人工智能正在迅速渗透到各种商业系统和IT生态系统中,其采用和发展的速度超出了任何人的预期。如今,无论我们转向何处,软件工程师都在构建定制模型并将人工智能集成到他们的产品中,而企业领导者也在他们的工作环境中采用基于人工智能的解决方案。
然而,对于如何最佳实施人工智能的不确定性,阻碍了一些公司采取行动。波士顿咨询集团最新的数字加速指数(DAI)全球调查2,700名高管发现,只有28%的受访者表示他们的组织已完全准备好应对新的人工智能法规。
他们的不确定性加剧是由于人工智能法规层出不穷:欧盟人工智能法案正在制定中;阿根廷发布了人工智能计划草案;加拿大有人工智能和数据法案;中国已颁布了一系列人工智能法规;七国集团启动了"广岛人工智能进程"。各种指南层出不穷,经合组织制定了人工智能原则,联合国提议成立新的人工智能咨询机构,拜登政府发布了人工智能权利法案的蓝图(尽管这可能会在第二个特朗普政府下迅速改变)。
个别美国州也在出台相关法律,并出现在许多行业框架中。迄今为止,已有21个州颁布了法律来规范人工智能的使用,包括科罗拉多州的人工智能法案,以及加州CCPA中的条款,另有14个州正在等待批准相关立法。
与此同时,人工智能监管辩论的两个阵营都有强烈的声音。SolarWinds的一项新调查显示,88%的IT专业人士主张实施更严格的监管,另一项独立研究显示,91%的英国人希望政府采取更多措施,让企业为其人工智能系统负责。另一方面,50多家科技公司的领导人最近发表了一封公开信,呼吁紧急改革欧盟繁琐的人工智能法规,认为这些法规阻碍了创新。
对于企业领导者和软件开发人员来说,这确实是一个棘手的时期,因为监管机构正在努力赶上技术的发展。当然,你想利用人工智能带来的好处,但你可以以一种为即将到来的任何监管要求做好准备的方式来实现,而不会因为你的竞争对手迅速前进而使你的人工智能使用受到不必要的限制。
我们没有水晶球,无法预测未来。但我们可以分享一些最佳实践,为人工智能监管合规性做好准备。
绘制您更广泛生态系统中的人工智能使用情况
除非您了解员工的人工智能使用情况,否则无法管理团队的人工智能使用。但这本身就是一个重大挑战。"影子IT"已经成为网络安全团队的祸害:员工在IT部门不知情的情况下注册使用SaaS工具,导致有未知数量的解决方案和平台可以访问业务数据和/或系统。
现在,安全团队还必须应对"影子人工智能"。许多应用程序、聊天机器人和其他工具都包含人工智能、机器学习(ML)或自然语言编程(NLP),但这些解决方案并不一定是明显的人工智能解决方案。当员工在未经正式批准的情况下登录这些解决方案时,他们就会将人工智能引入您的系统,而您并不知情。
正如Opice Blum的数据隐私专家Henrique Fabretti Moraes所解释的,"映射正在使用或打算使用的工具是了解和微调可接受使用政策以及降低其使用风险的潜在缓解措施的关键。"
某些法规要求您对供应商使用的人工智能负责。为了完全控制局势,您需要映射您和您的合作伙伴组织环境中的所有人工智能。在这方面,使用像Harmonic这样的工具可以帮助您检测整个供应链中的人工智能使用情况。
验证数据治理
数据隐私和安全是所有人工智能法规的核心关切,无论是已经生效的还是即将批准的。
您的人工智能使用已经需要遵守现有的隐私法,如GDPR和CCPR,这要求您知道您的人工智能可以访问什么数据以及它如何处理这些数据,并且您需要证明有保护人工智能使用数据的防护措施。
为了确保合规性,您需要在组织内部建立健全的数据治理规则,由一个明确的团队管理,并通过定期审计得到支持。您的政策应包括尽职调查,以评估所有工具(包括使用人工智能的工具)的数据安全性和数据来源,以识别潜在的偏差和隐私风险。
