概要:本文对具有里程碑意义的欧盟《人工智能法案》进行了全面概述,这一法案标志着全球首次针对 AI 监管领域开展重大立法工作。另外,进一步对以下内容进行了探讨:《人工智能权利法案》、美国的州级法规、NIST“AI 风险管理框架”、WHO 计划和 ISO 标准。此类框架旨在共同指导组织有效管理 AI 风险,并确保以安全且合乎道德的方式开发这一变革性技术。
机器学习是一种强大的技术,有人对它兴奋不已,也有人因它而心生恐惧。就像任何重要的工具一样,它有利有弊。为了保护社会并使之针对 AI 塑造的潜在未来做好准备,世界各地的政府、监管机构和各种组织都在着手制定法规、指南和标准,试图走在前沿,积极应对机器学习快速发展和演变这一局势。
引领前沿:欧洲开展 AI 监管工作
欧洲在 AI 法规方面一直处于领先地位,尤其是即将出台的欧盟《人工智能法案》,此法案是全球首部有关 AI 的综合性法规。本法案旨在保障基本人权并应对与 AI 技术相关的紧迫问题。此外,欧洲热衷于推出各种举措,在初创公司的 AI/ML 风险项目中对其提供支持,以此促进 AI 创新。
《人工智能法案》的核心在于针对 AI/ML 产品围绕以下主题做出强制规定:确立质量和风险管理体系、数据管理实践,并确保透明度、可说明性、稳健性和网络安全。本法案将 AI 系统分为多个类别,彻底禁止部分系统、对视为高风险的系统加以监管,并要求非高风险系统保持透明度并遵守行为准则及实现合规性。
2024 年 1 月 22 日,(假定的)欧盟《人工智能法案》非官方终版予以发布。当下的问题并不在于是否会颁布本法案,而在于颁布时间。若颁布此法案,会影响到各行各业;对于部分行业,在产品或服务进入市场前,需经过全新的“合格评定”流程。已受到严格监管的行业(如医疗科技领域),对这一转变可能更为适应。尽管开端已出现剧变,但经验表明,行正确之举绝非易事。尽管如此,行业监管带来的长期裨益会远远多过初期需面对的复杂问题。
美国的 AI 法规与《人工智能权利法案》
在大西洋对岸,美国的数个州也已取得重大进展,在 2023 年推出了与 AI 相关的法案。此类法案涵盖了一系列领域,包括教育、险情控制、医疗保健领域中的 AI 应用、与就业相关的 AI 应用,重点关注数据保护、分析以及防止偏见和歧视等关键问题。此外,白宫科技政策办公室 (OSTP) 已发布《人工智能权利法案》,此法案可用作 AI 开发、部署和运营的蓝图。该法案的主要目标在于维护美国人民的民主权和价值观。它阐明了数项关键原则,旨在确保 AI 系统安全有效、可防止算法方面的歧视、维持数据隐私性、给予明确说明以及提供以人为中心的替代方案和支持。此类指南旨在指导不同行业以合乎道德且负责任的方式使用 AI。
NIST 推出“AI 风险管理框架”
2023 年 1 月 26 日,NIST(美国商务部国家标准与技术研究院)发布了“AI 风险管理框架”。此框架附有诸多支撑材料,例如 NIST AI RMF 手册、AI RMF 解说视频等。开发 ML/AI 产品的公司可借助此框架改进自身的风险管理实践。该框架包括一系列关于 AI 风险管理的非强制性指南,旨在在 ML 型产品的设计、开发和使用过程中优化可信度。它并不特定于任何行业,而是将来自公共和私营部门的反馈和意见进行了整合。“AI 风险管理框架”分为两部分。第一部分涵盖了组织可用以识别 AI 相关风险并定义属性的方法;第二部分则涵盖了框架核心内容,对风险管理的四大方面进行了详细介绍:治理、布局、衡量和管理,旨在助力组织在实践中应对 AI 系统风险。
有关 AI 监管的 WHO 和 ISO 计划
世界卫生组织 (WHO) 已发布新出版物,其中列出了医疗保健领域中针对 AI 监管需要考虑的主要因素。本文件强调了以下事项的重要性:AI 系统实现安全性和有效性、为有需要的人员提供体系和指导,以及促进多个不同利益相关者(包括开发人员、监管机构、制造商、医疗保健工作人员和患者)之间展开对话。此出版物从六个不同方向对 AI 的重要方面进行了探讨:透明度和文档记录、风险管理、数据验证、数据质量、隐私和数据保护以及协作。对于开发 ML 型产品的公司而言,它可用作指导。
国际标准化组织 (ISO) 已发布数项与机器学习和 AI 相关的标准。ISO 曾在 2023 年年初推出“ISO 23894:2023 – AI 风险管理指南”。此标准围绕以下主题提供指导:AI 解决方案开发和使用过程中需应对的风险管理事宜。它涵盖了风险管理过程的方方面面,包括风险评估、处理、沟通、监测和审查。此标准附有多个实用附件,这些附件对以下主题进行了论述:整个 AI 系统生命周期中的 AI 目标、AI 特定风险来源和整体风险管理流程。该标准的主要缺点在于:过度依赖“ISO 31000:2018 - 风险管理 - 指南”,并且在建立 AI 风险管理流程时,需同时参考这两个标准。
在 2023 年年底,备受期待的 ISO 42001:2023 终于得以发布。它对 AI 管理体系进行了详细论述,此体系适用于正在开发 AI 解决方案或使用现成 AI 解决方案的公司。该标准遵循通用的附录 SL 结构,可确保能够与符合 ISO 27001 或 ISO 9001 的管理体系无缝集成。该标准采用基于风险的方法,并强制规定:组织需确定管理体系及其利益相关者的背景、分析风险,并执行 AI 影响评估。与其他 ISO 管理体系类似,它涵盖整个组织并采用系统化的受控方法。
存在的挑战以及前行方向
AI 法规不断演变,在这一背景下,首要挑战在于在以下两个方面取得平衡:保持对入市 AI 产品质量的控制,同时快速且持续促进创新和进步。在法规予以正式实施后,未做好充分准备的公司会落后于竞争对手。应对这一形势的关键在于“主动应战”,从而减轻监管变化在初期造成的影响和“冲击”。我们曾助力不同行业的多家企业针对 AI 问世做好准备,根据过往的经验,做出以下建议:
- 迈出第一步 – 追求进步而非完美:任何使用管理体系的人员都清楚这一点:完美无瑕并不存在。改进是一个持续性过程。先迈出小而稳定的步伐,专注于业务中最为关键的方面,从而建立控制权,之后再着手下一个重要方面。
- 充分利用现有知识:充分利用已有标准、指南和专家见解,避免“重造轮子”。这一方法不仅省时,还可增强监管机构和潜在客户对你的信任度。
- 向他人学习:AI 法规领域的形势瞬息万变。如果拥有专门的团队或外部合作伙伴,他们可实时关注此类变化以及其他市场趋势和见解,能够为公司带来显著竞争优势。
AI 技术蕴藏着巨大潜力,未来充满无限可能。我的主要建议在于走在趋势前沿:针对即将出台的法规做好准备、评估与 AI 产品相关的风险及其对所有利益相关者的影响、将道德原则融入开发流程,并以负责任的方式寻求创新。
