趋势与观点 | 制定组织生成式AI政策的关键考虑因素
AI可接受使用政策(AUP)为组织提供了一个道德和负责任地部署人工智能的框架。鉴于生成式AI的快速发展,各组织应提供明确的使用指南,平衡其收益与风险。
当组织希望采用生成式AI时,实施一项对这些工具期望概述的政策是很重要的,概述对使用这些工具的期望。如果没有适当的政策,企业可能在缺失AI工具治理的情况下更容易受到数据泄露和其他安全隐患的影响。然而,ISACA最近对生成式AI的一项研究发现,只有10%的组织制定了正式、全面的生成式AI政策。
什么是AI政策?
要创建有效的生成式AI AUP,了解政策和标准之间的区别很重要。政策是一份用于传达要求和禁止的活动和行为的文件——确立特定的意图。“是什么以及为什么”,反映了组织更广泛的目标、目标和文化。它是一种向员工告知期望的工具,做什么是被允许的,做什么是不被允许的。标准是由外部标准组织批准的强制性要求、实施规范或规范,包含了实现和维护政策意图的规则集。在隐私、道德和数据管理方面,标准非常详细。
以下是所有组织在制定适合自身政策需要考虑的重要因素。
在实施新政策之前:
-
了解生成式AI。除了了解其潜在的应用、风险和收益外,还要确保您了解生成式AI是什么。熟悉最常见的生成式AI模型,如ChatGPT、DALL·E等。
-
评估组织需求:了解您的组织打算如何使用生成式AI,无论是用于内容创建、自动化、数据分析还是其他功能。这将为AUP的条款提供信息。
-
调查监管环境,研究您所在行业和司法管辖区与生成式AI相关的法律和监管要求。这项研究也可能影响有关您的技术环境的决策,包括在公共和私有AI平台之间进行选择。
-
进行风险评估。确定在组织中部署生成式AI的潜在风险。包括技术风险(例如,意外输出)和道德问题(例如,产生误导性信息)。
-
确认可接受的生成式AI的使用目的和范围。政策的目标是什么,涉及的系统范围是什么?明确该政策是仅适用于生成式AI,还是包括其他AI模型。清楚地阐明该政策的界限和意图,无论是确保道德使用、满足法律标准还是对用户进行告知。
-
检查现有的IT和信息安全政策。在创建全新的东西前,检查可能重叠的政策,以确保一致性和清晰度。是否有可以借鉴的语言?现有政策中是否列出了类似的职责和期望?哪些政策可以作为这个政策的模板?
-
让利益相关者参与政策制定。确保所有的利益相关者在这个过程中都有发言权至关重要,既是为了使政策全面可行,也是为了确保遵守法律和道德标准。所涉及的利益相关者的广度和深度将取决于组织背景,例如监管/法律要求、AI的使用范围以及相关的潜在风险(例如伦理、偏见、错误信息)。
-
利益相关者提供技术专长,确保道德一致性,提供法律合规检查,提供实用的运营反馈,合作评估风险,共同定义和执行组织内AI使用的指导原则。关键利益相关者——从高级管理层、法律团队和技术专家到沟通团队、风险管理/合规和业务集团代表——在制定、完善和实施政策方面发挥着至关重要的作用。这些贡献确保了法律合规、技术可行性和与商业和社会价值观的一致性。
-
为内部和外部沟通做好准备。政策是传达给员工和利益相关者的活文件。不仅需要通知组织内的团队政策更新和变化,而且客户和监管机构也希望了解您的组织的预期用途和围绕生成式AI的道德规范和隐私。
-
了解您的技术环境和要求。了解生成式AI解决方案的技术方面,包括模型类型、数据源、偏差和能力。考虑您的组织的需求、法律义务和风险评估,以决定在公共或私有AI平台之间进行选择。
-
运用治理框架。治理框架被视为解决所有权、责任和审计等问题(以及其他问题)的最佳方法,因为它提供了一种结构化的决策方法,并确保管理和监督过程的一致性、透明度和问责制。生成式AI是一项商业举措,因此回答以下问题至关重要: o 谁实际拥有政策? o 谁负责更新政策? o 谁在审核生成式AI? o 谁在确保内部和外部合规性? o 是否建立AI指导委员会监督政策并监控其有效性?
-
保证清晰性:清晰的角色和责任消除模糊性。
-
确保问责制:指定特定实体并对其负责。
-
提高透明度:利益相关者了解关键决策和变化。
-
保持一致性:确保全面统一地处理政策。
-
促进风险管理:帮助识别和减轻潜在风险。
-
建立利益相关者的信任:结构化方法增强人们对系统管理的信心。
-
帮助遵守法规:帮助组织与不断演变的法规保持一致。
-
提供灵活性:在结构化的同时,它可以适应新的挑战或机遇。
采用生成式AI政策时的主要考虑因素:
请注意,UAP应该量身定制,以满足您组织的独特需求。
-
谁受到政策范围的影响?
o 消费者会想知道AI驱动的系统是如何管理他们的信息。监管机构可能会问你是否遵守负责任的AI原则。必须告知员工该政策背后的理由和紧迫性。
o 您的经理、员工和IT部门对应的生成式AI的职责是什么?
