從理解AI在企業(yè)環(huán)境中的含義，到確保合規(guī)性，再到不忘第三方所扮演的角色，以下是制定AI政策時需要牢記的十個關(guān)鍵點。

GenAI的流行給企業(yè)帶來了一個棘手的局面。一方面，這是一種具有降低成本和增加收入潛力的顛覆性技術(shù)，另一方面，AI的濫用可能會顛覆整個行業(yè)，引發(fā)公關(guān)災(zāi)難、客戶和員工的不滿，以及安全漏洞。更不用說在失敗的AI項目上浪費的大量資金了。

研究人員對于企業(yè)從AI投資中獲得的回報意見不一，但調(diào)查顯示，GenAI在更多業(yè)務(wù)用例中的采用率有所提高，并且從試點項目轉(zhuǎn)向生產(chǎn)項目的數(shù)量穩(wěn)步增長。Zscaler在3月底發(fā)布的一份AI安全報告顯示，企業(yè)AI活動增加了3464%。

但隨著人們越來越意識到GenAI的潛力，對其風(fēng)險的認(rèn)識也在增強(qiáng)。例如，據(jù)Zscaler稱，企業(yè)目前會阻止60%的AI交易，其中ChatGPT是被阻止最多的單個應(yīng)用程序。原因何在?據(jù)Zscaler報告，僅ChatGPT就遭到了約300萬次用戶嘗試上傳敏感數(shù)據(jù)的攻擊。

一份經(jīng)過深思熟慮的AI使用政策可以幫助公司設(shè)定風(fēng)險和安全的標(biāo)準(zhǔn)，保護(hù)客戶、員工和公眾，并幫助公司聚焦于最有前景的AI用例?！叭绻灰载?fù)責(zé)任的方式擁抱AI，實際上是在降低你在市場上的競爭優(yōu)勢。”管理咨詢公司AArete的技術(shù)服務(wù)集團(tuán)負(fù)責(zé)人、董事總經(jīng)理布如古·潘格說道。

根據(jù)就業(yè)與勞動法事務(wù)所Littler對300多名高管進(jìn)行的調(diào)查，截至2024年9月，42%的公司已經(jīng)制定了AI政策，而一年前這一比例僅為10%，另有25%的企業(yè)目前正在制定AI政策，19%的企業(yè)正在考慮制定。

如果你仍在制定AI政策——或者正在更新現(xiàn)有政策——以下是你的政策應(yīng)該涵蓋的十個關(guān)鍵領(lǐng)域。

明確AI的定義

不同的人對AI有不同的理解。搜索引擎、語法檢查器和Photoshop等工具中都有AI的存在。幾乎每個企業(yè)供應(yīng)商都在忙著將AI功能添加到他們的平臺上。甚至一些幾乎沒有任何智能的東西也被重新包裝成AI，以吸引關(guān)注和資金。

在討論風(fēng)險、益處和投資時，有一個關(guān)于AI的共同定義是很有幫助的。

美國國際集團(tuán)(Aflac)全球CISO特蕾·拉德納表示，Aflac于2024年初開始根據(jù)其現(xiàn)有的政策框架制定其官方AI政策。Aflac并不是唯一一家意識到AI可能是一個非常模糊概念的公司。

信諾金融集團(tuán)(Principal Financial Group)的CIO凱西·凱表示，他們也不得不為AI制定一個明確的定義，因為他們很快就意識到，人們對AI的看法各不相同。該公司不得不為AI在公司上下文中的含義制定一個定義，以便在討論AI時，大家都能保持一致。

而且，由于不同的人對AI可能有不同的理解，因此在討論中納入各種觀點是很有幫助的。

聽取所有利益相關(guān)者的意見

在Aflac，安全團(tuán)隊率先制定了公司的AI政策。但AI不僅僅是安全問題?！耙膊粌H僅是法律問題，”拉德納說，“也不僅僅是隱私問題或合規(guī)問題。你需要把所有利益相關(guān)者都聚集起來。我還強(qiáng)烈建議，你的政策應(yīng)該得到某種管理委員會或機(jī)構(gòu)的批準(zhǔn)或認(rèn)可，這樣它才有你需要的約束力?！?/p>

AI政策必須服務(wù)于整個公司，包括各個業(yè)務(wù)部門。

在信諾金融集團(tuán)，凱表示，她和公司的首席合規(guī)官是AI政策的執(zhí)行發(fā)起人?！暗覀冞€有業(yè)務(wù)部門代表、法律部門、合規(guī)部門、技術(shù)人員，甚至人力資源部門也參與其中，”她補(bǔ)充道，“大家一起學(xué)習(xí)，你可以把你想實現(xiàn)的成果協(xié)調(diào)一致。”

安舒爾軟件公司(Intuit)也組建了一個多學(xué)科團(tuán)隊來制定其AI政策。這有助于該公司制定全公司的治理政策，并涵蓋法律要求、行業(yè)標(biāo)準(zhǔn)和最佳實踐，據(jù)安舒爾軟件公司的副總裁兼副總法律顧問麗莎·萊維特表示。“該團(tuán)隊包括數(shù)據(jù)隱私、AI、數(shù)據(jù)科學(xué)、工程、產(chǎn)品管理、法律、合規(guī)、安全、倫理和公共政策方面的專家?！?/p>

