随着人工智能的应用、创新和监管混乱的发展速度超过了已批准的标准,IT领导者们只能自行开发内部方法来降低人工智能风险,依靠框架、工具和他们的同事来正确使用人工智能。
图源:PeopleImages.com - Yuri A / Shutterstock
随着更多的生成式人工智能项目从概念验证阶段进入生产阶段,首席信息官们将承担起制定人工智能治理政策以保护企业——以及他们的工作的额外压力。
观察人士表示,来自美国政府和欧盟以及顶级市场研究机构的人工智能治理框架并不少见,但毫无疑问,由于生成式人工智能的创新速度超过了正式标准,首席信息官们将需要在2025年制定并完善内部的人工智能治理政策——并让整个高管团队参与这一过程,以确保他们不是独自承担责任。
在这方面,存在管辖权的不平衡。
“在负责任的AI政策制定和行为准则创建方面,根据2024年2月的一项调查,美国组织与欧洲组织水平相当,但在建立多学科/跨部门治理委员会方面落后于欧洲组织,这这恰恰是EU AI Act(《人工智能法案》,于2021年被首次提出,将适用于任何使用人工智能系统的产品或服务。该法案根据4个级别的风险对人工智能系统进行分类,从最小到不可接受。风险较高的应用程序,例如招聘和针对儿童的技术将面临更严格要求,包括更加透明和使用准确的数据。2023年12月8日,欧盟就《人工智能法案》达成协议,该项法案旨在通过全面监管人工智能,为这一技术的开发和使用提供更好的条件,谈判同意对生成式人工智能工具,如OpenAI的ChatGPT和谷歌的Bard,实施一系列控制措施。2024年2月2日,欧盟27国代表一致支持《人工智能法案》文本。3月13日,欧洲议会通过了《人工智能法案》。《人工智能法案》是全球首个AI监管法案。)所建议的,”IDC(国际数据公司,是国际数据集团旗下全资子公司。是信息技术、电信行业和消费科技市场咨询、顾问和活动服务专业提供商。经常发布的市场资讯、预测和资深分析师关于业内热点话题的观点性文章。)研究总监Grace Trinidad(格蕾丝·特立尼达)表示,她敦促首席信息官们不要独自承担人工智能治理的责任。
例如,Trinidad(特立尼达)表示,IDC建议以NIST(国内一般叫做“美国国家标准与技术研究院”。成立于1901年,原名美国国家标准局,NBS,1988年8月,经美国总统批准改为美国国家标准与技术研究院,直属于美国商务部。NIST 是美国最古老的物理科学研究所之一。美国国会成立该机构旨在提升其工业竞争力,当时美国的测量基础设施处于二流水平,远远落后于英国、德国和其他经济竞争对手。经过一百多年的发展,NIST 早已成为顶级研究机构,在国际上享有很高的声誉。NIST 的测量范围无所不包,从智能电网、电子健康记录,到原子钟、先进纳米材料和计算机芯片,无数的产品和服务中都有NIST所提供的技术、测量和标准的身影。NIST 下设 6 大研究所,从事物理、生物和工程等方面的基础和应用研究,以及测量技术和测试方法方面的研究,对外提供标准、标准参考数据及有关服务。)的人工智能风险管理框架作为帮助首席信息官制定内部人工智能治理的合适标准,同时也推荐EU AI ACT的条款,并在“IDC同行视角:保障人工智能模型和应用程序的实践”中引用了人工智能治理某些方面的最佳实践。
Trinidad(特立尼达)指出,首席信息官们承认有多种方法可以实施人工智能治理,并且大多数已经开始实施至少一些项目,尽管并非所有的部分都已到位。
为此,Ciena(是一家1992年在美国成立的全球性的电信系统供应商,包括电信设备,电信软件,服务如语音/视频/数据。广泛服务于通信提供商,线缆运营商,政府和企业。)的首席数字信息官Craig Williams(克雷格·威廉姆斯)说,这家网络公司已经成立了人工智能工作组来解决治理挑战。
“我不认为未来人工智能治理会由单一实体或政府本身拥有——这太具有挑战性了。然而,公司需要建立自己的治理流程,以确保端到端的责任,”他说,“我们认识到人工智能系统需要透明度、公平性和责任。因此,我们已经竭尽全力确保我们让正确的利益相关者参与治理过程本身。”
专家和IT领导者们表示,这种跨职能的努力是关键。
