从理解AI在企业环境中的含义,到确保合规性,再到不忘第三方所扮演的角色,以下是制定AI政策时需要牢记的十个关键点。
GenAI的流行给企业带来了一个棘手的局面。一方面,这是一种具有降低成本和增加收入潜力的颠覆性技术,另一方面,AI的滥用可能会颠覆整个行业,引发公关灾难、客户和员工的不满,以及安全漏洞。更不用说在失败的AI项目上浪费的大量资金了。
研究人员对于企业从AI投资中获得的回报意见不一,但调查显示,GenAI在更多业务用例中的采用率有所提高,并且从试点项目转向生产项目的数量稳步增长。Zscaler在3月底发布的一份AI安全报告显示,企业AI活动增加了3464%。
但随着人们越来越意识到GenAI的潜力,对其风险的认识也在增强。例如,据Zscaler称,企业目前会阻止60%的AI交易,其中ChatGPT是被阻止最多的单个应用程序。原因何在?据Zscaler报告,仅ChatGPT就遭到了约300万次用户尝试上传敏感数据的攻击。
一份经过深思熟虑的AI使用政策可以帮助公司设定风险和安全的标准,保护客户、员工和公众,并帮助公司聚焦于最有前景的AI用例。“如果不以负责任的方式拥抱AI,实际上是在降低你在市场上的竞争优势。”管理咨询公司AArete的技术服务集团负责人、董事总经理布如古·潘格说道。
根据就业与劳动法事务所Littler对300多名高管进行的调查,截至2024年9月,42%的公司已经制定了AI政策,而一年前这一比例仅为10%,另有25%的企业目前正在制定AI政策,19%的企业正在考虑制定。
如果你仍在制定AI政策——或者正在更新现有政策——以下是你的政策应该涵盖的十个关键领域。
明确AI的定义
不同的人对AI有不同的理解。搜索引擎、语法检查器和Photoshop等工具中都有AI的存在。几乎每个企业供应商都在忙着将AI功能添加到他们的平台上。甚至一些几乎没有任何智能的东西也被重新包装成AI,以吸引关注和资金。
在讨论风险、益处和投资时,有一个关于AI的共同定义是很有帮助的。
美国国际集团(Aflac)全球CISO特蕾·拉德纳表示,Aflac于2024年初开始根据其现有的政策框架制定其官方AI政策。Aflac并不是唯一一家意识到AI可能是一个非常模糊概念的公司。
信诺金融集团(Principal Financial Group)的CIO凯西·凯表示,他们也不得不为AI制定一个明确的定义,因为他们很快就意识到,人们对AI的看法各不相同。该公司不得不为AI在公司上下文中的含义制定一个定义,以便在讨论AI时,大家都能保持一致。
而且,由于不同的人对AI可能有不同的理解,因此在讨论中纳入各种观点是很有帮助的。
听取所有利益相关者的意见
在Aflac,安全团队率先制定了公司的AI政策。但AI不仅仅是安全问题。“也不仅仅是法律问题,”拉德纳说,“也不仅仅是隐私问题或合规问题。你需要把所有利益相关者都聚集起来。我还强烈建议,你的政策应该得到某种管理委员会或机构的批准或认可,这样它才有你需要的约束力。”
AI政策必须服务于整个公司,包括各个业务部门。
在信诺金融集团,凯表示,她和公司的首席合规官是AI政策的执行发起人。“但我们还有业务部门代表、法律部门、合规部门、技术人员,甚至人力资源部门也参与其中,”她补充道,“大家一起学习,你可以把你想实现的成果协调一致。”
安舒尔软件公司(Intuit)也组建了一个多学科团队来制定其AI政策。这有助于该公司制定全公司的治理政策,并涵盖法律要求、行业标准和最佳实践,据安舒尔软件公司的副总裁兼副总法律顾问丽莎·莱维特表示。“该团队包括数据隐私、AI、数据科学、工程、产品管理、法律、合规、安全、伦理和公共政策方面的专家。”
从企业的核心价值观出发
AI政策需要以企业在道德、创新和风险方面的核心价值观为基础。“不要只是为了满足合规检查而制定政策,”网络安全公司谢尔曼(Schellman)的首席执行官阿维尼·德赛说,“建立一个对每个人来说都坚韧、道德、值得信赖和安全的治理框架——而不仅仅是为了制定一份无人问津的政策。”
以核心价值观为出发点将有助于制定AI政策的其他部分。“你想要制定明确的指导方针,”德赛说,“你希望从上到下每个人都同意,AI必须以负责任的方式使用,并且必须与商业道德保持一致。”
有了这些原则,也将帮助公司走在监管的前面。
符合监管要求
根据咨询公司Gartner的说法,到2027年,AI治理将成为全球所有主权AI法律和法规的要求。
目前最大的AI监管法规是欧盟的《AI法案》。“《欧盟AI法案》是我所见过的涵盖所有内容的唯一框架,”谢尔曼公司的德赛说道。它适用于所有在欧盟境内提供产品或向欧盟公民提供产品的国家。
该法案规定了所有大型企业需要遵循的某些最低标准。她说:“这与《通用数据保护条例》(GDPR)的情况非常相似。美国公司不得不遵守,因为他们无法区分欧盟数据和非欧盟数据。你不想只为欧盟数据建立一个新系统。”
GDPR并不是唯一适用于其他国家的法规,世界各地还有许多与数据隐私相关的法规,这也与AI部署相关。当然,还有针对特定行业的数据隐私规则,如医疗保健和金融服务行业。
一些监管机构和标准制定机构已经开始研究如何更新其针对GenAI的政策。“我们大量参考了专门针对保险公司的美国国家保险专员协会(NAIC)发布的指导,”Aflac的拉德纳说,“我们想要确保我们掌握了NAIC规定的指导方针和保障措施,并确保它们已经到位。”
制定明确的负责任使用指南
员工可以使用公共AI聊天机器人,还是只能使用安全、公司批准的工具?业务部门能否创建和部署自己的智能体?人力资源部门能否启用和使用其人力资源软件中的新AI功能?销售和营销部门能否使用AI生成的图像?人类是否需要审查所有AI输出,或者仅对高风险用例进行审查?
