趋势与观点 | IT审计师需要了解的欧盟人工智能法案

人工智能(AI)的监管环境在短期内经历了飞速且颠覆性的演变。这种加速的变化可归因于多种因素的融合,包括人工智能技术的快速发展,人们对使用人工智能涉及伦理问题的日益认识,以及主动减轻人工智能系统部署中潜在风险的迫切需求。

例如:

  • 中国的《生成式人工智能服务管理暂行办法》已于2023年8月15日生效。
  • 英国发布《促进创新的人工智能监管方法》白皮书,旨在平衡监管和与人工智能相关的创新。
  • 经济合作与发展组织(OECD)于2019年正式通过了首部人工智能的政府间政策指导方针(非约束性)。
  • 欧洲委员会于2021年4月21日提出了《人工智能法案》(AI Act),目前正在欧洲议会和欧盟理事会等欧盟机构进行修订和讨论。

欧洲委员会提出的人工智能法案被认为是人工智能领域的基准法规。通过仔细研究这项法案的细节,IT审计师和其他信息安全专业人员可以更好地了解它将如何影响他们未来的工作。

人工智能立法:了解人工智能法案

人工智能法案是一个全面的法律框架,基于人工智能系统对人类健康、安全和基本权利的风险等级,对其在欧盟的开发、部署和使用进行监管。

人工智能法案的主要目标是,通过为欧盟创造发展和使用可信赖的人工智能系统的条件,确保欧洲单一市场的正常运作。人工智能法案还旨在促进人工智能领域的创新和竞争力,同时确保人工智能系统遵守欧盟的价值观和规定。

基于风险的方法

人工智能法案提出了一种基于风险的方法和横向监管的具体措施。它将人工智能系统分为四个风险等级:不可接受的风险、高风险、有限风险和轻微风险(图1)。

不可接受的人工智能系统是指那些侵犯人类尊严的系统,例如操纵人类行为或者利用其弱点的系统。这些系统在欧盟禁止开发、上市和使用。

高风险的人工智能系统是指对健康、安全或基本权利构成重大风险的系统,例如用于生物识别、招聘、信用评分、教育或医疗等领域的系统。高风险的人工智能系统必须遵守严格的数据质量、透明度、人工监督、准确性、稳健性和安全性规定。在上市或投入使用之前,系统还必须进行合规评估。

有限风险的人工智能系统是指对用户或消费者带来一定风险的系统,例如那些生成或操纵内容或提供聊天机器人服务的系统。有限风险的人工智能系统必须向用户提供清晰的信息,包括其性质和目的,并允许用户选择不使用它们。

轻微风险的人工智能系统指的是没有或几乎没有风险的系统,例如用于娱乐或个人目的的系统。这些低风险的人工智能系统遵守自愿性的行为准则和最佳实践。

治理结构

人工智能法案还旨在建立一个治理结构,以实施和执行其规则。其中包括一个欧洲人工智能委员会(EAIB),该委员会将就人工智能法案的各个方面提供指导和建议,如统一标准、行为准则和风险评估方法。

根据该法案,“该委员会应反映人工智能生态系统的各种利益,并由成员国代表组成。”

EAIB还将促进各国主管机关之间的合作与协调,这些机关将负责监督和监管其各自领土上对人工智能法案的遵守情况。

对于不遵守规定的行为,将采取制裁措施和补救措施,例如对严重违规行为处以高达年度全球营业额的6%或3,000万欧元(以较高者为准)的罚款。

人工智能法案是一项具有里程碑意义的立法,对欧盟及其他地区的人工智能系统的发展和使用将产生重大影响。它体现了欧盟成为人工智能可信和道德全球领导者的雄心,同时促进了人工智能行业的创新和竞争力。

创新支持

在欧盟的人工智能法案中,欧洲委员会还提议建立一个监管沙盒(即一个控制环境,促进创新人工智能系统的开发、测试和验证)。

沙盒环境将允许组织和个人在不满足欧盟《通用数据保护条例》(GDPR)要求的情况下促进人工智能创新。然而,这只允许在有限的时间内进行。

结论

人工智能法案与IT审计和信息安全专业人员相关,因为它为人工智能系统的开发、部署和监督建立了规则和标准。人工智能法案还建立了一种基于风险的人工智能治理方法,根据人工智能系统对人权、安全和基本价值观的潜在影响,提出了不同程度的要求。

IT审计师和信息安全专业人员应该熟悉人工智能法案的主要条款和要求,并评估它们将如何影响涉及人工智能系统的当前和未来项目。从业人员必须持续关注所有人工智能法规的发展,以确保适当的控制与监管要求保持一致。

编者按:本文于2023年9月6日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。

作者:JAI SISODIA是一家全球性银行的IT、网络和隐私审计主管。

翻译:吴梦庭(TIFFANY WU),ISACA微信公众号特邀通讯员

校对:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。