使用,包括科罗拉多州的人工智能法案,以及加利福尼亚州的CCPA中的条款,另外还有14个州的立法正在等待批准。
与此同时,人工智能法规辩论的两边都有强烈的声音。SolarWinds的一项新调查显示,88%的IT专业人士支持更严格的监管,而另一项研究显示,91%的英国人希望政府采取更多措施来追究企业对其人工智能系统的责任。另一方面,50多家科技公司的领导者最近写了一封公开信,呼吁对欧盟的严格人工智能法规进行紧急改革,认为这些法规抑制了创新。
对于商业领袖和软件开发人员来说,这无疑是一个棘手的时期,因为监管者们急于跟上技术的发展。当然,您希望利用人工智能所能提供的好处,但您可以以一种方式进行操作,使您能够遵守即将到来的任何监管要求,同时在竞争对手迅速前进时不必要地限制您的人工智能使用。
我们没有水晶球,因此无法预测未来。但我们可以分享一些最佳实践,以建立系统和程序,为人工智能的合规性打下基础。
绘制您更广泛生态系统中的人工智能使用情况
您无法管理团队的人工智能使用,除非您了解它,但这本身可能就是一个重大挑战。影子IT已经是网络安全团队的祸害:员工在IT部门不知情的情况下注册SaaS工具,留下了一个未知数量的解决方案和平台可以访问商业数据和/或系统。
现在,安全团队还必须应对影子人工智能。许多应用程序、聊天机器人和其他工具都包含人工智能、机器学习(ML)或自然语言处理(NLP),而这些解决方案不一定是显而易见的人工智能解决方案。当员工在没有官方批准的情况下登录这些解决方案时,他们将人工智能引入您的系统,而您却不知情。
正如Opice Blum的数据隐私专家Henrique Fabretti Moraes所解释的,“绘制正在使用的工具——或计划使用的工具——对于理解和微调可接受使用政策以及减少其使用所涉及的风险的潜在缓解措施至关重要。”
一些法规要求您对供应商的人工智能使用负责。为了全面控制局面,您需要绘制您和您的合作伙伴组织环境中的所有人工智能。在这方面,使用像Harmonic这样的工具可以在检测整个供应链中的人工智能使用方面发挥重要作用。
验证数据治理
数据隐私和安全是所有人工智能法规的核心关注点,无论是已经实施的法规还是即将获得批准的法规。
您的人工智能使用已经需要遵守现有的隐私法律,如GDPR和CCPR,这要求您了解您的人工智能可以访问哪些数据以及它对数据的处理方式,并且您需要展示保护人工智能使用的数据的防护措施。
为了确保合规,您需要在组织中建立强有力的数据治理规则,由一个明确的团队管理,并通过定期审计进行支持。您的政策应包括尽职调查,以评估所有工具(包括使用人工智能的工具)的数据安全性和来源,以识别潜在的偏见和隐私风险。
“组织有责任通过增强数据卫生、执行强有力的人工智能伦理以及组建合适的团队来领导这些工作,采取主动措施,”SolarWinds的解决方案工程全球负责人Rob Johnson表示。“这种主动立场不仅有助于遵守不断变化的法规,还最大化人工智能的潜力。”
为您的人工智能系统建立持续监控
有效的监控对于管理您业务的任何领域至关重要。在人工智能方面,与网络安全的其他领域一样,您需要持续监控,以确保您了解您的人工智能工具在做什么、它们的行为如何以及它们访问哪些数据。您还需要定期审计它们,以跟上您组织中的人工智能使用情况。
“使用人工智能来监控和调节其他人工智能系统的想法是确保这些系统既有效又合乎伦理的重要发展,”软件开发公司Zibtek的创始人Cache Merrill表示。“目前,像预测其他模型行为的机器学习模型(元模型)这样的技术被用来监控人工智能。这些系统分析操作人工智能的模式和输出,以在出现关键问题之前检测异常、偏见或潜在故障。”
网络GRC自动化平台Cypago允许您在后台进行持续监控和合规审计证据收集。无代码自动化允许您在没有技术专长的情况下设置自定义工作流能力,因此根据您设置的控制和阈值,警报和缓解措施会立即触发。
Cypago可以与您的各种数字平台连接,与几乎任何监管框架同步,并将所有相关控制转化为自动化工作流。一旦您的集成和监管框架设置完成,在平台上创建自定义工作流就像上传电子表格一样简单。
将风险评估作为您的指导方针
了解您的人工智能工具的高风险、中风险和低风险是至关重要的——无论是为了遵守外部法规、进行内部业务风险管理,还是改善软件开发工作流程。高风险用例在部署前需要更多的保护措施和评估。
“虽然人工智能风险管理可以在项目开发的任何阶段开始,”Holistic AI的人工智能政策专家Ayesha Gulley表示。“尽早实施风险管理框架可以帮助企业增加信任并自信地扩展。”
当您了解不同人工智能解决方案所带来的风险时,您可以选择授予它们访问数据和关键业务系统的级别。
在法规方面,欧盟人工智能法案已经区分了不同风险级别的人工智能系统,而NIST建议根据可信度、社会影响以及人类与系统的互动来评估人工智能工具。
主动设定人工智能伦理治理
您无需等待人工智能法规的出台就可以建立伦理人工智能政策。分配伦理人工智能考虑的责任,组建团队,并制定包括网络安全、模型验证、透明度、数据隐私和事件报告的伦理人工智能使用政策。
许多现有框架,如NIST的人工智能风险管理框架和ISO/IEC 42001,推荐您可以纳入政策的人工智能最佳实践。
“规范人工智能既是必要的,也是不可避免的,以确保伦理和负责任的使用。虽然这可能会引入复杂性,但不必阻碍创新,”Cypago的首席执行官兼联合创始人Arik Solomon表示。“通过将合规性整合到其内部框架中,并制定与监管原则一致的政策和流程,受监管行业的公司可以继续有效地增长和创新。”
能够展示对伦理人工智能采取主动态度的公司将在合规方面处于更有利的位置。人工智能法规旨在确保透明度和数据隐私,因此如果您的目标与这些原则一致,您更有可能制定出符合未来法规的政策。FairNow平台可以帮助您完成这一过程,提供管理人工智能治理、偏见检查和风险评估的工具,集中在一个位置。
不要让对人工智能法规的恐惧阻碍您
人工智能法规仍在不断发展和出现,为企业和开发人员带来了不确定性。但不要让这种流动的局势阻止您从人工智能中受益。通过主动实施与数据隐私、透明度和伦理使用原则一致的政策、工作流程和工具,您可以为人工智能法规做好准备,并利用人工智能驱动的可能性。
