在未来 12-18 个月内,组织将面临日益复杂的 AI 合规框架和法规环境。随着 AI 在各个行业的采用加速,全球各国政府都在推进立法以应对其风险和使用。对于安全主管来说,这些框架在治理、风险管理和合规规划方面带来了重大挑战。
在欧盟,《欧盟人工智能法案》标志着一项重要进展,该法案将于 2025 年 2 月开始分阶段推出。与此同时,在美国,监管举措包括拟议的美国证券交易委员会规则和越来越多的州级立法,例如科罗拉多州的《人工智能法案》。据全球律师事务所 BCLP称,美国至少有 15 个州颁布了与人工智能相关的立法,还有更多立法正在制定中。在这些地区之外,中国的监管方法自 2022 年以来一直在迭代,这给全球企业带来了另一层复杂性。
而这仅仅是个开始。除了针对人工智能的特定法规外,《数字运营弹性法案》(DORA)等更广泛的框架还引入了与人工智能使用相关的行业特定要求,特别是在金融服务和其他受监管行业。
对于跨国组织来说,在未来几年里,协调这些重叠且不断发展的法规之间的合规工作将是一项重大挑战。
2025 年 2 月:欧盟人工智能法案开始实施
与 GDPR 类似,欧盟 AI 法案将分阶段实施。第一个里程碑是2025 年 2 月 2 日,届时在欧盟运营的组织必须确保参与 AI 使用、部署或监督的员工具备足够的 AI 素养。此后从 8 月 1 日起,任何基于GPAI 标准的新 AI 模型都必须完全符合该法案。与 GDPR 类似的是,不合规行为将面临巨额罚款——3500 万欧元或全球年营业额的 7%,以较高者为准。
虽然这一要求表面上看似可控,但许多组织仍处于定义和正式化其 AI 使用政策的早期阶段。在我与安全和合规负责人的对话中,很少有人表示已实施可执行的政策来管理内部 AI 的使用,更不用说向外部监管机构证明其合规性了。
这一阶段凸显了安全意识培训计划的更广阔机会,可以超越传统的网络钓鱼模拟等练习。例如,动态和自动化的培训任务(KnowBe4 等平台已经采用的模型)可以帮助组织确保员工能够理解和减轻与人工智能相关的风险。
高风险应用和人工智能资产清单的挑战
欧盟《人工智能法案》的后期阶段预计将于 2025 年底至 2026 年实施,届时将对禁止和高风险的人工智能应用提出更严格的要求。对于组织而言,这将带来一项重大的治理挑战:保持对人工智能资产的可见性和控制力。
影子 IT 的概念(员工未经批准使用未经批准的工具)并不新鲜,但生成式 AI 工具加剧了这一问题。与传统软件相比,AI 工具对最终用户往往更具吸引力,他们可能会绕过控制措施来利用他们所认为的生产力优势。结果就是“影子 AI”的兴起,未经批准或嵌入的 AI 功能在没有安全监督的情况下被使用。
跟踪独立生成式 AI 工具(例如 ChatGPT 或 Claude)的使用情况相对简单。然而,在处理在后端集成 AI 功能的 SaaS 平台时,挑战会变得更加严峻。包括 Gartner 在内的分析师将此称为“嵌入式 AI”,其普及使得维护准确的 AI 资产清单变得越来越复杂。
如果美国证券交易委员会的拟议法规在美国颁布,人工智能资产管理将变得更加重要。组织将需要实施强大的流程来盘点、监控和管理其环境中的人工智能系统。
了解人工智能用例:超越工具跟踪
欧盟人工智能法案等框架变得更加复杂的地方在于它们关注的是“高风险”用例。合规性要求组织不仅仅识别正在使用的人工智能工具;他们还必须评估这些工具的使用方式、共享的数据以及人工智能正在执行的任务。
例如,员工使用生成式 AI 工具总结敏感的内部文件与使用相同工具起草营销内容的风险截然不同。随着 AI 的使用范围不断扩大,组织必须详细了解这些用例,以评估其风险状况并确保遵守法规。
这不是一项小任务。开发监控和管理全球企业 AI 用例的能力将需要大量资源,尤其是随着法规在未来 12-24 个月内日趋成熟。
欧盟人工智能法案:更大治理难题的一部分
对于安全和合规领导者来说,欧盟人工智能法案只是将在 2025 年占据主导地位的更广泛的人工智能治理难题的一部分。无论身处何地,组织都将面临越来越大的压力来了解、管理和记录其人工智能部署。
未来 12-18 个月,安全、合规和技术团队需要持续关注并通力协作,才能领先于这些发展。虽然挑战巨大,但积极主动的组织有机会构建可扩展的 AI 治理框架,以确保合规性,同时实现负责任的 AI 创新。
成功的三个步骤
随着全球监管势头的加速,今天的准备对于避免明天的混乱至关重要。以下是组织今天可以做的事情:
- 建立 AI 委员会——如果你还没有,那就组建一个跨职能团队来应对 AI 挑战。这应该包括治理代表,也包括安全和业务利益相关者
- 获得可见性——了解您的员工正在使用什么以及他们使用它来做什么
- 培训用户了解人工智能及其风险