Политики компании в области ИИ — это набор правил, определяющий, как корректно использовать ИИ-системы. Выполнение правил помогает обеспечить соответствие требованиям регуляторов, конфиденциальность данных и цифровую безопасность.
Содержание
Шаблон политики компании по применению ИИ
Чтобы политика помогала внедрять лучшие практики и эффективно снижала уровень риска, она должна содержать основные разделы, перечисленные ниже. К ним относятся:
Цель и сфера применения
Этот вступительный раздел, который должен прояснить общее направление ИИ-политики компании. В разделе также должно быть указано, кто обязан соблюдать требования политики, например: не только штатные сотрудники, но и внешние подрядчики.
Одобренные приложения
Здесь должны быть перечислены только те приложения на основе ИИ, которые разрешены для использования. Можно также указать процедуры доступа к каждому из них, чтобы обеспечить комплаенс, но критичную информацию, например, реквизиты доступа к системе, указывать нельзя. По запросу лица, которому требуется получить доступ, их в защищенном виде может предоставить администратор или пользователь получит их в процессе регистрации.
Рекомендации по продвижению и/или использованию
Краткое изложение процесса использования ИИ можно оформить, например в виде маркированного списка с конкретными инструкциями. В руководстве можно установить руководящие принципы и рассказать о том, как должны обрабатываться разрешения, как контролировать качество генерируемого искусственный интеллектом контента, а также как управлять внутренними коммуникациями и общим доступом к данным и инструментам, предоставляемый системам ИИ. Кроме того, можно конкретизировать, что делать в случае наличия риска или уязвимости, связанной с любым из перечисленных выше факторов.
Что запрещено использовать
В этом разделе следует пояснить, когда, где и как не следует использовать ИИ-приложения из списка разрешенных. Конкретные обоснованные исключения также следует указать здесь. Здесь, как и в остальных разделах политики, выбирайте четкие, лаконичные и простые для понимания формулировки, чтобы свести к минимуму вероятность неправильного толкования или путаницы.
Конфиденциальность данных, права интеллектуальной собственности и условия использования
В этом разделе напомните пользователям о необходимости ознакомиться с условиями использования инструментов ИИ, к которым им разрешен доступ, чтобы избежать неправильного их применения и связанной с этим ответственности. Также следует обратить внимание на то, как важно сохранять конфиденциальность данных и не допускать плагиата, уважать права интеллектуальной собственности и их владельцев, а также на то, чтобы не предоставлять инструментам, о которых идет речь, доступ к конфиденциальной информации.
Закон и комплаенс
В этом разделе укажите руководящие органы и нормативные акты, требования которых ваши сотрудники и организация в целом обязаны выполнять при использовании ИИ. Сюда должны быть включены утвержденные правительственные акты и любые требования, предъявляемые к вашей юридической службе, командам по ИБ и по ИТ.
Примеры политик по применению ИИ
Канадская стратегия ИИ
В национальной стратегии Канады по ИИ — Pan-Canadian Artificial Intelligence Strategy выделено четыре приоритетных направления, но указана единая цель: «вызвать положительные социальные, экономические и экологические преимущества для людей и планеты».
Практики Microsoft по ответственному применению ИИ
Это собрание технической документации, документов по исследованиям и политикам, направленных на ответственное применение ИИ с соблюдением этических норм. В мае 2024 г. компания Microsoft опубликовала очередной ежегодный отчет Responsible AI Transparency Report, который охватывает все аспекты: от измерения и управления рисками ИИ до создания безопасных и ответственных передовых ИИ-моделей.
Национальный институт стандартов и технологий (NIST): ИИ-стандарты и предложения для политик
NIST работает в тесном сотрудничестве с заинтересованными представителями частного и государственного секторов, а также с федеральными агентствами для разработки новых стандартов ИИ. Они активно участвуют в работе международных и североамериканских участников разработки политик в области ИИ: Совета по торговле и технологиям США-ЕС, ОЭСР, Совета Европы, QUAD и ряда других инициатив. NIST также сотрудничает с Министерством торговли США и Государственным департаментом США.
В июле 2024 года NIST также выпустил четыре публикации, которые призваны помочь повысить безопасность, надежность и достоверность ИИ-систем. Сюда входят следующие публикации:
- Генеративный ИИ
- Secure Software
- AI Standards
- Первый публичный проект отчета Managing Misuse Risk for Dual-Use Foundation Models («Управление рисками злоупотребления базовыми ИИ-моделями двойного назначения»)
Государственное регулирование ИИ и комплаенс
Этика ИИ
Этика ИИ — это совокупность принципов, которые регулируют ответственную разработку, внедрение и использование систем ИИ. В нем рассматриваются такие вопросы, как безопасность, справедливость, ответственность, прозрачность, конфиденциальность, человеческий контроль, социальная ответственность и постоянное совершенствование.
Рекомендации экспертов по регулированию передовых ИИ-моделей
В отчете, опубликованном исследователями OpenAI (arXiv:2307.03718: Frontier AI Regulation: Managing Emerging Risks to Public Safety), освещается сложность регулирования передовых моделей ИИ для обеспечения безопасности пользователей. В отчете говорится, что передовые ИИ-модели создают особые проблемы для регулирования: опасные возможности могут появиться неожиданно; трудно предотвратить неправомерное использование развернутой модели и широкое распространение возможностей модели.
Кроме того, в резюме отчета отмечается, что для регулирования необходимы как минимум три составных элемента:
- процесс стандартизации для определения соответствующих требований к разработчикам передовых ИИ-моделей;
- требования к регистрации и отчетности, которые позволят регулирующим органам получить представление о процессах разработки передовых ИИ-моделей;
- механизмы, обеспечивающие соблюдение стандартов безопасности при разработке и внедрении передовых ИИ-моделей.
Кто поможет управлять корпоративными политиками в области ИИ?
Организации могут разрабатывать эффективные политики применения ИИ с помощью двух взаимодополняющих подходов: поручить эту задачу своему отделу безопасности или обратиться в специализированную консалтинговую фирму и провести тестирование в формате Red Teaming. Собственные команды или консультанты работают над определением и внедрением основополагающих политик, тестирование Red Teaming выявляет уязвимости и потенциальные риски, обеспечивая надежность и комплексный охват политик.
Консалтинговые фирмы специализируются на управлении ИИ, комплаенсе и передовых практиках. Они помогают организациям разрабатывать политики, которые охватывают такие ключевые области, как конфиденциальность данных, защита интеллектуальной собственности и снижение рисков в полном соответствии с отраслевыми стандартами. Тестирование в формате Red Teaming дополняет эту работу, поскольку позволяет выявлять уязвимости системы, моделировать реальные угрозы, такие как состязательные атаки, отравление данных или кража моделей, и предоставляет аналитику для корректировки политик. Эти тесты также проверяют эффективность существующих политик, обнаруживают потенциальные сценарии ненадлежащего использования, такие как развертывание теневого ИИ или несанкционированный доступ, и выявляют предвзятость или нарушения этики в ИИ-системах. На основе стратегических консультаций и оценок уязвимостей организации могут разрабатывать безопасные, справедливые и гибкие политики применения ИИ в соответствии со своими уникальными операционными и стратегическими потребностями.
Статьи по теме
10 основных рисков и мер по их снижению для LLM и генеративного ИИ в 2025 году
Управление возникающими рисками для общественной безопасности
Как далеко заведут нас международные стандарты?
Как написать политику кибербезопасности для генеративного ИИ
Атаки с использованием ИИ — один из самых серьезных рисков
Распространение угроз, связанных с дипфейками