-
您的AI系统安全吗?
o 保护AI系统免受未经授权的访问、篡改和滥用。特别是避免AI系统生成一旦被滥用可能有害的内容。
o 在企业内实施生成AI使用之前、期间和之后,必须证明所使用的系统是安全的,并且符合隐私标准。
o 员工不能决定是否与ChatGPT等生成式AI工具共享公司数据。如果组织致力于提供一个安全可靠的环境,那么必须证明所使用的任何AI都有责任避免造成任何类型的伤害。必须为整个组织设定符合企业自身的期望。
o 建立AI输出和系统性能的反馈方法。你是否信任你所使用的系统、它所做的决定,甚至它所生成的内容呢?
-
政策中是否涉及AI道德原则?
o 确保组织中生成式AI的使用不会造成伤害,包括产生或强化破坏性偏见,这一点至关重要。您的组织必须遵守哪些AI道德和原则?
o 重要的是,组织内要有人能够解释这些启用的AI工具或系统是如何做出决策的。保持这些算法的透明性对于维护消费者的数字信任至关重要。
-
良好行为是什么样子的,可接受的使用条款是什么?
o 强调期望和可接受行为与不可接受行为是制定政策的重要考虑因素。例如,AI工具应仅限于与业务相关的目的,同时符合组织的道德和隐私法规。
o 概述AI将如何不被使用与确定可接受的用途同样重要。什么是可接受的,什么是不可接受的取决于你所在的行业。
-
有哪些数据处理和培训指南?
o 在获取数据时,特别是在处理个人数据或敏感信息时,指定指导方针至关重要。例如,强调使用去识别和匿名数据以确保隐私。此外,数据质量也很重要,因为它直接影响输出的准确性和可靠性。
-
该政策将如何鼓励透明度和归属?
o 共享或发布的强制披露的信息是否包含由AI生成内容?鼓励对AI生成的内容使用水印或其他标记。
o 明确组织内部AI生成内容创建和分发责任。概述审查和验证AI输出的程序。
-
您的组织将如何确保满足法律和合规要求?
o 强调遵守当地、国家和国际法律的法律和合规要求,特别是有关版权、数据保护和错误信息的法律要求。
-
涉及哪些限制和风险?
o 承认生成式AI模型的固有局限性。对于哪种情况不能完全依赖AI的输出提供指导,加强人工对AI模型的监督。
-
该政策如何与其他现有政策相联系?
o 关注生成式AI政策与其他现有政策的联系,是让利益相关者全面了解需求和期望的关键。例如,数据隐私和信息安全政策与AI政策有着内在的联系,必须相互支持。利益相关者可以通过点击“获取更多信息”的链接从这些补充政策中受益。
o 生成式AI政策不应孤立存在。由于AI影响着业务的方方面面,因此合作是关键。可以考虑采用综合方法优化政策覆盖的范围。
-
您将如何强调异常处理?
o 如果您的AI政策遇到需要升级或破例的特有情况,流程会是什么样子?在某些情况下,一个通常不被允许使用生成式AI工具的项目或活动需要申请使用——如何判断在这种情况的使用是否被批准?
-
您将如何报告和调查违规行为?
o 为IT部门提供适当的调查工具在报告和调查过程中至关重要。如果涉嫌违反政策,重要的是确保相关方有权审查任何AI通信或生成式AI工具的使用。
o 员工行为准则和HR政策可能概述了对AI违规行为的相关处罚。根据员工违规行为的严重程度——包括是否自己承认或以其他方式揭露其违规行为——员工可能会面临职业发展受阻或终止其职位。
-
谁来审查、管理和审计?
o 明确政策解释权归属,如何管理和审计该政策,以及如何保持其最新状态和按预期运行。鉴于未来几年将发生的变化程度,风险评估和其他形式的支持至关重要。
o 在当前的科技环境中,每个人都对AI感兴趣。这意味着比最初预期有着更广泛的利益相关者基础。
-
如何更新以及何时更新政策?
o 一旦政策发布,通常会被遗忘。为了防止这种情况发生,必须对利益相关者进行培训和宣贯,并且必须不断强调这些知识。
o 如果生成式AI工具的新功能发布,谁将判断这对政策的影响?组织将为员工提供哪些指导,以确保他们相互理解什么是允许的,什么是不允许的?
o 政策应至少每年更新一次,但可能会更频繁,具体取决于您的特定行业和/或组织内发生的事情,尤其是在部署新的AI能力方面。
o 监管环境正在迅速变化,因此请考虑采取适当的措施确保政策足够灵活,能够在不断变化的监管环境中发挥作用。
o 建立一种方法,允许利益相关者对政策提供反馈,滋养持续改进的文化。
访问ISACA的人工智能资源,包括白皮书、审计程序、证书等,请访问https://www.isaca.org/resources/artificial-intelligence.
作者:Mary Carmichael,CRISC,CISA,CPA,ISACA新兴趋势工作组成员
翻译:杨皓然(AdySec),CISSP,CISM,CISA,CDPSE,CRISC,CGEIT,PMP,CCSK,CZTP,CDSP,CCSSP,RHCA,CCNP,ISO27001 Auditor,ISACA微信公众号特邀通讯员,CSA高级会员,ISC2北京分会会员,致力于云安全、零信任、数据安全、安全运营等方向。
校对:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。