编者按:本文作者为普瑞文特公司全球产品与服务高级副总裁阿拉斯泰尔·帕尔,原文发表于www.corporatecomplianceinsights.com。
-
尽管当前众多关注点都集中在企业内部如何遵守新兴的人工智能法规,但Prevalent公司的阿拉斯泰尔·帕尔指出,企业不应忽视一个重要的外部考量因素:第三方。
人工智能(AI)正迅速重塑现代世界,各国政府正争相建立保障措施,以确保其负责任地应用。技术的迅猛发展也促使几乎所有垂直行业的企业纷纷拥抱人工智能,因为它能带来生产力和效率的提升,最终目标是增强企业的盈利能力。
然而,伴随这些机遇而来的是企业必须承担的重要责任——在符合道德规范和法律框架的前提下部署人工智能。这种责任不仅应延伸至企业自身实践,还应涵盖其合作的全部第三方主体,包括供应商和服务提供商。
对于美国、加拿大、欧盟和英国等人工智能监管前沿地区的本土企业而言,在安全负责地部署人工智能过程中应对诸多动态因素将面临特别严峻的挑战。
这些地区正在制定独特的监管框架来规范这项快速发展的技术。理解并遵守这些法规对在这些地区运营的企业至关重要,既能避免法律后果,又能维持与利益相关方的信任。
前方的道路
全球监管机构正就人工智能的监管方式展开决策,随着提案逐步转化为具有约束力的法律,企业应密切关注相关动向。尽管各国法规存在差异,但多数提案聚焦于隐私保护、信息安全及ESG议题,旨在规范企业如何在合乎道德与法律的前提下运用人工智能技术。
例如,美国国家标准与技术研究院(NIST)于2023年1月推出人工智能风险管理框架,旨在"为设计、开发、部署或使用人工智能系统的组织提供资源,帮助管理人工智能的诸多风险,并促进人工智能系统的可信赖与负责任的开发和使用"。该自愿性框架为组织制定人工智能治理战略提供了全面指导。
组织应运用风险管理原则来减轻人工智能系统可能产生的负面影响,例如:
- 安全漏洞与人工智能应用:若缺乏适当的治理机制和安全保障措施,您的组织可能面临系统或数据泄露的风险。
- 人工智能风险方法论或测量缺乏透明度:不完善的测量和报告实践可能导致低估潜在人工智能风险的影响。
- 不一致的人工智能安全政策:当人工智能安全政策与现有的风险管理程序不一致时,可能会导致复杂且时间敏感的审计,从而可能引发负面的法律或合规后果。
上述所有内容不仅涉及企业自身,还涉及与其开展业务的合作伙伴、供应商及其他第三方。企业应日益意识到,其供应商、供货商及其他第三方合作伙伴使用人工智能的方式——尤其是客户数据的管理方式——将可能导致企业承担相应责任。
未来几年将明确全球组织如何调整其人工智能战略,而管理第三方风险很可能成为这一方程式中日益重要的组成部分。
随着新法规的出台,各行各业的企业都将面临新的现实。现在是时候开始为这些新现实做准备了,包括制定人工智能的合理使用政策,并将这些政策传达给第三方。
减轻第三方人工智能风险
无论身处何地,采取审慎态度并主动与供应商开展合作,都是管理这些风险的关键策略。企业必须认识到,负责任的人工智能治理不仅限于内部运营,还应涵盖人工智能生态系统中所有相关方的实践。
每家企业都有独特的目标和挑战,这意味着与第三方合作伙伴的关系将存在显著差异。但所有企业都可以采取一些基本措施,主动降低与第三方关系相关的AI风险:
- 识别哪些第三方合作伙伴使用人工智能及其使用方式。通过全面盘点,确定哪些第三方供应商和供货商正在使用人工智能及其使用程度。该过程需通过提出相关问题来了解其人工智能应用所涉及的固有风险,包括数据隐私、偏见和责任归属等问题。
- 建立一套对第三方人工智能使用情况进行分级和评分的体系。根据第三方合作伙伴的人工智能使用情况及相关风险,更新其分级体系。需考虑的因素包括:其处理数据的敏感性、人工智能应用对利益相关方及业务流程的影响,以及在人工智能决策过程中展现的透明度和问责程度。
- 详细评估风险。超越表面层面的评估至关重要,可通过对第三方人工智能实践进行深入分析实现。这包括评估其治理结构、数据安全协议、人工智能使用透明度,以及人类对人工智能决策的监督和干预程度。在尽职调查过程中,应以既定的合规框架和行业最佳实践(如NIST框架)作为指导依据。
- 在可行情况下,应提出风险缓解策略。基于风险评估和分级评分结果,向第三方合作伙伴提出具体的整改措施。这些措施可能包括:加强数据安全协议、实施偏见检测与缓解策略、确保人工智能决策的透明度,以及制定合同条款以强制执行符合伦理的人工智能实践。
- 实施持续监控。认识到缓解第三方风险是一个需要持续监控和评估的动态过程。为此,应建立对第三方人工智能实践的持续监控机制,包括定期审计、政策与控制变更审查,并及时掌握可能影响业务的新兴人工智能相关问题。
随着各国政府陆续出台人工智能领域的监管与法律框架,企业必须将供应商和第三方合作伙伴视为亟待管控的风险源。实施这些关键措施需要人工智能治理的专业能力,而该领域人才目前供不应求。缺乏专职人工智能风险管理团队的企业,可寻求专业机构的外部支持,这些机构擅长在复杂的政策环境中有效导航。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
