企业人工智能政策:如何让您的组织为欧盟人工智能法案做好准备
人工智能(AI)正以惊人的速度发展,并已融入日常业务运营之中。从生成式人工智能工具和聊天机器人,到用于招聘、客户分析和决策的系统,越来越多的组织依赖人工智能系统,但往往对随之而来的法律和组织义务缺乏充分的了解。
随着欧盟人工智能法案的颁布,情况正在发生根本性变化。各组织机构需要就人工智能的使用做出明智的选择,并积极管理相关风险。本文将阐述如何制定切实可行且符合法律规定的人工智能政策,从而使您的组织机构能够为欧盟人工智能法案做好准备,并继续遵守现有的法规,例如《通用数据保护条例》(GDPR)。
什么是人工智能政策?为什么需要制定人工智能政策?
人工智能政策是一套内部规则,它定义了组织内部如何、为何以及在何种条件下使用人工智能。它为员工提供指导,并帮助管理层在技术发展过程中保持监督和控制。
人工智能不再局限于IT部门或大型科技公司。许多人工智能功能已被集成到现有软件中,例如客户关系管理系统、人力资源工具和营销平台。员工也经常主动尝试使用公共人工智能工具。如果没有明确的监管措施,这可能导致侵犯隐私、歧视、缺乏透明度或决策失误。
欧盟人工智能法案和GDPR对组织机构提出了明确的责任要求,包括风险管理、数据使用、人工监督和透明度等方面的义务。完善的人工智能政策有助于将这些要求转化为日常实践。
法律框架:欧盟人工智能法案、GDPR 和就业 法律
欧盟人工智能法案遵循基于风险的方法。人工智能系统被分为不同类别,从最低风险到不可接受的风险。对于高风险的人工智能应用,例如招聘和甄选系统、信用评分系统或其他对个人产生重大影响的决策,则适用严格的要求。
这些要求涵盖风险管理和文档记录、数据质量和来源、系统运行方式及其局限性的透明度,以及具备干预能力的有效人工监督等诸多方面。某些人工智能实践被明令禁止,包括特定形式的操纵性人工智能和社会评分。
此外,GDPR 仍然完全适用。在人工智能系统处理个人数据的情况下,数据最小化、合法性、安全性和限制自动化决策等核心原则尤为重要。劳动法和消费者保护规则也可能适用,例如在与人力资源相关的人工智能或面向客户的人工智能应用中。人工智能政策将这些法律要求与日常业务运营联系起来。
强有力的AI政策的目的和范围
有效的AI政策并非纸上谈兵,而是为所有从事AI工作的人员提供切实可行的指导。它应该阐明组织为何使用AI、旨在实现什么目标、存在哪些风险,以及员工应如何负责任地使用AI工具。
明确政策适用范围至关重要。政策应具体说明其适用的部门,例如人力资源、市场营销、客户服务、财务、运营以及研发部门。此外,还应明确哪些类型的系统受该政策约束,包括购买的人工智能软件、内部模型、生成式人工智能工具、聊天机器人、评分工具和推荐系统。最后,政策还应说明是否允许个人在何种条件下使用公共人工智能工具进行实验。
人工智能政策的关键组成部分
人工智能政策应从清晰的定义入手,这些定义应与欧盟人工智能法案中人工智能的总体概念保持一致,但要使用员工能够理解的语言。员工应该能够识别出他们正在使用的人工智能系统是否符合该政策。按领域划分的实际案例,例如人力资源、客户互动和内部流程,有助于使政策更加生动形象。
该政策应区分允许的人工智能使用、受限于特定条件的使用以及禁止的使用。禁止的使用包括欧盟《人工智能法》中被归类为不可接受风险的人工智能实践。对于风险较低的使用案例,该政策可以附加一些条件,例如透明度义务或事先批准。允许的使用可以与一些保障措施挂钩,例如风险评估、数据保护影响评估 (DPIA) 以及其他技术和组织措施。
治理是另一个核心要素。政策应明确界定人工智能合规的最终责任人、有权选择或实施新的人工智能应用的机构以及监督合规性和事件处理的机构。供应商的选择和管理也至关重要。各组织应评估供应商是否能够满足欧盟人工智能法案的要求,并确保这些义务在合同中得到妥善体现。
数据、隐私、安全和透明度
由于人工智能依赖于数据,因此政策应明确规定哪些数据可以通过人工智能系统处理,哪些数据不能处理。政策应涵盖数据最小化、匿名化或假名化(如适用)、数据保留期限以及训练数据与生产数据的分离等内容。对于高风险系统,通常需要进行综合评估,同时考虑欧盟人工智能法案和GDPR。
人工智能系统及其依赖的数据必须得到妥善保护。相关政策应详细说明访问权限的组织方式、使用情况的记录和监控方式,以及安全事件和数据泄露的处理方式。
欧盟人工智能法案要求在个人与人工智能系统互动或人工智能生成内容时保持透明。因此,该政策可能要求在使用人工智能时,必须告知员工、客户和其他利益相关者,包括其关键特征和局限性。
人为监督、偏见和决策质量
对于会对个人产生重大影响的人工智能系统,人工监督至关重要。相关政策应明确规定何时必须进行人工监督或由人工决策,以及如何在实践中落实这种监督。此外,建议定期测试人工智能系统的偏见、错误率和意外后果,尤其是在人力资源和客户入职等领域。
培训和人工智能素养
欧盟人工智能法案要求各组织提升员工的人工智能素养。因此,人工智能政策应包含培训框架,为所有员工提供基础培训,并为人力资源、IT、数据团队和管理层等特定岗位提供更高级的培训。为了跟上技术和法律的发展步伐,必须定期更新培训内容。
从初始库存到成熟的人工智能政策
一套切实可行的AI政策通常分阶段制定。首先,组织需要识别正在使用的AI应用,包括员工使用的现有软件和工具中嵌入的AI功能。其次,根据风险对这些应用进行分类。随后进行法律和组织风险评估,之后起草AI政策,并使其与现有的隐私、信息安全和人力资源框架保持一致。接下来,将政策落实到流程、合同和系统中。最后,通过培训、沟通、监控和定期更新,确保政策长期有效。
结语
欧盟人工智能法案明确指出,随意或缺乏结构化的AI实验已不再可行。尽早投资制定完善的AI政策的组织可以降低法律风险,并赢得员工、客户和监管机构的信任。
您想了解您的组织是否已做好应对欧盟人工智能法案的准备吗?或者您在起草或实施人工智能政策方面需要帮助吗?请联系我们。 Law & More。我们很乐意为您提供帮助。
常见问题
根据欧盟人工智能法案,制定人工智能政策是否具有强制性?
