生成式 AI 的应用率快速上升,但众多组织缺乏相关政策准备、培训与有效的风险管理。只有有效管理 AI,AI 才能带来大量机遇。在为组织制定 AI 可接受使用政策时,确保所有利益相关者都能参与其中至关重要。
Mary Carmichael(CRISC、CISA、CPA,ISACA 新兴趋势工作组成员)认为,利益相关者可以提供专业技术知识、确保政策符合道德、提供法律合规审查、提供实际操作反馈、共同评估风险,以及共同定义和执行组织内 AI 使用的指导原则。她同时提到:
“主要利益相关者——从组织高管、法律团队和技术专家到沟通团队、风险管理/合规和业务团队代表——在该政策的制定、完善和实施过程中发挥着至关重要的作用。他们的工作确保企业对 AI 的使用在法律上合规,技术上可行,服务于组织的业务,且符合社会价值观。”
AI 可接受使用政策(AUP)为企业提供了一个合乎道德、负责任地部署 AI 的框架。鉴于生成式 AI 的快速发展,企业必须提供明确的使用指南,以平衡其收益和风险。
01. 哪些人会受到政策范围影响?
• 消费者希望知道 AI 驱动的系统如何处理他们的信息。监管部门可能询问您是否遵守负责任 AI 原则。员工必须了解此政策背后的根本原因和紧迫性。
• 您所在组织中经理、员工和 IT 部门对生成式 AI 的责任分别是什么?
02. AI 系统是否安全?
• 保护 AI 系统,防止未经授权的访问、篡改和滥用。如果此 AI 系统生成的内容可能被滥用而造成伤害,这一点就极其重要。
• 在企业内实施生成式 AI 使用政策之前、期间和之后,都必须证明使用的系统安全且符合隐私标准。
• 是否与 ChatGPT 等生成式 AI 工具分享公司数据不应由员工来决定。如果组织致力于提供安全保险的环境,那么应用的所有 AI 工具都应被证实是负责任 AI,从而避免导致任何危害。组织应该为所有人设定明确的要求。
• 建立关于 AI 产出和系统性能的反馈路径。您是否信任您正在使用的系统、信任它做的决定甚至它生成的内容?
03. 政策是否包括 AI 道德原则相关规定?
• 确保组织使用生成式 AI 时不造成危害,包括产生或强化具危害性的算法偏见,这一点非常关键。哪些 AI 道德和原则是组织必须遵守的?
• 组织内需要有人能解释组织应用的这些 AI 工具或系统是如何作出决策的,这一点很重要。保持算法透明对于保持消费者的数字信任非常重要。
04. 什么是好的行为,以及什么是可接受使用条款?
• 强调预期的、可接受与不可接受的行为在制定政策时非常重要。例如,AI 工具只能用于与业务相关的活动,且遵循组织的道德与隐私政策。
• 明确指出 AI 的禁区与规定可接受的用法同样重要。具体什么可接受、什么不可接受取决于您所在行业的具体情况。
05. 数据处理与培训方面有哪些现有的指南?
• 在获取数据时,特别是在处理个人数据或敏感信息时(例如,重点强调使用去身份和匿名化数据以确保数据的保密性),明确指南至关重要。此外,数据的质量也很重要,因为它直接影响到输出结果的准确性和可靠性。
06. 该政策如何鼓励透明性和问责?
• 分享或发布内容时,是否必须披露内容是 AI 生成的?政策应鼓励对 AI 生成的内容使用水印或其他标志进行标注。
• 在组织内确定 AI 生成内容的产出与传播责任制。明确审查和批准 AI 生成内容的流程。
07. 您所在组织如何保证达到法律与合规要求?
• 重点强调本地、本国和国际法中的法律与合规要求,重点关注与版权、数据保护与错误信息相关的内容。
08. 政策考虑了哪些限制和风险?
• 要承认生成式 AI 模型存在内在限制。规定不能完全依赖AI 产出的情况,强调人类的监督。
09. 该政策与现有其他政策有何关联?
• 要让利益相关者充分了解政策的要求和效果预期,关键是要让他们注意到该生成式 AI 政策与其他已有政策的联系。例如,数据隐私和信息安全政策与 AI 政策内在相连,必须相互支持。
• 生成式 AI 政策不应局限于某一部门。合作非常关键,因为AI 以多种不同方式对业务产生影响。您可考虑综合施策,从而将政策覆盖最大化。
10. 如何处理例外情况?
• 在有必要不遵守或升级您的 AI 政策时,应该遵循什么流程呢?有时候,一个生成式 AI 工具可能需要被用于某个一般不能使用 AI 的项目中,这种情况下应该如何审批?
11. 您如何报告并调查违规情况?
• 报告和调查过程中,为 IT 部门提供适当的调查工具至关重要。如果出现涉嫌违反政策的情况,必须确保相关方有权审查任何 AI 通信或生成式 AI 工具的使用情况。
• 员工守则和 HR 政策可能已经包括违反 AI 使用条例的处罚规定。根据行为的严重程度,无论是员工主动交代还是被揭发,员工可能会面临职业发展受阻或被解雇的后果。
12. 谁负责审查、管理与审计?
• 应确定谁为政策负责,如何管理和审计,以及如何及时更新并按预期运行。考虑到未来几年的变化,风险评估和其他的支持至关重要。
• 当今技术形势下,没有人对 AI 不感兴趣。这意味着利益相关者的范围会比预料中的更大。
13. 政策如何以及何时更新?
• 政策发布后很容易被淡忘。为了避免这样的情况,应为利益相关者提供相应培训与信息,并时时强化利益相关者对政策的认知。
• 如果您的生成式 AI 工具发布了新功能,谁来确定新功能对政策的影响?您将为员工提供哪些指导来确保他们对被允许和不被允许的事项形成共识?
• 政策应与您所在行业与/或组织的最新发展保持同步,尤其在部署 AI 新功能时,政策应至少一年一更新,或根据需要更加频繁地更新。
• 监管环境正在飞速变化,应考虑采用适当措施,确保政策有足够灵活性应对监管环境的变化。
• 制定反馈路径,使利益相关者能够对政策给予反馈,培养持续改进的文化。
本文摘编自ISACA发布的《生成式 AI 应用现状及政策建议》,下载全文关注出处ISACA公众号回复“AI现状”即可:
生成式 AI 应用现状及政策建议
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
你的公司对人工智能浪潮的准备程度如何,希望“保持数字优先战略 开创人工智能驱动型运营模式”?作为光合组织成员单位之一,快城FastCity 的业内首款智能数字化人才管理iDTM(基于私有大模型部署)已于日前通过海光合作认证。我们自研推出“小快轻准”的数字智能解决方案、SaaS 工具和移动应用,在人才育成、客户服务、数字营销以及研发设计赋能实现降本增效。扫码添加老邪企业微信:
