AI治理实践报告2024

里面有什么？ 执行摘要………………………………………………………………………3第一部分。理解人工智能与治理…………6第二部分。数据挑战…………15第三部分。隐私与数据保护挑战……23第四部分。透明度、可解释性与可理解性挑战……32第五部分。偏见、歧视与公平性挑战……41第六部分。安全性与鲁棒性挑战……50第七部分。人工智能安全…………55第八章. 版权挑战 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61第九部分. 第三方人工智能保证 . . . . . . . . . . . . . 65 结论 . . . . .. . . . . . . . . . . . . . . . . . . 69 联系方式 . . . . . . . . . . . . . . . . . . . .. . . . 70 表格contents 近期快速发展的机器学习技术的突破，已经永远改变了人工智能的格局。 AI系统已成为强大的引擎，能够跨海量信息进行自主学习，并能生成全新的数据。因此，随着AI复杂性的激增以及技术革新新纪元的出现，社会正处于重大变革之中。 高管摘要 随着企业在AI边界持续扩大的未来中艰难前行，其领导者面临着管理AI各种风险与危害的责任，以确保其益处能够以安全、负责任的方式得以实现。 关键在于，这些益处伴随着对这项技术安全性的严重考量及担忧，以及若不加控制其可能扰乱世界并消极影响个人的潜在风险。关于这项技术工作原理的困惑、算法中偏见引入与扩散、虚假信息的传播以及隐私权侵犯，仅代表潜在风险的一小部分。 AI治理的实践旨在解决这些问题。它涵盖了在设计、开发、部署和使用人工智能过程中所整合的日益增长的准则、法律、政策、流程、标准、框架、行业最佳实践和其他工具。 关于AI治理专业社群在构建和发展AI治理项目时需关注的常见和重大挑战。它提供了适用于法律和政策、多样化的治理方法以及用于管理风险的工具的实用、现实见解。确实，一些AI治理挑战相互重叠，贯穿多种主题。因此，针对某一主题挑战的新兴解决方案也可能适用于其他挑战。反之，在特定情况下，具体挑战及其相关解决方案可能存在冲突，需要reconciliation与其他方法相比。其中一些潜在的 虽然相对较新，人工智能治理领域正在成熟，世界各国政府当局开始制定有针对性的监管要求和治理专家支持创建公认的原则，例如经合组织（OECD）的AI原则, 各领域中AI的不同应用的最佳实践和工具的涌现。 重叠和冲突已在报告中识别。 对于人工智能治理存在许多挑战和潜在的解决方案，每个挑战和解决方案都具有独特的关联性和重要性，这取决于组织的角色、业务范围、更广泛的风险-治理概况以及成熟度。本报告旨在为日益增长、权力日益增强且日益重要的AI治理提供信息 关于组织是否以及何时应优先考虑人工智能治理的问题正在得到解答：“是”和“now,\" 分别。因此，本报告着重探讨组织如何在日益庞大且复杂的适用环境下着手、构建和利用人工智能治理。 Uzma ChaudhryIAPP AI GovernanceCenter Research Fellow Ashley CasovanIAPP AI GovernanceCenter Managing Director Joe JonesIAPP 研究与洞察总监 Michael SpadeaFTI Technology 高级执行董事 Nina BryantFTI Technology 高级执行董事 Luisa ResmeritaFTI技术公司高级总监 AI系统的组成部分及其治理 要理解如何治理一个AI系统，首先需要理解什么是AI系统。例如，欧盟AI法案将AI系统定义为“一种基于机器的系统，其设计用于以不同的自主性级别运行，并且在部署后可能表现出适应性，并且为了明确的或隐含的目标，根据其接收到的输入推断如何生成影响物理或虚拟环境的结果，例如预测、内容、推荐或决策。” 