2025年从原则到实践：在动态监管环境下负责任的人工智能报告

人工智能治理和合规工作组永久的官方网址是：https:/cloudsecurityalliance.org/research/working-groups/ai-governance-compliance ©2025云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 报告中文版支持单位 北京数安行科技有限公司（简称：数安行）是一家数据安全厂商。公司主营产品涵盖数据分类分级、数据安全沙箱、下一代数据泄露防护、数据安全检查、数据安全风险态势感知、数据安全风险监测与风险评估、数据合规与隐私保护、数据运营安全等，主要为政府、军队、企事业单位提供数据运营安全产品和服务。数安行以DataSecOps为理念，以AI人工智能技术为核心驱动，将数据安全左移，在数据处理的第一现场对数据采取安全措施，平衡业务与安全，打造以数据运营为核心的数据安全生态体系，助力数字化转型，致力于让用户的数据安全地创造价值。公司核心团队拥有20余年产研和市场服务经验，技术积累雄厚，服务于能源、电力、金融、运营商、教育、高端制造、软件与信息技术服务、互联网、医疗、政府、军队军工等各行业客户。 报告英文版编写专家 主要作者 JanGerstAshishVashishthaGauravSinghKenHuangFrederickHänigDirceHernandezTolgayKizilelma,PhDSauravBhattacharyaMichaelRozaGabrielNwajiakuVaniMittalMeghanaParwateDesmondFooLarsRuddigkeitMadhaviNajana MariaSchwengerLouisPinault 参与编辑 ArpithaKaushikBhuvaneswariSelvaduraiJosephMartella 审稿人 AlanCurranMScUdithWickramasuriyaPiradeepanNagarajanRakeshSharmaGaetanoBisazHongtaoHao CSA全球工作人员 RyanGiffordStephenLumpe 目录安全声明..........................................................8前瞻性声明和人工智能的发展前景....................................8文档摘要..........................................................9执行摘要.........................................................10引言............................................................11范围和适用性.....................................................121.生成式人工智能法律和监管的重点领域............................141.1数据隐私和安全............................................141.2通用数据保护条例(GDPR）（欧盟）...........................141.3《加州消费者隐私法案》/《加州隐私权法案》(CCPA/CPRA)......171.4欧盟人工智能法案(EUAIAct/EIAA)..........................221.5《医疗电子交换法案(HIPAA)》...............................312.如何应对生成式人工智能的幻觉对数据隐私、安全和伦理的影响......362.1国土安全部政策声明139-07对生成式人工智能的影响............372.2联邦贸易委员会政策宣传与研究指导:.........................372.3美国白宫管理和预算办公室（OMB）在联邦机构使用人工智能的治理、创新和风险管理的政策..........................................382.4拜登总统关于安全、可靠和负责任地开发和使用人工智能的行政令403.非歧视与公平..................................................413.1部分现行反歧视法律法规....................................413.2监管方面的挑战............................................443.3监管重点和技术............................................453.4新兴监管框架、标准和指南..................................483.5安全、责任和问责..........................................513.6知识产权..................................................544.