欧盟《人工智能法案》并未明确要求组织机构制定名为“人工智能政策”的文件。然而,在实践中,制定人工智能政策对于证明其符合《人工智能法案》和《通用数据保护条例》(GDPR)所规定的义务至关重要,例如风险管理、人工监督、透明度和人工智能素养。
哪些组织受欧盟人工智能法案约束?
欧盟人工智能法案适用于几乎所有在欧盟境内开发、投放市场或使用人工智能系统的组织。这不仅包括科技公司,还包括雇主、服务提供商以及在人力资源、市场营销、客户互动、财务或决策过程中使用人工智能的组织。
如果我们只使用标准的现成软件,欧盟人工智能法案是否适用?
是的。即使人工智能功能嵌入在第三方软件中,使用该系统的组织仍然对其使用负有责任。依赖供应商并不能免除用户在欧盟人工智能法案和GDPR下的义务。
低风险、有限风险和高风险人工智能系统之间有什么区别?
欧盟《人工智能法》根据人工智能系统对个人基本权利和利益构成的风险程度对其进行分类。高风险人工智能系统包括用于招聘和甄选、员工评估、信用评估或获取基本服务的系统。这些系统须遵守更为严格的规定。
所有人工智能应用都需要事先评估吗?
实际上,答案是肯定的。组织在部署人工智能应用之前,应该对其进行清点和评估,并根据风险对其进行分类。对于高风险的人工智能应用,需要进行全面的评估,通常还需要根据《通用数据保护条例》(GDPR) 进行数据保护影响评估。
人工智能政策与GDPR有何关系?
欧盟《人工智能法案》与《通用数据保护条例》(GDPR)相辅相成。《人工智能法案》侧重于人工智能系统的治理、风险管理和运行,而GDPR则规范个人数据的处理。有效的人工智能政策应整合这两个框架,确保始终如一的合规性。
使用人工智能时是否总是需要进行数据保护影响评估?
并非总是如此,但这种情况很常见。如果人工智能系统处理个人数据且可能对个人造成高风险,则根据《通用数据保护条例》(GDPR),必须进行数据保护影响评估 (DPIA)。对于欧盟《人工智能法案》规定的高风险人工智能,在实践中,DPIA 往往是不可避免的。
人工智能系统能否自主做出有关员工或客户的决策?
只有在严格的条件下才能这样做。GDPR限制了完全自动化的决策,而欧盟人工智能法案则要求对高风险人工智能系统进行有效的人工监督。在许多情况下,必须允许人为干预、审查或推翻人工智能驱动的决策。
人工智能政策能否限制员工使用公共人工智能工具?
是的。人工智能政策的关键目的之一是明确员工是否以及在何种条件下可以使用公共人工智能工具。这通常包括关于输入机密信息、个人数据或敏感商业信息的规则。
谁负责遵守人工智能政策?
人工智能政策应明确划分人工智能合规责任。最终责任通常由高级管理层或董事会承担,法律、合规、IT 和人力资源部门也发挥重要作用。缺乏清晰的治理机制,就难以实现有效的监督。
如果一个组织没有人工智能政策,会面临哪些风险?
缺乏人工智能政策会增加违反欧盟人工智能法案和GDPR的风险。这可能导致巨额罚款、强制执行措施、声誉损害以及潜在的民事责任。此外,这也使得企业更难向监管机构证明其人工智能治理的负责任性。
人工智能政策应该多久审查一次?
人工智能政策不应被视为一成不变的文件。定期审查必不可少,尤其是在引入新的人工智能系统、法律法规或监管指南发生变化,或发生安全事件时。通常认为,年度审查是最低要求。
是否所有员工都必须具备人工智能素养?
欧盟人工智能法案要求各组织采取措施提升员工的人工智能素养。这并不意味着每位员工都必须成为技术专家,而是他们应该了解人工智能是什么、它在组织内部如何应用以及存在哪些风险。
什么情况下应该寻求法律建议?
在部署高风险人工智能系统、特定应用的合法性存在疑问,或出现有关执法、审计或责任认定等问题时,尤其建议寻求法律咨询。及早进行法律审查可以避免日后代价高昂的补救措施。
