“你突然就到了这样一个阶段,即所有这些不同的细微差别都需要在治理计划中得以体现,这真的很难,”德普律师事务所数据战略与安全团队以及白领和监管辩护小组的助理律师玛莎·赫斯特在国际隐私专业人士协会(IAPP)全球隐私峰会的一次小组讨论会上说。
上周的活动期间,小组讨论者们表示,企业应致力于创建流程和治理机制,在控制AI风险的同时推动创新。
以下是CIO在规划和推进AI项目时应考虑的四个具有法律影响的问题:
1. 这个AI用例是否属于高风险?
如果AI用例涉及关键基础设施、就业机会或生物识别信息,则通常被视为高风险。企业可能已经在不知不觉中使用了这类用例,例如在人力资源职能中。
“公司在使用传统招聘流程方面正举步维艰,”葛兰素史克(GSK)全球人力资源隐私、数字化和风险主管辛西娅·比尔布罗在一次小组讨论会上说,她指的是开放职位的申请激增。
如果企业领导者使用AI来筛选申请,那么企业可能会违法。AI产生的结果可能包含偏见,这可能会使企业不遵守现有的反歧视法律。
如果企业领导者计划推进高风险用例,那么企业将需要采取额外的预防措施。决策者还应该熟悉要求对自动化决策设置护栏的法律,以避免罚款和其他后果。
2. 这个工具将在哪个司法管辖区使用?
确保遵守现行规则和法规要求企业确切了解AI工具的使用地点。不同司法管辖区的法律各不相同。
“已经有140项隐私法律了,”IBM副总裁兼首席隐私和负责任的技术官克里斯蒂娜·蒙哥马利在一次小组讨论会上说,“我们有《欧盟AI法案》(EU AI Act)。几乎每个司法管辖区目前都在对AI进行监管。”
一些企业正在通过努力遵守最高标准来应对不同的监管方法。
“孤立的方法……已经不再适用了,”福特汽车公司高级隐私法律顾问斯蒂芬妮·韦斯特菲尔德在一次小组讨论会上说,“现在是时候思考如何与全球方法保持一致,并找到最高标准了。”
3. 数据是如何使用的——以及数据来自哪里?
优质数据能够提高AI的质量,但各企业对于希望其AI系统接受什么样的训练以及允许员工输入什么内容有不同的接受程度。
温迪公司全球数据保护、隐私和风险主管布里奇特·盖耶说,每个项目在开始之前都要经过风险审查流程。作为初步评估的一部分,团队会考虑使用真实数据还是合成数据,盖耶说。
合成数据不包含实际的个人身份信息,这使企业更接近于遵守隐私法律,如《欧洲联盟通用数据保护条例》(General Data Protection Regulation)。如果操作正确,使用合成数据还可以减少真实世界数据集中存在的历史偏见。
企业还可以从数据映射练习中受益。
“要有条理,”维斯塔公司AI、隐私和网络安全法律顾问安布尔·科尔多瓦在一次小组讨论会上说,“数据映射是没人想做但又很重要且值得投入资源去做的事情。”
4. 是自主构建还是购买?
多位专家在上周的国际隐私专业人士协会活动上表示,管理第三方风险的重要性不言而喻。
技术领导者应该了解第三方组织计划如何使用输入到其系统中的信息,以及设置了哪些护栏来限制偏见、降低风险并促进负责任的实践。
通常,企业希望将风险管理推进到主要供应商提供的版权赔偿等标准合同条款之外的范围。
小组讨论者们谈到了从供应商那里在合同上要求额外的信息以及对潜在的AI事故进行保护。CIO可以在谈判过程中依靠他们的隐私同行来找出可以避免的风险。