负责任人工智能的技术战略、标准和最佳实践......................604.1公平与透明度..............................................60 4.2安全与隐私................................................614.3鲁棒性、可控性和合乎伦理的人工智能实践....................624.4组织如何利用这些标准......................................634.5负责任的生成式人工智能的技术保障（数据管理）..............644.6案例研究--在实践中展示透明度和问责制......................665.持续监测与合规................................................686.管理生成式人工智能的法律与伦理考量............................697.结论：填补人工智能治理空白，实现负责任的未来..................69 安全声明 本文仅供参考，不构成法律建议。 本研究文件由云安全联盟编写，探讨了当前围绕人工智能的监管治理情况。虽然本文涉及各种法律和监管框架，但必须强调的是，所提供的信息不适用于任何特定情况的法律指导。 人工智能的监管环境正在迅速演变，法律法规的解释和应用会因各种因素而存在很大差异，这些因素包括： ●管辖范围（国家或地区） ●具体的情景（如行业、应用场景等） ●具体的人工智能技术或应用 因此，云安全联盟和本文作者强烈建议，如果有任何与人工智能开发、部署或使用相关的法律层面的问题或疑虑，应单独寻求法律顾问的意见。 前瞻性声明和人工智能的发展前景 本文包含了一些可能具有前瞻性的陈述。为确定其适用性，我们鼓励向相关的国家监管机构和法律顾问寻求指导。需要注意的是，这些陈述是作者和云安全联盟基于当前的知识和预期所做，受固有风险、不确定性和假设的影响，部分陈述可能与实际结果存在差异。 以下是可能影响人工智能领域未来发展和相关监管环境的一些重要因素，也是可能影响本文件中前瞻性陈述准确性的因素所在： ●技术的快速进步：人工智能领域不断发展，新的技术和应用层出不穷，很难预测这些技术进步的确切轨迹及其对人工智能监管各方面的影响。 ●监管框架的不确定性：对人工智能的监管方法仍在开发，不同管辖范围内对人工智能开发、部署和使用的具体规定可能存在较大差异，并可能随着时间的推移而发生变化。 ●新兴的伦理考量：随着人工智能应用变得越来越复杂，可能会出现新的伦理考量，促使更多有关负责任的开发和使用这些技术的法规或指导原则出台。 ●经济和社会因素：整体经济环境和对人工智能的社会态度，可能会影响新技术的开发、采用及监管环境。 这些关于前瞻性的陈述仅反映作者和云安全联盟本文件发布之日的观点，作者和云安全联盟不承担更新或修改本文档中任何前瞻性陈述以反映未来事件或情况的任何责任。请读者不要过度依赖这些陈述。 文档摘要 本文围绕人工智能和生成式人工智能（GenAI）的法律和监管环境论述。主要强调了生成式人工智能在复杂多变的环境中面临的挑战，这些挑战源于生成式人工智能自身的多样化应用、全球监管机构采取的不同监管方法，以及对现有规定的延迟适应。 本文旨在为各组织提供基本知识，帮助其从根本上了解自身的现状，并为他们在快速变化的负责任、合规地使用人工智能方面的需求提供指导。本文探讨了部分现行法规，并阐述了在地区、国家和国际层面开发和部署负责任的人工智能的注意事项和最佳实践。 本文高度概括了当前人工智能（包括生成式人工智能（GenAI））的法律和监管情况。虽然内容并非详尽无遗，但对于组织来说，这是一个了解自身现状并确定负责任和合规的使用生成式人工智能应该考虑哪些关键因素的起点。 由于技术的不断进步以及法律和政策环境的演变，提供一份完整的概述是具有挑战性的。因此，我们建议将这些信息作为了解不断演变的人工智能法规和监管机构的基础。重要的是要意识到，人工智能法规来自全球各级政府和司法管辖区。此外，尽管数据隐私和反歧视法规等法律不是专门为人工智能设计，但这些法律将决定人工智能的使用范围和方式。例如，在美国，人工智能将受到城市、州和联邦法律、政府行为、行政令、自愿行业协议甚至普通法的监管。 在准备人工智能项目时，需要考虑到人工智能法规的起源并不总是直观的，因此需要细致分析。首个具有深远影响的法律框架是欧盟《人工智能法案》，因为它保障了个人和企业的安全及基本权利。如果某些人工智能应用干扰或威胁到公民权利，则会遭到禁止。如大语言模型等高风险人工智能系统可能会对健康、安全、基本权利、环境、民主和法治造成重大损害，预计将出台相关法规加以监管。 执行摘要 人工智能正在迅速改变我们的世界，并且具有重塑社会基本结构的巨大潜力。然而，这种变革力量也带来一个严峻的挑战：当前的法律和监管环境很难跟上人工智能，尤其是生成式人工智能爆炸性增长的步伐。本文旨在提供现有法律法规及其对人工智能开发、部署和使用影响的高层次概览。我们的目标是确定立法滞后的领域，并寻求实际的方法部署负责任的人工智能。当前的环境缺乏完善的立法，在解决日益复杂的人工智能功能的潜在风险方面存在差距。这导致现有规定，如《通用数据保护条例(GDPR)》和《加州消费者隐私法案(CCPA)》/《加州隐私权法案(CPRA)》，虽然为数据隐私提供了基础保障，但并未针对人工智能开发的独特挑战提供具体的指导，而且不足以满足例外情况下的需求。随着大型科技巨头计划向人工智能投资数千亿，预计技术创新的步伐不会放缓，技术革新的快速步伐已经超出了立法适应的能力。 一个令人担忧的缺口正在出现：生成式人工智能的广泛使用，无论是个人还是专业用途，都伴随着治理缺失的问题。恶意行为者已经开始利用生成式人工智能执行复杂的攻击，公司也将生成式人工智能视为一种竞争优势，从而进一步加快了生成式人工智能的应用。 尽管这种快速应用令人兴奋，但需要伴随着负责任的人工智能开发实践，而这些实践不能抑制创新。理想的解决方案是营造一个鼓励负责任的、