在部署GenAI的过程中,70%以上的IT领导者担心所在企业能否满足法规要求,许多人担心未来会出现一系列杂乱无章的法规。
Gartner最近的一项调查显示,超过70%的IT领导者将法规合规性列为与GenAI部署相关的三大挑战之一。调查还指出,不到四分之一的IT领导者对其所在企业在使用GenAI时管理安全和治理问题(包括法规合规性)的能力非常有信心。
Gartner的高级总监分析师莉迪亚·克劳赫蒂·琼斯(Lydia Clougherty Jones)表示,IT领导者似乎担心要遵守越来越多的AI法规,包括一些可能相互冲突的法规。
“对于一家全球化企业而言,法律上的细微差别可能让人应接不暇,因为不同国家公布的框架差异很大。”她说。
Gartner预测,到2028年,AI法规违规行为将使科技公司的法律纠纷增加30%。该分析公司还预测,到2026年年中,非法的AI决策新类型将给AI供应商和用户带来超过100亿美元的补救成本。
这仅仅是个开始
政府对AI的监管努力可能还处于初级阶段,2024年8月生效的《欧盟AI法案》是针对AI使用的首批主要立法之一。
虽然美国国会迄今为止采取了不干预的做法,但已有几个美国州通过了AI法规,例如2024年的《科罗拉多州AI法案》要求AI用户建立风险管理制度并进行影响评估,同时要求供应商和用户保护消费者免受算法歧视。
得克萨斯州也通过了本州的AI法案,该法案将于2026年1月生效。《得克萨斯州负责任AI治理法案》要求政府实体在个人与AI交互时告知个人,该法案还禁止利用AI操纵人类行为,例如煽动自残或从事非法活动。
得克萨斯州的这项法案规定,每次违规的民事处罚最高可达20万美元,持续违规的每日处罚最高可达4万美元。
然后,在9月下旬,加利福尼亚州州长加文·纽森(Gavin Newsom)签署了《前沿AI透明度法案》,该法案要求大型AI开发者公布其如何将国家标准、国际标准和行业共识的最佳实践纳入AI框架的说明。
这项将于2026年1月生效的加州法案还规定,AI公司必须在15天内报告包括网络攻击在内的重大安全事件,并提供了保护举报人举报违法行为的条款。
未能遵守披露和报告要求的公司,每次违规将面临最高达100万美元的罚款。
加州在信息技术法规方面对全球实践有着巨大的影响,因为该州约3900万的人口使其拥有大量受法律保护的潜在AI客户。加州的人口比135多个国家的人口还要多。
加州也是世界AI之都,全球50强AI公司中有32家的总部位于加州,包括OpenAI、Databricks、Anthropic和Perplexity AI。所有在加州开展业务的AI供应商都将受到这些法规的约束。
前沿的CIO们
市场情报公司Futurum Equities负责数字领导力和CIO业务的副总裁兼业务主管迪翁·欣奇克利夫(Dion Hinchcliffe)表示,随着美国各州和更多国家可能通过AI法规,CIO们在部署这项技术时自然会对合规问题感到担忧。
“CIO负责让技术真正发挥作用,所以他们会密切关注哪些是可行的,”他说,“他们会问,‘这些东西有多准确?数据有多可靠?’”
欣奇克利夫说,虽然已经有一些AI法规和治理合规解决方案,但一些CIO担心这些工具无法跟上不断变化的法规和AI功能格局。
“目前尚不清楚我们是否拥有能够持续可靠地管理治理和法规合规问题的工具,而且情况可能会变得更糟,因为法规甚至都还没有出台。”他说。
他补充说,由于AI技术的特性,AI法规合规将尤其困难。欣奇克利夫说:“AI太难以捉摸了。这项技术不是确定性的,而是概率性的。AI致力于解决所有这些问题,而这些问题都是传统编码系统无法解决的,因为编码人员从未考虑过那种场景。”
电子健康档案协会AI工作组主席蒂娜·乔罗斯(Tina Joros)也认为,由于法规格局支离破碎,合规问题令人担忧。她说,已经通过的各种法规可能会扩大大型卫生系统与其规模较小和位于农村地区的同行之间本就巨大的数字鸿沟,因为后者在采用AI方面努力跟进步伐。
她补充说:“加利福尼亚州、科罗拉多州和得克萨斯州等州颁布的各种法律正在制造一个法规迷宫,卫生信息技术领导者面临挑战,这可能会对GenAI的未来发展和使用产生寒蝉效应。”
乔罗斯补充说,即使是未能成为法律的法案也需要仔细分析,因为它们可能会影响未来的法规预期。
“令人困惑的是,这些法律法规中包含的相关定义,如‘开发者’‘部署者’和‘高风险’等,往往各不相同,导致行业出现一定程度的不确定性,”她说,“这理所当然地导致许多软件开发人员有时会暂停或重新考虑项目,因为开发人员和医疗服务提供者希望确保他们现在正在构建的工具在未来是合规的。”
合同软件提供商ContractPodAi的首席AI官詹姆斯·托马斯(James Thomas)也认为,AI法规之间的不一致和重叠会造成问题。
“对于全球化企业而言,这种碎片化本身就会造成运营难题,不是因为他们不愿意遵守法规,而是因为每项法规对透明度、使用、可解释性和问责制等概念的定义都略有不同,”他说,“在北美适用的方法在欧盟并不总是适用。”
关注治理工具
托马斯建议,各企业在部署AI时应采用一套治理控制和系统。在许多情况下,一个主要问题是AI的采用是由使用个人生产力工具的单个员工推动的,这导致了一种碎片化的部署方式。
“虽然这些工具在特定任务上功能强大,但它们从来不是为应对受监管的企业级部署的复杂性而设计的,”他说,“它们缺乏集中治理,各自为政,几乎不可能确保一致性、追踪数据来源或大规模管理风险。”
在IT领导者努力应对法规合规问题时,Gartner还建议,要着重训练AI模型进行自我纠正,制定严格的用例审查程序,增加模型测试和沙盒测试,并部署内容审核技术,例如设置报告滥用行为的按钮和AI警告标签。
Gartner的克劳赫蒂·琼斯表示,IT领导者需要能够为其AI结果辩护,这就要求深入了解模型的工作原理。在某些风险场景下,这可能意味着要使用外部审计员来测试AI。
“你必须为数据辩护,必须为模型开发、模型行为辩护,然后你还必须为输出结果辩护,”她说,“很多时候,我们使用内部系统来审核输出结果,但如果某件事的风险真的很高,为什么不找一个中立的第三方来进行审核呢?如果你在为模型辩护,而你自己又进行了测试,那么这种辩护的作用也就仅限于此了。”
