法律、合规和隐私热点

Gartner法律、风险和合规负责人 法律、合规和隐私热点 ©2023Garter,Ic.和/或其附属公司。保留所有权利。Garter是Garter,Ic.的注册商标。或其附属公司。此演示文稿，包括所有支持材料，均为Garter,Ic.专有。和/或其附属公司，并仅供预期接收者内部使用 。由于此演示文稿可能包含机密、专有或其他受法律保护的信息，未经Garter公司明确书面许可，不得进一步复制、分发或公开展示。或其附属公司。 Objectives Gartner法律、合规和隐私风险热点阐明了法律和合规领导者在未来24个月内应预期的主要风险趋势和机会。该报告可用于: 评估未来需求-将当前功能和结构与推动未来法律、合规和隐私需求的趋势进行比较。 教育董事会和高管-对审计委员会或董事会进行有关影响您的业务的趋势的教育， 合规性和隐私影响将影响监督责任和组织绩效。 通知法律、合规和隐私规划-指导团队讨论，制定2024年和2025年计划，并针对最重大的风险分配资源。 评估关键风险- 使用该报告评估热点的影响如何影响您的风险状况，作为法律 、合规性和隐私风险评估的输入。 为了帮助法律领导者了解当前环境中出现的风险和机遇，我们在本报告中确定了12个趋势为热点。该报告重点关注到2025年底这些趋势的影响，以及领导者需要采取的行动项目，以更好地准备法律、合规和隐私功能来应对。 尽管个别热点可能会或多或少地影响某些行业，市场或地区，但所有热点都广泛地应用于行业和公司运营模式。这12个热点构成了三个宏观趋势，这些趋势将在未来两年内对法律，合规性和隐私团队产生重大影响。 1.生成AI的到来 能力和可用性的提高促使公司广泛采用GenAI。但是 ，在开发AI法规的同时，不确定性和不可预见的风险比比皆是。企业将不得不应对这些挑战，以确保在道德和法律上使用这项强大的新技术。 ……的组织目前在生成人工智能的探索模式。1 2.对公司透明度和公平性的需求不断增长供应链可持续性，企业公民意识差，对关键基础设施脆弱性的担忧以及对反竞争力的担忧正在为公 司在新领域收集和报告ESG指标提出新的要求。法律领导者必须在准备公司以满足未来几年的这些新要求方面发挥领导作用。 ...美国人同意公司需要 披露更多关于他们的商业惯例 和对社会的影响。2 3.社会破裂对企业的影响 更大的社会两极分化以及由自由贸易规范和共同制度所支撑的基于规则的全球秩序的磨损给企业带来了更大的挑战。应对这些破裂的商业领袖被迫与“零和情况”作斗争，在这种情况下，来自不同社会和政府利益相关者的公司期望处于直接冲突中。 ...全球范围内的个人说他们的国家更加分裂比过去 。3 类别 热点 Implications 生成AI的到来 快速生成AI采用 •对新风险的可见性有限•对AI治理的投资需求日益增长•员工对可接受使用的缺乏清晰度•扩展重复任务的新机遇 生成AI对IP保护的威胁 •第三方数据滥用的风险增加•意外版权和专利侵权的风险增加•监测和调整风险管理流程的需求增加•IP泄漏的放大负面影响 新兴的全球AI监管制度 •需要平衡合规性可扩展性和灵活性•需要确定合规框架的时间•更需要澄清AI治理•新的风险管理义务 更大的技术技能竞争 •需要重新思考人才招聘策略•增加内部技术伙伴关系的价值•内部技能发展的新机遇•重新评估工作量分配的压力 类别 热点 Implications Demands用于数据驱动的法律和合规计划 不断增长的公司自我监管压力 •需要制定基于合规的绩效激励措施•改变官员的监督角色•证明合规计划有效性的压力增加•提高员工报告的重要性 日益复杂的并购环境 •交易的较高风险门槛•可预测的监管瓶颈•更需要一致的沟通•增加尽职调查的时间和精力 法律和合规在网络安全中的新兴作用 •第三方风险管理对网络安全的重视•需要更严格的数据泄露规划•对董事会网络安全知识的需求增加•需要防御性网络安全治理和风险流程 