这些都是公司AI政策中负责任使用部分所涉及的问题,具体取决于企业的特定需求。
例如,在信诺金融集团,AI生成的代码需要经过审查,凯说。“我们不是把代码直接投入使用。中间会有一个人工环节。”同样,如果该公司为面向客户的员工构建了一个AI工具,那么也会有人工检查输出结果,她说。
采取基于风险的方法来应对AI是一个不错的策略,普华永道数据风险与隐私主管罗汉·森(Rohan Sen)表示。“你不希望过度限制低风险的内容,”他说。“如果你使用Copilot来转录采访,那风险相对较低。但如果你使用AI来做贷款决策或决定保险费率,那影响会更大,你需要提供更多的人工审核。”
别忘了第三方的影响
如果因AI相关问题而出了差错,公众才不会关心这是否不是你的错,而是供应商或承包商的错。无论是数据泄露还是违反公平借贷法,最终责任都会落在你身上。
这意味着AI政策不能仅仅覆盖公司内部系统和员工,还要覆盖供应商的选择和监督。
一些供应商会提供赔偿和合同保护。避免供应商锁定也有助于降低第三方风险。如果供应商违反了客户的AI政策,可能会很难更换。
在选择AI模型提供商时,从一开始就保持模型中立将有助于管理这一风险。这意味着,而不是将某一种AI硬编码到企业工作流程中,而是灵活选择模型,以便日后可以更改。
这确实需要在前期做更多的工作,但除了降低风险外,还有其他业务好处。“技术在不断变化,”普华永道的森说,“你无法确定两年后哪种模型会更好。”
建立明确的治理结构
制定明确预期的AI政策只是成功的一半,但如果政策没有阐明如何执行,那么它也不会特别有效。
根据2024年Gartner的一项调查,Gartner分析师劳伦·科努蒂克(Lauren Kornutick)表示,只有45%的企业在AI治理成熟度方面达到了其AI政策与运营模式相一致的水平。“其余的企业可能制定了可接受使用的政策,或制定了负责任的AI政策,但尚未在整个企业中有效执行。”她说。
谁来判断某个特定用例是否符合公司的指导原则,以及谁来执行这一决定?
“政策很好,但还不够,”她说。“我经常从我们的首席信息安全官和隐私官那里听到这一点。”她说,把这个问题弄清楚很有价值。在技术部署方面,在这方面做得有效的公司比其他公司领先12%。
捷配集团首席技术和创新官圣吉夫·沃拉(Sanjeev Vohra)表示,第一步是弄清楚公司当前已经在使用哪些AI。“许多公司并没有全面盘点其AI的使用情况。这是我们建议的第一步,你可能会惊讶于这一步要花多少时间。”
利用技术确保合规
检查AI政策是否得到遵守的一种方法是使用自动化系统。“我们正在看到支持政策执行的技术出现。”Gartner的科努蒂克说。
例如,AI驱动的工作流程可以包括一个手动审查步骤,由人类参与进来检查工作。或者,可以使用数据防丢失工具来确保员工不会将敏感数据上传到公共聊天机器人。
“我合作的每个客户都具备监测能力,可以看到数据外泄的情况,看到哪些数据被下载到了他们的环境中,并且他们有方法可以阻止访问未经批准或对企业构成风险的网站,”普华永道的首席AI官丹·普里斯特(Dan Priest)说。“风险是真实存在的,但有合理的方法来管理这些风险。而如果这些风险大量出现,你需要在架构层、政策层和培训层激活应对措施。”
就像公司需要在AI偏离轨道时采取技术措施一样,AI政策也需要包括在问题更大时采取事件响应措施,以及在员工、客户或业务合作伙伴故意或意外违反政策时采取管理响应措施。
例如,某个部门的员工可能会经常忘记在将文档发送给客户之前进行审查,或者一个业务部门可能会建立一个忽视数据隐私或安全要求的影子AI系统。
“你应该联系谁?”谢尔曼·德赛(Shellman’s Desai)问道。
需要有流程和培训,以确保有人负责处理违规行为,并有权力纠正问题。而如果整个AI流程都存在问题,则需要有一种方法可以在不损害公司的情况下关闭系统。
计划应对变化
AI技术发展迅速。这意味着,公司制定的AI政策中的很多内容需要定期审查和更新。
卡内基梅隆大学教授拉伊德·加尼(Rayid Ghani)说:“如果你制定了一项没有结束日期的政策,那你就是在伤害自己。”这可能意味着某些条款每年都会审查,或者每季度审查一次,以确保它们仍然适用。
“在制定政策时,你必须标记出那些可能发生变化并需要更新的内容,”他说。这些变化可能是技术进步、新的业务需求或新的法规造成的。
归根结底,AI政策应该推动创新和发展,而不是阻碍它们,安永合伙人辛克莱·舒勒(Sinclair Schuller)说。“无论是首席执行官还是首席安全官,都应该表明,‘我们将制定一项AI政策,以支持你们采用AI,而不是阻止你们采用AI’,”他说。
