随着人工智能 (AI) 日益融入商业和我们的日常生活中,企业和消费者权益团体都在游说制定更明确的规则,以确保人工智能得到公平使用。 今年五月,欧盟成为世界上第一个以专门针对人工智能开发和使用的法规草案形式发布全面回应的政府机构。 拟议的法规将适用于欧盟境内使用或提供输出的任何人工智能系统,这对世界各地的组织产生了影响。
我们的研究表明,许多组织仍有大量工作要做,以便为这一监管做好准备,并更广泛地解决与人工智能相关的风险。 2020 年,只有 48% 的组织表示他们认识到监管合规风险,而积极致力于解决这些风险的组织则更少(38%)。 接受调查的公司中,认识到其他明显风险的比例要小得多,例如声誉、隐私和公平方面的风险。
鉴于人工智能出错的事件广为人知,而且世界部分地区已经存在欧洲通用数据保护条例(GDPR)等人工智能相关法规,这些统计数据令人震惊。
人工智能为技术和社会的进步提供了巨大的机会。 它正在彻底改变组织在医疗保健、采矿业和金融服务等行业创造价值的方式。 对于企业来说,要继续按照保持竞争力所需的速度进行人工智能创新并获得人工智能投资的最大回报,他们需要解决该技术的风险。 我们的研究支持了这一点:从人工智能中获得最高回报的公司比那些结果不太令人印象深刻的公司更有可能报告说他们正在积极降低风险。
尽管欧盟法规尚未生效,但它为整个人工智能监管的未来提供了清晰的见解。 现在是开始了解其影响并采取措施为它们以及必然遵循的法规做好准备的时候了。 这些步骤还将支持遵守现行法规并减轻其他非监管人工智能风险。
本文概述了拟议的欧盟人工智能法规,以及组织可以采取的三项关键行动,以制定全面的人工智能风险管理计划,以最好地满足监管要求; 最大限度地降低使用人工智能的法律、声誉和商业风险; 并确保他们的人工智能系统得到公平和合乎道德的使用。
哪些类型的人工智能系统属于拟议的欧盟监管范围?
该规定将人工智能系统分为三类:不可接受风险的人工智能系统、高风险人工智能系统以及有限和最小风险人工智能系统(图表1)。 组织可以使用此框架作为开发自己的内部基于风险的分类法的起点。 然而,他们应该明白,该法规的风险框架仅关注人工智能给公众带来的风险,而不是更广泛的人工智能给组织本身带来的风险,例如,由于库存错误分类而造成损失的风险。
该法规草案对在市场上构建和销售高风险系统或使用这些系统的人施加的监督义务包括:
“合格性评估”,这是一种算法影响评估,用于分析数据集、偏差、用户与系统的交互方式以及系统输出的整体设计和监控
确保这些系统是可解释的、可监督的,并且在其整个生命周期内始终如一地执行,即使在边缘情况下也是如此
建立全组织范围的网络风险管理实践,其中包括人工智能特定的风险,例如对人工智能系统的对抗性攻击
被视为构成最小风险的系统的要求将明显减少,主要以特定的透明度义务的形式,例如让用户意识到他们正在与机器交互,以便他们可以就继续做出明智的决定,明确系统是否 使用情感识别或生物识别分类,并通知用户是否由 AI 生成或操纵图像、音频或视频内容来错误地表示其内容,例如 AI 生成的视频显示公众人物发表了从未在 事实上,制造。 建立这种意识的要求将适用于所有风险类别的系统。
该法规是否仅影响欧盟的公司?
不会。该法规具有域外效力,这意味着在欧盟境内提供输出的任何人工智能系统都将受到该法规的约束,无论提供者或用户位于何处。 位于欧盟境内、将人工智能系统投放到欧盟市场或在欧盟境内使用人工智能系统的个人或公司也将受到该监管。
该法规可能会施加哪些处罚?
执法可能包括高达 3000 万欧元或全球收入 6% 的罚款,这使得处罚比违反 GDPR 所造成的处罚更为严厉。 使用违禁系统以及在使用高风险系统时违反数据治理规定将招致最高额的潜在罚款。 所有其他违规行为将受到最高 2000 万欧元或全球收入 4% 的处罚,向当局提供不正确或误导性信息将面临最高 1000 万欧元或全球收入 2% 的处罚。
尽管执法权由成员国负责,就像 GDPR 的情况一样,但我们可以预期处罚将分阶段进行,最初的执法工作将集中在那些不试图遵守该法规的人身上。 我们还希望看到有关如何遵守该法规的充足材料以及解释性说明。
该规定何时生效?
尽管无法确定,但 GDPR 的通过时间表(2012 年提出、2014 年通过、2018 年生效)可以提供一些指导。
然而,无论时间表如何,许多现有法律和法规已经适用于人工智能的使用,组织需要理解并遵守它们,特别是因为其中一些法律和法规是针对特定行业的,并且没有明确提及人工智能。 例如,在欧盟,GDPR 已经要求个人明确同意,然后才能做出仅基于自动化处理的决策。 2020 年 4 月,加拿大联邦政府开始要求对交付给联邦政府的所有自动化决策系统进行算法影响评估。 2021 年 3 月,美国一些最大的金融监管机构要求金融机构提供有关其使用人工智能的信息,并指出现有的机构指导和法律已经适用。 此外,2021 年 4 月,美国联邦贸易委员会发表了一篇博文,阐明其根据现行法律有权对未能减轻人工智能偏见或通过使用人工智能从事其他不公平或有害行为的组织采取执法行动。
组织如何为欧盟和未来的法规做好准备?