“治理实际上是关乎倾听和相互学习,因为大家都关心结果,但同样重要的是,我们如何实现结果本身,”Williams(威廉姆斯)说,“一旦你跨越了那座桥,你就可以迅速转向人工智能工具和实际项目本身,这就容易操作多了。”
TruStone Financial Credit Union(是一家提供全方位服务的信用合作社,自1939年起致力于改善其社区成员的财务福祉。最初作为教师信用合作社成立,教育是其使命的核心。该信用合作社在明尼苏达州和威斯康星州拥有23个分支机构,是明尼苏达州第二大信用合作社,它通过采用现代技术来提升其服务和运营效率。)也在随着人工智能创新的蓬勃发展而努力建立一个全面的人工智能治理计划。
“新的生成式人工智能平台和功能每周都在出现。当我们发现它们时,我们会阻止访问,直到我们能够彻底评估我们的控制措施的有效性,”TruStone的执行副总裁兼首席技术官Gary Jeter(加里·杰特)表示,并举例说他决定最初阻止访问谷歌的NotebookLM(是由Google实验室/Google Labs在2023年5月推出的一款原生AI笔记管理工具,旨在帮助用户高效地组织和提取信息。其前身是Project Tailwind。其通过结合Gemini 1.5 Pro多模态模型,能够将文本文件、视频、PPT、录音甚至数据集变成自然、有趣的播客形式,从而提供一种全新的信息获取和交互方式。)以评估其安全性。
与许多企业一样,TruStone已经为其政策和程序部署了一个全公司范围的生成式人工智能平台,名为TruAssist。
“所有(大约)560名团队成员都在使用这个人工智能工具来快速访问超过500项政策和程序,这大大节省了时间,并增加了巨大的价值,”Jeter(杰特)说,“我们在2023年11月推出了价值验证试点,并在2024年2月将其推广到所有团队成员。这非常迅速,我们也学到了很多。我们在将生成式人工智能用于面向成员的应用方面采取了更为保守的方法,但我们正在取得进展。”
一、人工智能治理框架和平台
Travelers公司的执行副总裁兼首席技术与运营官Mojgan LeFebvre(莫吉安·勒费布尔)表示,Travelers是另一家已经开发其人工智能治理策略一段时间的大型企业。
“作为 Travelers 治理框架不断发展和成熟的一部分,我们还建立了一个负责任的人工智能框架,该框架提出了基本原则,以指导我们开发和使用人工智能、高级分析和建模,”LeFebvre(勒费布尔)说,“这个框架的目标是帮助确保我们以负责任和符合道德的方式行事——与我们业务和文化核心的负责任商业价值观一致。”
观察员指出,人工智能治理不仅仅是保护企业免受数据泄露或知识产权盗窃,还包括使成本与预算保持一致。
IT领导人应该采取一种“非常务实——深思熟虑且缓慢——的方式将生成式人工智能应用推向生产,因为高管和IT仍在学习如何管理概率性企业应用的风险,并且随着使用成本的上升,确实有成本上升,”GAI Insights(是一家专注于提供生成式人工智能解决方案和战略洞察的公司,成立于2023年,总部位于美国马萨诸塞州的波士顿。该公司主要服务于企业买家和AI领域的领导者,旨在通过AI技术推动企业的业务转型。)的首席执行官和首席分析师Paul Baier(保罗·拜尔)说。
Baier(拜尔)表示,另一个增加生成式人工智能风险和成本的因素是“大多数组织中庞大的‘shadow IT(影子IT,也称为Stealth IT、Client IT、Fake IT,是组织中的信息技术/IT系统是由组织内部建立并且使用,但没有正式的组织核可,而系统是由IT部门以外的部门订定规格并且布署。有些人认为影子IT是重要的创新来源,这些系统可做为是未来核可IT方案的原型。)’,因为员工使用个人账户使用像ChatGPT(是人工智能技术驱动的自然语言处理工具,它能够通过理解和学习人类的语言来进行对话,还能根据聊天的上下文进行互动,真正像人类一样来聊天交流,甚至能完成撰写邮件、视频脚本、文案、翻译、代码,写论文等任务。)这样的工具处理公司数据”。
