AI立法進行時|AI安全評估進行時,何以回應實踐困惑?
21世紀經濟報道 記者鄭雪 北京報道
一段時間以來,人工智能飛速發展,無所不知、侃侃而談。與此同時,人工智能發展伴隨而來的安全問題逐漸提上日程。安全評估成為當下人工智能治理的環節之一。
如何理解安全評估?作為安全評估主要參與方的企業,又該如何回應安全評估落地中的各種問題?近日,由中國社會科學院法學研究所主辦,南方財經合規科技研究院等承辦的人工智能安全風險和法律規制研討會在京舉行。在人工智能安全評估主題論壇上,來自業界、學界的專家,就人工智能安全評估相關內容建言獻策。
AI安全評估是什么?
加強技術風險管控、發展安全的人工智能已經成為各界共識。從傳統的風險評估角度來看,人工智能安全需要從資產、脆弱性、風險、威脅等角度出發,對于信息系統進行安全性評估。
與傳統人工智能風險評估相比,人工智能安全評估又有何不同?有企業專家在發言時表示,人工智能的安全評估,除關注語料安全、模型安全外,還可能涉及拒答題庫的設置,關系到文化、宗教等各方面的內容。
日常實踐中,抽象的安全,尤其是人工智能安全如何評估?
公安部網絡安全等級保護評估中心測評部副主任袁靜表示,以生成式人工智能安全評估為例,從網絡安全等級保護的視角出發,不僅要關注大模型的模型安全、數據安全,還應將大模型看作對外提供服務的系統,進行安全考量。
在她看來,人工智能安全評估需要關注基礎設施、面向公眾的應用用戶、AI特定風險、個人信息保護、模型保護、生成內容安全、供應鏈管理七個方面。“總體來看,針對大模型的安全評估,在傳統的訪談、核查以及測試的基礎上,應該增加固定數據集的測評和紅隊模型的測評兩類安全的測評方法。”袁靜說道。
有企業專家表示,考慮安全評估是一種手段和辦法,要將安全合規貫穿于人工智能服務或者應用生命周期的全過程。
落地實踐存有困惑
安全評估并非新鮮事。以數據出境流通為例,在滿足相關條件之下,企業如有特定數據出境的需求,在滿足特定條件下則需完成數據出境安全評估。
具體到人工智能領域來看,2018年發布的《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》要求互聯網信息服務提供者在滿足相應條件下自行開展安全評估。今年7月,《生成式人工智能服務管理暫行辦法》(以下簡稱《暫行辦法》)第十七條規定,提供具有輿論屬性或者社會動員能力的生成式人工智能服務的,應當按照國家有關規定開展安全評估。
具體到安全評估落地實踐來看,不少企業在安全評估過程中對于相關細節和標準仍存有疑惑。
有企業法務總監鄧斌表示當前實踐中存在一些疑惑。
一是,《暫行辦法》所提及的安全評估到底是什么?這需要更加明確的機制和規則予以確認。其中需要厘清安全評估與雙新評估的區別和聯系。需要清晰章程明確安全評估的具體內容,如是否包含等保測評、倫理審查的內容。
二是,安全評估的監管牽頭部門是誰?這需要明確安全評估的牽頭部門和負責部門,統一出口,避免出現多個部門、不同申報材料和側重點的情況。
三是,安全評估誰來發起?這需要解決安全評估的實施主體問題,對服務提供者予以明確和限定。當前的困惑在于,不少大模型廠家會將大模型的產品或者能力賣給B端客戶,如通過API接口或者SDK方式,B端客戶會在此基礎上進行二次開發,形成新的交互界面。在此情況下,廠家和B端客戶誰是服務的提供者?誰來負責安全評估的工作?
此外,需要明確安全評估性質,是采用審批制還是備案制,以便給予企業穩定預期。
四是,安全評估主要包含哪些內容?需要明確安全評估內容的具體標準。語料安全方面,如果涉及知識產權保護,是否可通過來源安全或者企業承諾書確認等方式來保障。內容安全方面,對于一般企業而言,在建立安全審核機制時面臨較高的標準和較大的成本,一定程度影響了大模型在各行各業的推廣應用。
當下,人工智能已成為國際競爭的新焦點,全球競速之下,不發展就是最大的不安全。
“如果安全與發展并重,一定程度上是否可以先促進發展,讓子彈飛一會兒。這樣先讓大模型發展一段時間,最后再看是否有所擔心的失控風險,同時根據實際情況完善監管機制。”上述企業法務總監說道。
以評估機制保障安全
建立、完善人工智能安全評估配套機制,成為人工智能安全治理的一個重要步驟。
星紀魅族集團數據合規執行總監朱玲鳳認為,安全風險評估機制需要滿足三個條件:
首先,安全評估機制需要具備國際互操作性。因為人工智能是國際競爭力的重要組成部分,人工智能安全評估機制應當保障我國企業的競爭優勢,不增加在國際市場上的合規成本,統籌在總體國家安全觀下。
其次,評估機制必須要能夠準確識別出基礎模型所帶來的極端風險。在極端風險評估方面,需要判斷是否具有風險能力、對齊能力以及是否可以嵌入整套風險治理框架。
最后,安全評估機制需要在企業層面能夠落地實踐,這才能真正有效地控制人工智能風險。因此,應當提供整套風險評估和處理機制,需要具備詳細的細節和相應的具體實操技術措施,以幫助企業識別和控制風險。
無論是安全評估還是安全評估機制的建立,其最終目的都是為了保障人工智能安全有序發展,保障人類福祉的最大化。安全評估只是開始,對于企業而言,最重要的是將安全納入日常業務和日常工作流程之中。
小米集團法務部高級法務總監陳一夫介紹了所在企業在保障安全方面的一些工作。據介紹,其所在的企業堅持業務責任制,在保障安全的企業合規建設方面設立三道防線。一是責權一致,風險是經營行為的伴生品,一線業務部門負責識別和管控風險,將風控作為業績目標。二是設置內部監管部門,如設立安全隱私委員會和科技倫理委員會,提供框架、流程、工具、技術和支持,確保合規和風險管控落地在業務一線,進行監控確保風險在可控范圍,確保風險定級、評估在集團內的一致性。三是將對集團安全的運轉納入審計體系、質量管理體系,確保集團管理體系和日常合規運營處于有效運作中。
本文鏈接:AI安全評估進行時,何以回應實踐困惑?http://m.lensthegame.com/show-2-2170-0.html
聲明:本網站為非營利性網站,本網頁內容由互聯網博主自發貢獻,不代表本站觀點,本站不承擔任何法律責任。天上不會到餡餅,請大家謹防詐騙!若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。
下一篇: 生成式人工智能應用需嚴格規范