欧盟法规草案只是全球努力管理人工智能相关风险的一步。 组织越早适应这一监管现实,他们利用这一关键技术取得的长期成功就越大。
在每个组织的人工智能之旅开始时,都应该建立一个集成到其业务运营中的全面的人工智能风险管理计划。 该计划应包括组织使用的所有人工智能系统的清单、风险分类系统、风险缓解措施、独立审计、数据风险管理流程和人工智能治理结构。
作为基础,组织需要一些关键组成部分:优先考虑人工智能在组织中发挥的作用的整体战略; 清晰的报告结构,允许在人工智能系统上线之前对其进行多次检查; 最后,由于许多人工智能系统处理敏感的个人数据,因此需要强大的数据隐私和网络安全风险管理协议。
有了这些基础,组织就可以采取三项行动来开始系统地构建完整的人工智能风险管理计划:根据标准分类创建人工智能系统和风险缓解措施清单,进行合格评定,并建立人工智能治理 系统(图表 3)。 这些步骤可以形成一个连续的反馈循环,其中合格评定期间突出的问题可以构建到监控系统中,并最终在清单和分类中进行更新。
根据标准分类法建立人工智能系统和风险缓解措施清单
任何组织的人工智能监管合规计划的一个明显关键是准确了解其在何处以及如何部署人工智能。 组织应创建和维护全面的清单,其中包含与当前和计划用例相关的所有人工智能系统的描述,以及每个系统的风险分类。 然后,他们可以使用这些清单将其人工智能系统与现有和未来潜在的法规进行映射,以识别和解决合规性方面的任何差距。
法律人员可以制定符合当前和潜在法规的标准化风险分类法。 这将使业务、技术和法律人员能够快速识别整个组织中不可接受的高风险人工智能系统,并采取风险缓解措施。
作为帮助简化合规性的进一步步骤,组织应该评估市场上最好的可用工具并为其制定预算,以帮助他们解决人工智能相关风险。
立即开始实施合格评定
根据拟议的欧盟法规,组织将被要求对所有高风险人工智能系统进行合格评定。 与目前各地区要求的隐私影响评估类似,合格评估是对每个人工智能系统的审查,以确定其是否符合适用的法规和其他相关标准。
这些评估应包括拟议的欧盟法规所需的所有信息,例如:
记录开发人工智能系统时所做的各种选择,包括其局限性和准确性水平
该制度带来的风险,包括可预见的意外后果来源,例如潜在的歧视和侵犯基本权利的行为
系统内置或应用于系统的任何风险缓解措施,例如人工监督
组织不应将合格评定视为欧盟类型法规的检查框,而应将其视为有效管理和减轻与人工智能相关的各种风险的推动者。 当监管机构检查是否符合欧盟法规和其他要求(例如反歧视法和行业最佳实践)时,评估产生的文件也将大大减轻负担。 拥有标准化的方法和文档还将帮助人工智能开发人员确保他们使用最佳实践,并允许治理团队应用一致的标准来评估风险。
最后,合格评定将构成组织通过风险评估和缓解各个阶段的过程的报告,包括:
数据审计和数据清理或增强措施,例如创建合成数据以解决输入数据的偏差或其他问题
风险评估
与道德、法律、主题专家以及数据和变革管理团队等专家进行协商
测试和验证
对类似的已知不良人工智能事件的回顾
合规性设计步骤
考虑和实施的缓解措施
检查是否符合相关技术标准
持续监控流程
系统的潜在滥用
建立人工智能治理体系
成功治理系统的两个关键组成部分是专门的跨职能委员会,负责确保人工智能风险合规性和人工智能系统的独立审计。
组织应该召集一个委员会,确保人工智能在整个组织中负责任地开发和部署。 该委员会应由来自网络安全、法律和技术等多种职能的专业人士组成,以妥善应对人工智能的全方位风险。 该治理机构制定人工智能团队必须遵守的风险标准,确保和审核人工智能系统和开发流程的合规性,并就遵守监管和组织标准所需的具体权衡或决策向业务和开发团队提供建议。
国际标准化组织 (ISO) 和美国国家标准与技术研究所 (NIST) 等多个组织已经发布了负责任的人工智能开发和部署标准,并推动国际或国家遵守; 人工智能治理委员会可以将这些用作制定组织标准和基准测试的有用资源。
除了内部治理团队进行的审计之外,组织还希望对人工智能系统进行定期的独立或外部审计,以确保合规性。 这些审计是人工智能团队在人工智能开发过程中必须定期进行的内部模型测试和验证的补充。 现在,政府组织和上市公司针对人工智能相关服务的征求建议书 (RFP) 越来越多地包含与人工智能道德、偏见监控和数据风险相关的条件。 未来,这些要求可能会以与网络安全要求相同的方式发展,RFP 需要外部审计报告——这更有理由让组织尽早开始构建必要的能力。
欧盟人工智能法规草案应该紧急提醒人们,现在是组织确保拥有健全的流程来管理人工智能风险并遵守现有和未来法规的时候了。 成功的组织不会缩减人工智能的开发,而是会创建一个风险管理和合规框架,使其企业能够继续快速安全地创新和部署人工智能。 建立符合标准化分类法的人工智能系统和风险缓解措施清单、执行合格评定以及建立人工智能治理系统可以帮助组织实现这一目标。