Gartner(高德纳,Gartner Group公司成立于1979年,它是第一家信息技术研究和分析的公司。它为有需要的技术用户来提供专门的服务。Gartner已经成为了一家独立的咨询公司,Gartner公司的服务主要是迎合中型公司的需要,它希望使自己的业务覆盖到IT行业的所有领域,从而让自己成为每一位用户的一站式信息技术服务公司。)表示,组织能够控制人工智能使用的一种方法是实施人工智能治理平台,该机构将这项技术确定为2025年的第二大战略趋势,并预测到2028年,实施人工智能管理平台的组织将比没有此类系统的组织减少40%的人工智能相关道德事件。
Gartner声称,人工智能治理平台的好处包括创建、管理和执行“确保负责任地使用人工智能的政策,解释人工智能系统的工作原理,对生命周期管理进行建模,并提供透明度以建立信任和问责制。”
那么挑战是什么呢?“人工智能指南因地区和行业而异,这使得难以建立一致的实践,”Gartner 表示。
二、未来的挑战
观察人士表示,首席信息官们还需要调整能够适应未来变化的人工智能治理框架,特别是如果artificial capable intelligence/ACI(人工能力智能,是一个由DeepMind联合创始人穆斯塔法·苏莱曼/Mustafa Suleyman提出的新概念。ACI强调的是人工智能在最小程度上依赖人类干预,能够设定目标并完成复杂任务的能力。苏莱曼认为,相比于传统的图灵测试,ACI更关注人工智能的实际能力,即它们能够做什么,而不是它们能否模仿人类。他提出的测试方法是给AI十万美元的种子投资,看它是否能将其增值为百万美元。为了实现这一目标,AI必须研究电子商务的商机,能够生成产品蓝图,并在类似阿里巴巴的网站上找到制造商,然后在亚马逊或沃尔玛等网站上进行销售,同时附上详实准确的商品说明。ACI体现了在特定领域内,AI能够执行一系列复杂任务,但并非全领域通用的能力。)出现的话。
“我们正在评估哪种人工智能使用政策最适合我们现在的需求,我们使用的模型提供了灵活性,以便随着我们前进并了解我们尚不知道的事情进行调整,”孟菲斯Baptist Memorial Health Care(是一家位于密西西比州的非营利性机构,提供全面的医疗保健服务。成立于1987年4月20日,其总部位于田纳西州孟菲斯。以其专业的医疗团队和先进的技术,为当地居民提供高质量的医疗服务,包括但不限于癌症治疗、心脏护理、神经学服务、妇女和儿童健康等。此外,该机构还注重持续改进和患者体验,通过实施持续改进计划和采用最新的医疗技术,不断提高服务质量和患者满意度。其服务范围不仅局限于医疗治疗,还包括健康教育和预防保健,致力于提高社区的整体健康水平。通过其综合性的服务,其在密西西比州及周边地区享有盛誉,成为当地居民信赖的医疗保健提供者。)的首席信息与数字官Tom Barnett(汤姆·巴奈特)说。
这将带来什么结果是一个巨大的未知数,特别是考虑到在过去两年中人工智能的进展。使问题复杂化的不仅是正在出现的复杂的人工智能法规拼凑,还包括商业模式和市场本身的变化。
两年前,当ChatGPT首次亮相时,OpenAI(在美国成立的人工智能研究公司,核心宗旨在于“实现安全的通用人工智能,AGI”,使其有益于人类。OpenAI于2015年由一群科技领袖,包括山姆·阿尔特曼、彼得·泰尔、里德·霍夫曼和埃隆·马斯克等人创办。)的创始人指出,生成式人工智能的合理管理是该公司实现盈利的关键原因。此后,除两位创始人外,所有创始人都离开了,OpenAI正在努力将其核心业务重组为一家营利性公司,不再由其非营利性董事会控制。
Gartner 的云、边缘和人工智能基础设施技术与服务副总裁Sid Nag(锡德·纳格)表示,自2021年以来,NIST的人工智能安全研究所联盟和负责任人工智能中心在人工智能治理方面取得了进展,但没有批准的监管标准来指导首席信息官们,他们面临着越来越大的压力,要从试验阶段走出来,并从对生成式人工智能平台和工具的大量投资中赚钱。
他强调没有一份文件能够涵盖所有方面的风险,也没有明确的权力来强制使用生成式人工智能,而生成式人工智能每天都在进步。“人工智能就像一列失控的火车,每个人都想从中渔利,” 他说。
尽管如此,很少能找到一位首席信息官或高管团队忽视人工智能治理。大大小小的企业都清楚地知道,生成式人工智能如果落入错误的人手中可能会带来灾难。
