生成式AI热潮之下,合规计划将迎来哪些变化?

虽然AI工具的普及将对企业产生积极影响,但组织也必须了解具体技术实施所带来的潜在风险。这些风险包括隐私与商业机密威胁、由大语言模型因“幻觉”生成的虚假信息,以及刻意为复杂的规模化网络攻击/武器化应用输出的错误信息。

无论是预测消费者的购物偏好、指导军事决策、还是提供对于金融犯罪活动的独特见解,AI工具的种种新应用几乎每天都会登上报纸头条。不同规模的企业正努力扩张并铺开自身AI能力,希望更好地服务客户并提高自身运营效率。

虽然AI工具的普及将对企业产生积极影响,但组织也必须了解具体技术实施所带来的潜在风险。这些风险包括隐私与商业机密威胁、由大语言模型因“幻觉”生成的虚假信息,以及刻意为复杂的规模化网络攻击/武器化应用输出的错误信息。再有,AI工具还可能受到训练数据的影响而出现分析偏差或模型失真,进而给出不当、不正确或无效的响应。

面对这些挑战,最直接的解决方案自然在于严格落实合规。合规性对于保障技术效率提升,特别是发现并解决与数据隐私/安全相关的潜在法律/监管风险方面至关重要。Zoom此前就曾试图修改其使用条款以获准捕捉更多用户数据,此事也让我们意识到即使单纯是为了对AI模型做适度调整,这种数据收集行为也可能受到市场的严厉批评、必须加以谨慎对待。

但创新和发明的步伐一刻不停,AI领域的监管体系也尚未完全定型,所以企业在AI治理与合规框架设计方面仍面临着艰巨的挑战。欧盟委员会已经提出欧盟(EU)AI法案,也成为首个关于AI应用的立法。欧盟在推行基于风险的治理模型方面一直处于领先地位,也为未来的AI法规树立了先例。欧盟认为应当根据AI系统的类型对风险进行价值判断,再依据风险设定不同程度的合规性要求。尽管美国目前还没有统一的监管框架,但纽约等多个州已经开始制定规则,希望约束在招聘流程中对AI工具的使用方式。鉴于不少合规团队缺乏对组织内AI技术实际使用情况的全面了解,后续出台的法规可能会调整合规职能。总而言之,随着AI技术的不断进步,合规性保障必然成为其前提与基石,确保席卷全球的AI浪潮始终受到道德与法律的引导。

为了保障这种合规性和有效性,合规团队在制定相关计划、帮助企业解决AI应用问题时,应始终牢记以下五大基本原则。

1. 建立适宜的合规团队,应对日益增长的现实挑战

合规团队往往身兼多职,需要在整个组织内担任专家。他们必须努力确保自身不会与其他部门相隔离,同时积极融入整个组织结构,从而保持全面的视角——特别是保证所制定和实施的整体AI政策适应各部门的具体现实。也就是说,合规团队必须重视多元化,应由具备技术和非技术背景的专家组成,共同评估AI工具的潜在问题。合规团队还必须拥有资源以提出关于AI模型和测试的正确问题,而不应仅依靠业务团队来完成这些工作。

2. 维护好工具库存

合规管理者必须明确了解整个公司内所使用的AI技术清单,具体包括公司内部使用的工具和面向客户的任务处理方案。只有了解到员工正在使用哪些工具,合规团队才能更好地评估这些技术带来的助益和风险。也正因为如此,我们才有必要在合规团队中引入来自各个业务部门的成员。在可能的情况下,合规团队还应参与到整个组织的工具选择流程当中。某些工具在设计时可能会考虑到隐私、数据及其他保护性需求,而合规团队正是评估这些保护措施是否充分和有效的最佳人选。

3. 实施强有力且明确的政策

合规团队应确保针对公司内的AI应用制定统一政策。如果缺少这些政策,工作态度积极的员工很可能会自行选择有助于提高工作效率的AI工具、并直接拿来使用,丝毫没有意识到自己正在将商业机密或代码暴露给AI大语言模型。三星公司的工程师就曾犯下这类错误,他们不慎向ChatGPT提交了机密代码。如果没有适当的防护措施,在办公环境内不受监管地使用AI可能会给企业带来灾难性影响,最终引发不必要的声誉损害。而通过实施可接受的使用策略以指定必要的AI类型、可以共享哪些信息以及如何使用/验证这些信息内容,合规团队将帮助整个组织缓解潜在的AI相关风险。

4. 验证与测试工具

整个组织中使用的任何AI工具,都必须由熟悉情况的专业合规团队进行验证和测试。这方面测试需要对各类AI模型的几大关键情况做出审查:

  • 模型托管在哪里?数据如何受到保护?
  • 谁在训练模型,又是如何选择训练数据的?
  • 当前在实行哪些保护措施,以防止机密及/或受保护的数据被输入至AI模型当中?
  • 对AI模型的访问由谁/如何加以控制?
  • 是否对模型进行过偏差测试?

5. 强制在合规计划中贯彻标准

最后,公司应确保其合规计划贯彻上述标准,确保有适当的控制措施以维持约束能力,同时了解谁有权访问实际使用到的信息。例如,不少律师事务所正在开发用于从博文和网上资料中提取信息的AI工具,但同时又要求该工具不得直接提取或使用客户数据。这类案例就必须严加监控以避免发生滥用。

在《欧盟AI法案》这份AI先驱性监管政策的指引下,合规团队应当考虑到世界各地即将出台的其他立法将如何影响某些AI工具在未来的使用。只有建立起一支既熟悉技术功能和用途、又了解最新法规的合规团队,组织才能在遵守合规要求的同时遏制潜在风险、发挥AI潜力、释放创新能量。

来源:至顶网软件与服务频道

0赞

好文章,需要你的鼓励

2023

09/15

14:18

分享

点赞

邮件订阅