從企業(yè)的核心價值觀出發(fā)

AI政策需要以企業(yè)在道德、創(chuàng)新和風(fēng)險方面的核心價值觀為基礎(chǔ)?！安灰皇菫榱藵M足合規(guī)檢查而制定政策，”網(wǎng)絡(luò)安全公司謝爾曼(Schellman)的首席執(zhí)行官阿維尼·德賽說，“建立一個對每個人來說都堅韌、道德、值得信賴和安全的治理框架——而不僅僅是為了制定一份無人問津的政策?！?/p>

以核心價值觀為出發(fā)點將有助于制定AI政策的其他部分?！澳阆胍贫鞔_的指導(dǎo)方針，”德賽說，“你希望從上到下每個人都同意，AI必須以負(fù)責(zé)任的方式使用，并且必須與商業(yè)道德保持一致。”

有了這些原則，也將幫助公司走在監(jiān)管的前面。

符合監(jiān)管要求

根據(jù)咨詢公司Gartner的說法，到2027年，AI治理將成為全球所有主權(quán)AI法律和法規(guī)的要求。

目前最大的AI監(jiān)管法規(guī)是歐盟的《AI法案》。“《歐盟AI法案》是我所見過的涵蓋所有內(nèi)容的唯一框架，”謝爾曼公司的德賽說道。它適用于所有在歐盟境內(nèi)提供產(chǎn)品或向歐盟公民提供產(chǎn)品的國家。

該法案規(guī)定了所有大型企業(yè)需要遵循的某些最低標(biāo)準(zhǔn)。她說：“這與《通用數(shù)據(jù)保護(hù)條例》(GDPR)的情況非常相似。美國公司不得不遵守，因為他們無法區(qū)分歐盟數(shù)據(jù)和非歐盟數(shù)據(jù)。你不想只為歐盟數(shù)據(jù)建立一個新系統(tǒng)?！?/p>

GDPR并不是唯一適用于其他國家的法規(guī)，世界各地還有許多與數(shù)據(jù)隱私相關(guān)的法規(guī)，這也與AI部署相關(guān)。當(dāng)然，還有針對特定行業(yè)的數(shù)據(jù)隱私規(guī)則，如醫(yī)療保健和金融服務(wù)行業(yè)。

一些監(jiān)管機(jī)構(gòu)和標(biāo)準(zhǔn)制定機(jī)構(gòu)已經(jīng)開始研究如何更新其針對GenAI的政策。“我們大量參考了專門針對保險公司的美國國家保險專員協(xié)會(NAIC)發(fā)布的指導(dǎo)，”Aflac的拉德納說，“我們想要確保我們掌握了NAIC規(guī)定的指導(dǎo)方針和保障措施，并確保它們已經(jīng)到位?！?/p>

制定明確的負(fù)責(zé)任使用指南

員工可以使用公共AI聊天機(jī)器人，還是只能使用安全、公司批準(zhǔn)的工具?業(yè)務(wù)部門能否創(chuàng)建和部署自己的智能體?人力資源部門能否啟用和使用其人力資源軟件中的新AI功能?銷售和營銷部門能否使用AI生成的圖像?人類是否需要審查所有AI輸出，或者僅對高風(fēng)險用例進(jìn)行審查?

這些都是公司AI政策中負(fù)責(zé)任使用部分所涉及的問題，具體取決于企業(yè)的特定需求。

例如，在信諾金融集團(tuán)，AI生成的代碼需要經(jīng)過審查，凱說?！拔覀儾皇前汛a直接投入使用。中間會有一個人工環(huán)節(jié)。”同樣，如果該公司為面向客戶的員工構(gòu)建了一個AI工具，那么也會有人工檢查輸出結(jié)果，她說。

采取基于風(fēng)險的方法來應(yīng)對AI是一個不錯的策略，普華永道數(shù)據(jù)風(fēng)險與隱私主管羅漢·森(Rohan Sen)表示。“你不希望過度限制低風(fēng)險的內(nèi)容，”他說?！叭绻闶褂肅opilot來轉(zhuǎn)錄采訪，那風(fēng)險相對較低。但如果你使用AI來做貸款決策或決定保險費率，那影響會更大，你需要提供更多的人工審核?！?/p>

別忘了第三方的影響

如果因AI相關(guān)問題而出了差錯，公眾才不會關(guān)心這是否不是你的錯，而是供應(yīng)商或承包商的錯。無論是數(shù)據(jù)泄露還是違反公平借貸法，最終責(zé)任都會落在你身上。

這意味著AI政策不能僅僅覆蓋公司內(nèi)部系統(tǒng)和員工，還要覆蓋供應(yīng)商的選擇和監(jiān)督。

一些供應(yīng)商會提供賠償和合同保護(hù)。避免供應(yīng)商鎖定也有助于降低第三方風(fēng)險。如果供應(yīng)商違反了客戶的AI政策，可能會很難更換。