医疗设备租赁公司US Med-Equip(是一家总部位于休斯顿的医疗设备提供商,专注于医疗设备的租赁、销售、服务和资产管理。该公司提供从输液泵、患者监护仪到呼吸机、婴儿培养箱等多种医疗设备,服务范围遍及全国的顶级医院和医疗设施。)的首席信息官Antonio Marin(安东尼奥·马林)表示,人工智能使他的公司能够快速发展,但在治理方面需要全员参与。
“我们正在将人工智能治理纳入我们的数据和网络安全治理的一部分,”Marin(马林)说。他补充说,当概念验证从沙盒环境进入生产环境时,风险会急剧上升。“在某些方面,我们的高管团队将人工智能视为一些流程问题的解决方案。他们将人工智能视为获得市场份额或降低运营成本的机会,同时保持高客户体验质量和卓越运营。”
TruStone的Jeter(杰特)预计监督将在适当的时候成为法律和监管要求。“我将审查人员和内部/外部审计师视为合作伙伴,他们有着与我们的价值观一致的共同目标,”Jeter(杰特)说,“因此,我没有担忧。”
作者:Paula Rooney(宝拉·鲁尼)
Paula Rooney(宝拉·鲁尼)是CIO.com的资深作家。
译者:宝蓝 审核:@lex
【睿观:建立一个完善的AI治理体系是企业实现可持续发展的关键。通过《AI治理成熟度评价指标体系》,企业可以更好地评估自身AI治理水平,并采取相应的措施,确保AI技术的安全、可靠和可控。这个指标体系旨在帮助企业评估其当前的AI治理水平,并为未来的改进提供方向。附《AI治理成熟度评价指标体系》】
总分:100分
1 | 战略与愿景 | 企业是否制定了明确的AI战略,并将其与整体业务目标相结合? | 15% | 是否有明确的AI战略规划?是否将AI视为核心竞争力? |
高管团队对AI的重视程度如何? | 是否有高层领导人负责AI治理? | |||
2 | 组织架构与治理 | 是否建立了专门的AI治理机构或团队? | 15% | 是否有专门的AI治理委员会? |
是否明确了各部门在AI治理中的职责? | 各部门是否明确了其在AI数据管理、模型开发、风险评估等方面的职责? | |||
3 | 数据管理与隐私 | 是否建立了完善的数据治理体系? | 15% | 是否有明确的数据分类和分级制度? |
是否有严格的数据安全保护措施? | 是否对数据进行脱敏和加密处理? | |||
4 | 模型开发与管理 | 是否建立了规范的模型开发流程? | 15% | 是否有明确的模型开发、测试和部署流程? |
是否对模型的性能进行持续监测和评估? | 是否有模型版本控制和追溯机制? | |||
5 | 风险管理 | 是否建立了全面的风险评估机制? | 15% | 是否对AI应用的潜在风险进行评估和管理? |
是否有应急预案? | 是否有针对AI失控或滥用的应急预案? | |||
6 | 伦理与合规 | 是否建立了伦理审查机制? | 15% | 是否有伦理委员会对AI应用进行审查? |
是否遵守相关法律法规? | 是否符合GDPR、CCPA等相关法规的要求? |
评分标准:
0分: 未建立相关制度或体系。
25分: 初步建立,但体系不完善,执行力不足。
50分: 建立了较为完善的体系,但仍存在一些不足。
75分: 体系完善,执行有力,效果显著。
100分: 体系成熟,处于行业领先水平。
注意事项:
权重可根据企业实际情况进行调整。
评价指标应随着AI技术的发展不断更新。
评价结果应结合定性与定量分析。
评价过程应充分听取各部门意见。
自评估: 企业可根据该指标体系,对自身AI治理情况进行自评估,找出差距和不足。
外部评估: 可邀请第三方机构进行评估,获取更客观的评价结果。
持续改进: 根据评估结果,制定改进计划,不断提升AI治理水平。
AI治理与企业文化: AI治理不仅仅是技术问题,更是企业文化的问题。企业应将AI治理理念融入到企业文化中。
人才培养: AI治理需要具备相关知识和技能的人才,企业应加强AI人才的培养。
技术创新: AI技术发展迅速,企业应不断关注新技术的发展,及时调整治理策略。
国际合作: AI治理是一个全球性的问题,企业应积极参与国际合作,共同制定AI治理标准。】