"组织有责任采取主动措施,通过增强数据卫生、执行强大的人工智能伦理和组建合适的团队来领导这些工作,"SolarWinds解决方案工程副总裁兼全球负责人Rob Johnson表示。"这种主动姿态不仅有助于遵守不断发展的法规,而且还能最大限度地发挥人工智能的潜力。"
为您的人工智能系统建立持续监控
有效的监控对于管理您业务的任何领域都至关重要。对于人工智能来说,与网络安全的其他领域一样,您需要持续监控,以确保了解您的人工智能工具的行为方式、运行情况以及它们访问的数据。您还需要定期审核它们,以保持对组织内人工智能使用情况的掌握。
"使用人工智能来监控和调节其他人工智能系统的想法是确保这些系统既有效又合乎道德的关键发展,"软件开发公司Zibtek的创始人Cache Merrill表示。"目前,采用预测其他模型行为的机器学习模型(元模型)的技术被用来监控人工智能。这些系统分析运营中人工智能的模式和输出,以在问题变得严重之前检测异常、偏差或潜在故障。"
网络GRC自动化平台Cypago可以让您在后台运行持续监控和监管审计证据收集。无代码自动化允许您在没有技术专长的情况下设置自定义工作流功能,因此根据您设置的控制和阈值,警报和缓解措施会立即触发。
Cypago可以连接您的各种数字平台,与几乎任何监管框架同步,并将所有相关控制转换为自动化工作流。一旦您设置好集成和监管框架,在该平台上创建自定义工作流就像上传电子表格一样简单。
将风险评估作为您的指导方针
了解您的人工智能工具属于高风险、中风险还是低风险,这对于遵守外部法规、内部业务风险管理以及改善软件开发工作流程都至关重要。高风险用例将需要更多的保障措施和评估,然后才能部署。
"尽管人工智能风险管理可以在项目开发的任何阶段开始,"来自Holistic AI的人工智能政策专家Ayesha Gulley表示,"但尽早实施风险管理框架可以帮助企业增加信任并有信心地进行扩展。"
当您了解不同人工智能解决方案带来的风险时,您就可以决定授予它们对数据和关键业务系统的访问权限。
就法规而言,欧盟人工智能法案已经区分了不同风险等级的人工智能系统,而NIST建议根据可信度、社会影响以及人与系统的交互方式来评估人工智能工具。
主动建立人工智能伦理治理
您无需等待人工智能法规出台就可以建立合乎道德的人工智能政策。分配负责人工智能伦理考量的责任,组建团队,并制定包括网络安全、模型验证、透明度、数据隐私和事故报告在内的合乎道德的人工智能使用政策。
NIST的人工智能风险管理框架和ISO/IEC 42001等现有框架都提供了您可以纳入政策的人工智能最佳实践。
"监管人工智能既有必要性,也是不可避免的,以确保其得到道德和负责任的使用。尽管这可能会带来复杂性,但它并不意味着会阻碍创新,"Cypago的首席执行官兼联合创始人Arik Solomon表示。"通过将合规性纳入内部框架,并制定与监管原则一致的政策和流程,受监管行业的公司可以继续有效地发展和创新。"
能够展示主动采取合乎道德的人工智能方法的公司将更有可能达到合规性。人工智能法规旨在确保透明度和数据隐私,因此如果您的目标与这些原则一致,您就更有可能拥有符合未来监管要求的政策。FairNow平台可以帮助您完成这一过程,提供用于管理人工智能治理、偏差检查和风险评估的工具。
不要让对人工智能监管的担忧阻碍您前进
人工智能法规仍在不断发展和出台,给企业和开发人员带来了不确定性。但不要让这种流动的局势阻止您从人工智能中获益。通过主动实施与数据隐私、透明度和合乎道德使用原则相一致的政策、工作流程和工具,您可以为人工智能法规做好准备,并利用人工智能带来的各种可能性。
本文最初发表于人工智能新闻。