在選擇AI模型提供商時，從一開始就保持模型中立將有助于管理這一風(fēng)險。這意味著，而不是將某一種AI硬編碼到企業(yè)工作流程中，而是靈活選擇模型，以便日后可以更改。

這確實需要在前期做更多的工作，但除了降低風(fēng)險外，還有其他業(yè)務(wù)好處?！凹夹g(shù)在不斷變化，”普華永道的森說，“你無法確定兩年后哪種模型會更好?！?/p>

建立明確的治理結(jié)構(gòu)

制定明確預(yù)期的AI政策只是成功的一半，但如果政策沒有闡明如何執(zhí)行，那么它也不會特別有效。

根據(jù)2024年Gartner的一項調(diào)查，Gartner分析師勞倫·科努蒂克(Lauren Kornutick)表示，只有45%的企業(yè)在AI治理成熟度方面達(dá)到了其AI政策與運(yùn)營模式相一致的水平?！捌溆嗟钠髽I(yè)可能制定了可接受使用的政策，或制定了負(fù)責(zé)任的AI政策，但尚未在整個企業(yè)中有效執(zhí)行?！彼f。

誰來判斷某個特定用例是否符合公司的指導(dǎo)原則，以及誰來執(zhí)行這一決定?

“政策很好，但還不夠，”她說?！拔医?jīng)常從我們的首席信息安全官和隱私官那里聽到這一點?！彼f，把這個問題弄清楚很有價值。在技術(shù)部署方面，在這方面做得有效的公司比其他公司領(lǐng)先12%。

捷配集團(tuán)首席技術(shù)和創(chuàng)新官圣吉夫·沃拉(Sanjeev Vohra)表示，第一步是弄清楚公司當(dāng)前已經(jīng)在使用哪些AI?！霸S多公司并沒有全面盤點其AI的使用情況。這是我們建議的第一步，你可能會驚訝于這一步要花多少時間?！?/p>

利用技術(shù)確保合規(guī)

檢查AI政策是否得到遵守的一種方法是使用自動化系統(tǒng)。“我們正在看到支持政策執(zhí)行的技術(shù)出現(xiàn)?！盙artner的科努蒂克說。

例如，AI驅(qū)動的工作流程可以包括一個手動審查步驟，由人類參與進(jìn)來檢查工作?；蛘?，可以使用數(shù)據(jù)防丟失工具來確保員工不會將敏感數(shù)據(jù)上傳到公共聊天機(jī)器人。

“我合作的每個客戶都具備監(jiān)測能力，可以看到數(shù)據(jù)外泄的情況，看到哪些數(shù)據(jù)被下載到了他們的環(huán)境中，并且他們有方法可以阻止訪問未經(jīng)批準(zhǔn)或?qū)ζ髽I(yè)構(gòu)成風(fēng)險的網(wǎng)站，”普華永道的首席AI官丹·普里斯特(Dan Priest)說。“風(fēng)險是真實存在的，但有合理的方法來管理這些風(fēng)險。而如果這些風(fēng)險大量出現(xiàn)，你需要在架構(gòu)層、政策層和培訓(xùn)層激活應(yīng)對措施。”

就像公司需要在AI偏離軌道時采取技術(shù)措施一樣，AI政策也需要包括在問題更大時采取事件響應(yīng)措施，以及在員工、客戶或業(yè)務(wù)合作伙伴故意或意外違反政策時采取管理響應(yīng)措施。

例如，某個部門的員工可能會經(jīng)常忘記在將文檔發(fā)送給客戶之前進(jìn)行審查，或者一個業(yè)務(wù)部門可能會建立一個忽視數(shù)據(jù)隱私或安全要求的影子AI系統(tǒng)。

“你應(yīng)該聯(lián)系誰?”謝爾曼·德賽(Shellman’s Desai)問道。

需要有流程和培訓(xùn)，以確保有人負(fù)責(zé)處理違規(guī)行為，并有權(quán)力糾正問題。而如果整個AI流程都存在問題，則需要有一種方法可以在不損害公司的情況下關(guān)閉系統(tǒng)。

計劃應(yīng)對變化

AI技術(shù)發(fā)展迅速。這意味著，公司制定的AI政策中的很多內(nèi)容需要定期審查和更新。

卡內(nèi)基梅隆大學(xué)教授拉伊德·加尼(Rayid Ghani)說：“如果你制定了一項沒有結(jié)束日期的政策，那你就是在傷害自己?！边@可能意味著某些條款每年都會審查，或者每季度審查一次，以確保它們?nèi)匀贿m用。

“在制定政策時，你必須標(biāo)記出那些可能發(fā)生變化并需要更新的內(nèi)容，”他說。這些變化可能是技術(shù)進(jìn)步、新的業(yè)務(wù)需求或新的法規(guī)造成的。

歸根結(jié)底，AI政策應(yīng)該推動創(chuàng)新和發(fā)展，而不是阻礙它們，安永合伙人辛克萊·舒勒(Sinclair Schuller)說。“無論是首席執(zhí)行官還是首席安全官，都應(yīng)該表明，‘我們將制定一項AI政策，以支持你們采用AI，而不是阻止你們采用AI’，”他說。