人工智慧 (AI) 政策是公司針對 AI 技術合規使用所制定的一套營運規範。這套規範有助於確保符合法規、保障資料隱私,並維護數位安全。
目錄
公司 AI 政策範本
為了讓您的政策能夠有效教育員工了解最佳實務並降低風險,這套政策必須聚焦幾個重點領域。包括以下幾點:
目的與範圍
首先,開宗明義必須釐清企業AI政策的制定目的,同時也必須明確規定適用對象,例如除了正職員工之外,是否包含外包人員或廠商。
核准使用的應用程式
此處列出所有經過核准可以使用的 AI 相關應用程式,以及每一個應用程式的正確存取程序以確保符合法規,但應避免包含如登入憑證等敏感資訊。這些敏感資訊應該由管理部門在員工提出申請時或新進人員的入職流程中,以安全的方式提供。
流程與使用規範
以條列方式摘要 使用 AI 的標準流程,有助於使用者了解適當的步驟並確實遵守。這是建立作業安全規範的好時機,同時也順便溝通該如何處理系統權限、內部溝通、AI 生成內容品質確保,以及整體 AI 系統對資料與工具的存取。此外,還要說明當您懷疑上述任何一個環節可能出現風險或漏洞時該如何處置。
禁止的使用方式
本節說明員工「不該」在何時、何地、以什麼樣的方式使用核准的 AI 應用程式。如果有合理的例外情況,也應該在這裡說明。至於政策的內容,您的遣詞用字應該清楚明瞭、簡單扼要,並容易理解,以避免有任何造成誤解或疑惑的風險。
資料隱私權、智慧財產權,以及使用條款與條件
本節提醒使用者務必檢視他們被核准使用的 AI 工具相關的條款與條件,以防止誤用以及有法律責任的問題。此外,也應強調維護資料隱私權的重要性並避免抄襲,尊重智慧財產權以及智慧財產擁有者,同時也不得讓使用中的工具存取機密資訊。
法律與法規遵循
本節說明您企業 (及您團隊) 在使用 AI 時應該遵守的法規,以及相關的監理機構,包括既有的政府法規,還有任何您的法務、資安和 IT 團隊必須遵守的規範。
AI 公司政策範例
泛加拿大人工智慧策略
加拿大政府推動的泛加拿大人工智慧策略 (Pan-Canadian Artificial Intelligence Strategy) 包含了多項策略重點,但全都針對一個共同的使用目的,那就是「為人民及地球帶來正面的社會、經濟與環境效益」。
Microsoft 負責任的 AI 實務原則
這是一群研究、政策及技術文件的集合,目標是要在道德及負責任的方式下發展 AI。此外,Microsoft 也在 2024 年 5 月發布了一份完整的負責任 AI 透明度報告 ,內容涵蓋從 AI 風險的盤點、衡量、管理到建立安全、負責任的前端 AI 模型。
美國國家標準與技術局 (National Institute of Standards and Technology,簡稱 NIST) 的 AI 標準與政策
NIST 一直與各大民間及公部門利害關係人及聯邦機構密切合作來開發新的 AI 標準。他們「一直在與美國及國際 AI 政策制定單位密切合作,如美國與歐盟貿易和技術委員會 (US-EU Trade and Technology Council)、經濟合作暨發展組織 (OECD)、歐洲委員會 (Council of Europe)、四方安全對話 (Quadrilateral Security Dialogue)」,以及其他多項計畫。此外,NIST 也與美國商業部 (Department of Commerce) 的國際貿易管理局 (International Trade Administration) 以及美國國務院 (Department of State) 在這方面密切合作。
此外,NIST 也在 2024 年 7 月發表了四份「旨在協助改善 AI 系統安全與可信賴度」的文件。包括:
- 生成式 AI
- 安全的軟體
- AI 標準
- 管理雙重用途基礎模型的誤用風險 (Managing Misuse Risk for Dual-Use Foundation Models) 報告 (公開初稿)
AI 法規遵循
定義 AI 倫理
AI 倫理泛指負責任地開發、部署與使用 AI 系統的原則與規範。涵蓋的議題包括安全與資安、公平性、問責性、透明度、隱私、人為控管、社會責任以及持續改進等。
專家對於前沿 AI 法規的建議
由 OpenAI 研究人員所發表的一份報告「前沿 AI 規範:管理公共安全的新興風險」(Frontier AI Regulation: Managing Emerging Risks to Public Safety) (arXiv:2307.03718) 點出了幾項規範前沿 AI 模型以保護使用者面臨的多項挑戰。該報告指出:「前沿 AI 模型帶來了一種獨特的監管挑戰:可能出現意料之外的危險能力,我們很難嚴密防止一個已部署的模型被誤用,也很難避免一個模型的能力被廣泛擴散。」
此外,該報告在總結中表示,法規「至少要包含三項基本要求」:
- 「標準建立流程,以找出對前沿 AI 開發人員的適當要求」
- 「註冊與通報要求,來讓監理機關掌握前沿 AI 的開發流程」
- 「確保遵循安全標準的機制,以規範前沿 AI 模型的開發與部署」
誰可以協助我們管理公司的 AI 政策?
企業可採用兩種互補的方式來制定有效的 AI 政策:一是善用內部資安團隊或與專業顧問公司合作,二是進行紅隊演練。內部團隊或顧問專注於制定和實施基本政策,紅隊演練則透過發掘漏洞和潛在風險來提供關鍵的洞見,確保政策的完善與完整。
顧問公司具備 AI 治理、法規遵循與最佳實務等專業知識,能協助企業制定涵蓋資料隱私、智慧財產保護、風險控管等重要領域的政策,並確保符合產業標準。紅隊演練則能透過發掘系統漏洞、模擬真實世界的威脅,如:對抗性攻擊、資料中毒或模型竊取等,提供可行的洞察,近一步改善並強化政策架構。這些評估也可驗證既有政策的成效性,揭露潛在的誤用情境,例如未經授權的 AI部署(或稱影子 AI) 或未經授權的存取,並發掘 AI 系統的偏誤或倫理疑慮。藉由整合策略諮詢與漏洞評估所提供的洞察,企業能建立兼具安全、公平、彈性的 AI 政策,同時滿足其獨特的營運與策略需求。