AI合规观察| 英国对人工智能的监管:问责与管理原则
英国于今年3月发布的首份人工智能白皮书,提出了监管人工智能的方法,包括五个监管原则:安全与稳健、透明且可解释、公平、问责与管理、竞争与补救。
走出去智库(CGGT)观察到,问责与管理原则要求企业正确理解开发和使用AI所涉及的管理、技术、软6件、数据、法律、工程和安全等方面的问题和风险。同时,企业还需要建立数据保护影响评估(DPIA)等机制,以识别、评估、减轻和记录使用AI对数据主体个人权利的影响。
AI企业在英国如何做好数据保护合规?今天,走出去智库(CGGT)刊发全球领先律所——泰乐信律师事务所(Taylor Wessing)的文章,供关注英国AI监管的读者参阅。
要 点
1、从数据保护的角度来看,问责原则的部分目标,就是要求整个组织能正确的理解和应对人工智能在处理个人数据时的出现的问题和风险。
2、一些风险补救措施包括制定制度和程序,确保操作人员在其角色定位和责任承担方面接受足够的指导。应提前准备这些制度和程序,并辅以培训。
3、在数据主体质疑或提出权利请求的所有情况中,均有必要评估具体数据是否涉及个人权利。
正 文
英国GDPR的“问责原则”规定,个人数据的控制者应负责数据处理的合规性并承担证明责任。问责原则在英国人工智能发展的背景下显得尤为重要,而问责原则和管理原则正是英国政府于2023年3月发布的《人工智能白皮书》中列出的五项核心原则之一,英国信息专员办公室(ICO)等行业监管机构在监管人工智能使用或生成个人数据时,必须考虑这五项原则。
从处理个人数据的角度来看,问责原则可以通过在数据处理中采用的既定的技术和组织措施实现,以防不合规操作的出现。
人工智能系统的迅速崛起,尤其是通过设计和默认方式嵌入数据保护原则,这对如何理解以及证明“良好合规”的方式提出了根本性挑战。人工智能系统中的问责原则是一个复杂且不断发展的领域,远远超出了本摘要所讨论的范围。但尽管存在这些挑战,对问责原则框架的现有了解,还是有助于在人工智能背景下构建负责任的个人数据治理和风险管理方案。
了解人工智能和相关问题
我们不能忽视人工智能在技术上的复杂性,事实上,从数据保护的角度来看,问责原则的部分目标,就是要求整个组织能正确的理解和应对人工智能在处理个人数据时的出现的问题和风险。这可能需要了解跨学科的各种不同专业的知识,包括管理、技术、软件、数据、法律、工程和安全等等。重要的是,团队中每个人都要与其他成员坦诚合作,以便更广泛地了解各自专业领域以外的问题,其中应包括对数据保护问题的理解。
领导力、文化和价值观
建立相互协作和支持的团队需要决策者自上而下的有效沟通和指导。在这方面,管理层也有责任提高自己对人工智能系统和数据保护问题的认知和技能,在整个组织内明确界定组织的价值观和目标,并确认各角色定位和报告架构。
为了支持对人工智能的管理,还可设立人工智能伦理委员会或董事会(可以是内部机构或聘用外部机构),这样的机构要具备各项职能(包括下文所述的职能),其中关键职能包括:进一步开展相关教育,支持不同部门参与,并帮助决策者就人工智能开发和使用制定组织原则和价值观(包括在计划开发应用的人工智能系统中处理个人数据时,保护个人权利)。
风险识别和评估
数据保护合规的核心内容之一是识别和评估处理个人数据过程中出现的风险。就人工智能系统而言,这意味着要事先进行数据保护影响评估(DPIA),以探究并证明使用人工智能的决定的合理性,并识别、评估、降低和记录该等使用对个人权利和自由的风险。
各类组织也不妨考虑调整现有的数据保护影响评估(DPIA)流程,以捕捉人工智能系统的特定风险因素。这包括训练数据的方法、对不同数据主体不适当分类所造成的危害风险(这会影响某一群体内商品或机会的分配,从而损害其他人的利益),或人工智能系统在区别对待不同个人群体时强化了身份偏见或歧视的风险。
程序和过程
一些风险补救措施包括制定制度和程序,确保操作人员在其角色定位和责任承担方面接受足够的指导。应提前准备这些制度和程序,并辅以培训。
需要实施风险管理制度或更新现有制度,以解决人工智能领域的特定问题,例如,获取和处理在训练和测试人工智能中的数据,采购和评估外部软件,设定批准人工智能系统开发、部署和更新的的角色和责任(可能还包括伦理委员会的角色),以及确保制定与机器自主决策相关的制度,以应对偏见、成见或缺乏可解释性的风险。
透明度和补救
英国GDPR要求个人数据的控制者就以下方面对数据所有者提供信息说明:他们的个人数据在人工智能系统中是如何被收集和处理的,包括告知其将如何处理数据以及处理数据的原因,并解释人工智能做出的任何决定、任何个人数据将保留多长时间以及将与谁共享。
人工智能系统中的信息说明包括,明确个人在其个人数据方面享有的权利,这些权利可能与人工智能系统开发和运行的不同阶段相关(无论是在训练数据过程中收集和使用个人数据,还是用于预测建模,或是在任何机器自主决策中数据主体的权利)。
在数据主体质疑或提出权利请求的所有情况中,均有必要评估具体数据是否涉及个人权利。这样做可能是因为可以从数据中识别出来具体个体,或者数据处理的性质具有“挑出”该个体的效果(例如,即使该人无法从数据中被直接识别出来,但通过评估某个人特定的主体行为模式,可以识别出该个体)。对于记录的由人工智能通过参考个人数据而生成的结果,数据主体的更正权同样适用,这些数据是否“不准确”可能取决于所持有的记录是否仅仅是一种预测,而不是对事实的陈述。
准备和响应
最后,但同样重要的是,在人工智能系统决策过程中,包括在训练人工智能的过程中,以及在相关情况下采取步骤推翻生成的不准确或误导性的具体数据。还应在系统部署后对系统性能进行监督,以确保规范保持一致(例如,系统内不存在随着时间推移才出现的结果偏差)。
将熟悉的方法应用于新技术
针对已经根据英国GDPR规定制定出有效制度、程序和责任追踪的组织,在使用涉及个人数据的人工智能时,将会有很大优势。在英国,政府采取的方法是以原则为主导,其核心原则对于习惯于遵守数据保护规定的组织来说并不陌生。无论人工智能系统是否使用个人数据,都可以采用英国GDPR规定的方法。
这并不意味着未来没有挑战。正如本文所讨论的,在复杂的新技术等背景下,要达到可解释性和信息透明度的标准并非易事,而且一些数据保护原则,尤其是数据最小化原则,可能会成为许多人工智能模型的难题。沙盒机制是英国政府监管人工智能的一个关键要素,英国信息专员办公室(ICO)在对《人工智能白皮书》作出回应时强调,有必要在整个人工智能功能开发过程中为企业提供及时的建议,并为希望使用人工智能的企业提供建议,这无疑会有所帮助。
同时,给予开发或希望使用人工智能的组织的建议与一般数据保护合规的建议大致相同。您在处理新技术和新要求时不一定总能做到完全合规,但如果您能证明自己正在尽最大努力,并与英国信息专员办公室(ICO)合作,那么您就能成功满足人工智能问责原则和管理的要求。
来源:泰乐信律师事务所