第一部分。理解AI 和治理 如经合组织（OECD）的《人工智能系统分类框架》所示，人工智能系统由用于训练和运行系统的数据、模型、输出和上下文组成。虽然模型是人工智能系统的基础组成部分，但单一模型很少独立运行。相反，多个人工智能模型汇集在一起并相互作用，形成复杂的人工智能系统。此外，人工智能系统通常设计为与其他系统交互以共享数据，从而实现无缝集成到现实世界环境中。这导致了一个由人工智能系统组成的网络，每个系统拥有其专门化的模型，共同协作以实现更大的目标。 随着人工智能即将革新我们生活的许多方面，新鲜的协同治理方法至关重要。监管部门之间在各国之内以及跨国界的有效合作至关重要：既要保护人民免受伤害，也要促进创新和增长。 Kate Jones英国数字监管合作论坛首席执行官 应对人工智能治理来源 新兴的全球人工智能监管格局中，许多拟议法规采取与欧盟人工智能法案类似的风险为本方法。 鉴于人工智能的复杂性和变革性，法律和政策制定者已在这方面做了大量工作，现已形成了一个庞大且不断增长的原则、法律、政策、框架、声明、自愿承诺、标准和新兴最佳实践体系，而要驾驭这一体系可能具有挑战性。许多这些不同的来源相互交织，无论直接还是通过所涵盖的问题。 人工智能治理将面临重大挑战。随着更多内部团队采用人工智能、新的人工智能功能被构建以及系统日益复杂，治理人工智能的内部复杂性正在加剧，但与此同时，外部复杂性也将在新的法规、客户需求和安全研究的不断演变中迅速增长。 欧盟AI法案要求基于人工智能系统的风险分类以及组织作为人工智能参与者的角色制定人工智能治理标准。某些人工智能系统被认为存在不可接受的风险，根据法律规定被禁止，且适用范围非常狭窄的例外情况。该法案施加的大部分要求适用于高风险人工智能系统的提供者，尽管部署者和经销商（即分销商和进口商）也受到直接义务的约束。 ：AI原则，例如经合组织的AI原则或联合国教科文组织关于人工智能伦理的建议，能够塑造全球标准，尤其是在国家政府承诺自愿将此类指导纳入其国内AI治理举措时。它们提供了一种非约束性的、基于原则的方法，以指导法律、政策和行业努力应对主题性挑战。算法观察组织创建了一份这些原则的清单，确定了167reports. 该法案在企业、产品和运营层面规定了监管义务，例如建立适当的责任主体结构、评估系统影响、提供技术文档、设立风险管理规程和监测绩效等关键要求。在生成式AI用例日益多样化以及嵌入生成式AI的解决方案（如微软必应）被普遍采纳的背景下，针对通用人工智能的特定条款是欧盟AI法案的另一个关键组成部分。根据其功能、影响范围和计算能力，某些通用人工智能系统被认为存在系统风险，并需承担与高风险AI系统大致相似的义务。 已投资于结构化人工智能治理的组织已经占据先机，并将继续保持竞争优势。 法律和法规包括现有的、虽不具体但仍然适用于人工智能的立法，以及针对人工智能系统治理提出更具体规定的Emerging立法，例如欧盟人工智能法案（EU AI Act）。欧盟人工智能法案是世界上最全面的人工智能法规。尽管不同地区的管辖权存在差异，可以观察到 Andrew Gamino-CheongTrustible AI联合创始人兼首席技术官 除具有约束力的立法外，自愿性人工智能框架，例如美国国家标准与技术研究院（NIST）的人工智能风险管理框架和国际标准化组织（ISO）的人工智能标准，为利益相关者提供结构化和可操作的指导，使其能够选择使用这些框架支持其在实施人工智能治理方面的工作。自愿承诺通常是为了让不同的利益相关者更接近于对识别、评估和管理风险形成共同理解。标准可作为基准，用以证明符合监管要求。 国际声明和承诺铭记共同的承诺，通常是在政府之间，针对特定方面或广泛的AI治理领域。虽然不具有约束力，但这些承诺至少可以表明一个国家在特定或一般方式上对推进AI治理的支持意愿，即使在最高层面上也是如此。 