个人同意标准的演变 •政策标准化和灵活性之间的张力增加•建立同意的更高阈值•增强对管理同意和个人数据的业务预期•更换不符合数据源的压力更大 类别 热点 Implications 社会破裂的影响 扩展ESG第三方报告要求 •对来自外部数据源的指标的依赖增加•更需要设定第三方的可持续发展预期•合规性工作负载的复杂性增加•第三方筛查的扩展要求 扩大地缘政治的公司影响 •可预测的风险环境•不灵活的供应链风险增加•有效的董事会监督地缘政治风险暴露的压力•法律在应急计划中的更大作用 员工人际冲突的文化影响与日俱增 •需要了解对伦理文化的影响•需要加强道德沟通和培训•更模糊的不当行为所有权•有效解决不当行为的信任减弱 不同的DEI期望 •与DEI相关的风险加剧•法律标准冲突的患病率增加•对DEI计划的法律辩护性的需求增加•协调DEI消息传递的需求增加 研究摘录： 生成AI的到来 受限分布 7©2023Gartner,Inc.和/或其附属公司。保留所有权利。 驱动程序 •增加可达性和易用性： 虽然GenAI工具变得更加强大 近年来，非技术专业人员在可用性和可访问性方面的巨大飞跃增加了采用率。 •GenAI产品的扩散：包括谷歌、微软和IBM在内的最大的企业软件提供商已经投资构建基础模型，目前正在将GenAI集成到他们的服务中。到2026年，超过70% 的独立软件供应商将在其企业应用程序中嵌入GenAI功能。7 •提高生产力的愿望：GenAI承诺自动化一些工作流，同时增强个人的工作速度和质量。到2026年，超过80％的公司将在生产环境中使用GenAIAPI，模型和/或部署支持GenAI的应用程序。8 GenAI工具的复杂性和可用性的快速发展将促使公司在未来几年内迅速广泛采用。OpenAI的ChatGPT3.5于2022年11月推出。其简单的用户界面和令人印象深刻的响应用户提示构建自然语言文本的能力使其成为增长最快的 应用程序永远。4用于视觉输出的DALL-E和用于语音音频的Voicebox等工具显示出同样令人印象深刻的结果。 尽管许多AI工具适用于狭窄的应用程序，但GenAI能够响应简单的用户提示提供合成文本、音频或视频输出的能力可用于各种业务任务。 Gartner的研究表明，72%的公司已经在使用GenAI，其中45%的公司在两个以上的业务职能中使用它。5 虽然这项技术的快速采用是有希望的，但它带来了新的 法律和隐私风险。GeAI输出是不完美的，通常会放大用于训练模型或输出捏造信息的数据集中存在的偏差。此外，输入个人数据或敏感信息的用户，特别是在公开可用的工具中，会使公司面临知识产权、隐私风险或网络攻击。虽然68%的公司已经拥有一个管理人工智能隐私、安全和/或风险的工作组，但法律领导者将需要引导这种治理，以更好地管理法律风险，并提高对GeAI使用的可见性，而不会对业务造成不必要的拖累或扼杀创新。6 按行业划分的生成式AI用例 频率:甚高高中 低无 Total 银行和证券 通信、媒体和服务 IT Education 政府 医疗保健 保险 制造业和自然资源 Pharma Retail 交通运输 Utilities 内容创建 代码视频和图像音频广告解决方案文本 对话式AI AI头像 虚拟助手 Simulation 药物发现 内容发现 搜索引擎优化数据和分析 Total n=80 来源：Gartner 法律、合规性和隐私影响 对新风险的可见性有限 对AI治理的投资需求日益增长 •易于采用，在整个业务中的广泛适用性以及GenAI工具对不同任务的灵活性意味着高风险用途可以轻松地在保证合作伙伴的雷达下飞行。 •检测和管理这些风险的新流程将需要时间来开发和推出，从而使业务在过渡期间面临风险。同样，限制风险的净新义务将给员工带来额外的负担，可能会限制员工的吸收并降低其有效性。 •相反，法律领导者应该调整现有的、完善的和广泛分布的风险监测和管理实践，以有效地管理这些风险。 •随着GenAI工具变得越来越普遍，对负面结果的问责不力可能会导致滥用，进而导致不可接受的法律和隐私风险。 •However,formostcompanies,governanceofAIwillnotfitneatlyintoexistingfunctionalorganizationalstructures.Whateless,theexpertisenecessarytoeffectivelygovernanceGenAIusagemaybespreadedthroughthecompanyormaynotexistatall. •法律领导者必须明确记录GenAI批准、政策管理、风险管理和培训的角色和责任。 员工对可接受使用的缺乏清晰度 扩大重复性法律任务的新机遇 •大部分员工滥用GenAI不会是故意的，而是由于对公司使用GenAI的规则不熟悉。 •为了解决这个问题，法律领导者可能会倾向于采取保守的方法。过度限制的政策或彻底的禁令会激励员工在个人设备上“影子使用”这些工具。 •相反，法律领导者必须与高层领导合作，以“必须避免结果”，禁止用例或建立控制措施，以最大程度地减少这些结果的可能性，并在政策和指南中支持可接受的用例。 •GenAI产生自然语言输出的能力适用于法律团队的多个部门用途。这有可能最大限度地减少律师在低价值工作上花费的时间。 •法律部门将能够利用GenAI工具执行耗时且重复性的任务，例如进行法律研究，起草合同和制作立法摘要。但是，由于GenAI输出通常包含错误，因此法律领导者必须确保对输出进行准确性审查。 •法律领导者应将工作流程解构为单独的任务，并测试GenAI自动化或增强重复性，耗时的任务，涉及书面可交付成果的生产。 受影响的风险区域：消费者保护/产品安全;信息获取;劳动和就业;法律;隐私;监管;第三Party 关键利益相关者的问题 主板和C-Suite •GenAI的使用如何符合我们未来五年的战略？ •作为一家公司，我们愿意通过使用GenAI承担多大的风险？ •在使用GenAI时，我们必须避免哪些负面的声誉、法律和道德结果？ IT或数据和分析 •您的团队在多大程度上跟踪公司内部的GenAI使用情况？ •我们现有的GenAI工具原生开发指南是什么，我们有哪些控制措施来降低风险？ •我们的法律和/或合规团队如何从设计阶段为GenAI工具的开发提供最佳支持，以最大程度地减少负面影响或施加附加控制的需要？ 业务合作伙伴、职能合作伙伴和员工 •贵公司的员工使用GenAI的情况如何？ •在接下来的六个月到两年里，你有什么计划在你的公司里利用 GenAI？ •我们制定的政策在多大程度上回答了您关于适当使用GenAI的问题？ •关于在您的角色中适当使用GenAI的问题，您与谁联系？ 行动步骤 颜色编码为与前一页上的含义对齐 修改隐私影响评估的数据清单和处理活动(ROPA)记录，以跟踪GenAI的使用情况。 建立跨职能指导委员会，或修改现有委员会的任务，以调整与AI治理相关的角色和责任。 对GenAI输出进行强制人工审查，禁止将企业IP或个人信息输入ChatGPT等公共工具，并要求在任何面向公众的输出上明确说明GenAI的来源。 在政策指南中包括禁止和可接受的GenAI用法的真实示例。当政策中更新禁止使用的列表时，提醒员工。 将弹出窗口直接嵌入到GenAI工具中，要求员工证明他们没有将这些工具用于特定的受限用途。定期更新受限用例列表 。 为法律团队制定内部试点计划，以使用GenAI工具执行低风险或内部项目的法律研究和合同起草等任务。 关键风险指标 •ROPA或个人数据清单中列出的GenAI项目数量 •在企业级战略或功能计划中采用GenAI的拟议时间表的长度 •在发布或使用之前经过人工审查的AI输出的百分比 •经过影响评估的GenAI使用百分比 •公司内使用高风险GenAI的数量 驱动程