在应对不断增长的AI草案法律、法规、标准和框架方面，对于率先使用AI的组织而言可能具有挑战性。通过了解其独特的AI风险状况并采用基于风险的方法，组织可以构建一个稳健且可扩展的AI治理框架，该框架可在不同司法管辖区部署。 采用生态系统方法对人工智能治理至关重要。政策制定者与产业需在人工智能验证基金会等平台上协同合作，以理解该技术带来的机遇与风险。其目标是为管理关键风险建立共识性框架，从而构建一个促进最大程度创新的信任生态。 Denise Wong新加坡资讯通信媒体发展局助理首席执行官，数据创新与保护组 AI风险 AI治理的必要性 对海量数据的高度依赖以及AI技术无止境的实际应用潜力，使其成为颠覆性机遇的同时，也可能为企业及个人带来独特且复杂的风险。这些风险包括组织可能面临的法律、监管、声誉和/或财务风险，同时也包括个人和更广泛社会的风险。 随着私人投资、全球采用率以及监管活动的增长，加之技术的日益成熟，人工智能正日益成为全球组织和政府战略优先事项。各种规模和行业的组织越来越多地参与到人工智能系统在技术产品供应链的不同阶段中。 企业治理 → 系统影响评估，以在产品开发或部署之前识别和解决风险。 AI治理始于通过记录来定义人工智能的企业战略： → 针对 经营模式 制定清晰的角色和责任以管理AI风险。 → 针对软件开发生命周期定制的质量管理程序，旨在通过设计来应对风险。 → 合规性评估以确定项目成熟度和整改优先级。 → 风险和控制框架根据广泛认可的标准（如ISO和NIST）定义人工智能风险和处理措施。 → 用于记录和证明合规性的问责流程。 → 合规性评估和声明，以证明其产品符合要求。 → 制定政策的方针和程序标准和操作规程。 → 技术文档，包括标准使用说明和技术产品规格。 → 进行前瞻性扫描以增强并使项目与持续的监管发展保持一致。 → 市场发布后，监控计划将监测产品合规性。 AI治理同样需要在产品层面应用企业政策标准。组织可以通过以下方式确保其AI产品与其企业战略保持一致： → 第三方尽职调查评估，以识别潜在的外部风险并指导选择。 运营治理 该组织的AI战略最终必须通过以下发展在整个业务中实现操作化： → 性能监控协议以确保系统按预定目的正常运行。 → 提高透明度和人类监督倡议，确保个人在与人工智能系统互动或人工智能做出决策时能够知晓并做出明智的选择。 → 事件管理计划，用于识别、升级和应对影响人工智能系统及其运行的严重事件、故障和国家风险。 → 与内部和外部利益相关者就组织的人工智能实践保持透明度的沟通策略。 → 培训和意识提升计划，旨在使承担人工智能治理职责和责任的员工能够理解并履行其各自的角色。 → 技能和能力发展以评估人力资源能力并审查或设计工作要求。 一个有效的AI治理模式关乎集体责任和集体商业责任，这应涵盖隐私、问责、合规等在内的监督机制。这种责任应由AI治理链中的每一位利益相关者共同承担。 认识到人工智能系统，如所有产品一样，遵循生命周期这一点很重要，因为在整个生命周期中都需要考虑治理问题。NIST AI RMF阐述人工智能系统的全面表述 生命周期，并包含每个阶段的测试、评估、验证、确认以及关键利益相关者的考虑因素。上方包含了一个更简化的示例生命周期以及一些高层级的考虑因素。 Vishal Parmar英国航空公司全球首席隐私顾问和数据处理官 →HOW TO引导开发者从部署者转变为导航者 根据组织是否为供应商或采购商，或者是否为AI系统的开发与运营采购外部服务（如硬件、云服务或数据收集），可能会产生各种合同和监管义务。 Prior IAPP研究发现超过70%的组织至少在一定程度上依赖第三方人工智能，因此确保人工智能系统安全负责任的责任可能分散到多个角色。 In both现行立法和拟议中的立法我们开始看到为提供和供应AI与部署AI者设定的不同义务。了解你是否为开发者以及/或者部署者对于确保你履行合规义务非常重