AI立法进行时丨延续数字治理路径 AI安全风险如何分级分类?
最新信息
AI立法进行时丨延续数字治理路径 AI安全风险如何分级分类?
2023-12-21 13:30:00
人工智能技术在过去一年里突飞猛进,与期冀共行的是担忧——从国内发布《生成式人工智能服务管理办法(征求意见稿)》(下称《征求意见稿》),到欧盟争分夺秒地商议《人工智能法案》、美国推出《关于安全、可靠和可信地开发和使用人工智能的行政命令》,各国法规政策密集出台。技术和监管的演进,是人工智能发展的两条主旋律。
在这之中,安全风险是人工智能监管的源头之一。不同的风险类别,不同主体和应用场景,往往意味着不同强度的监管、不同梯次的义务。如何确定安全风险的边界?如何为不同安全风险分类?怎样保持风控框架的弹性?
带着这些问题,由中国社会科学院法学研究所主办,南财合规科技研究院承办的“人工智能安全风险和法律规制研讨会”在北京召开。会议上,各界专家代表认同人工智能的安全风险分级是数字治理的延续,应当注意多种规范的冲突和衔接问题。呼吁协同共治,让公众、学界、业界、政策制定者能在一个频道上对话。
多主体、多类型、动态涌现
在讨论如何控制安全风险之前,首先要定义何为安全风险。
对外经济贸易大学法学院副教授张欣老师分析,和传统的网络安全相比,人工智能的安全风险有三个特征:第一,多主体。从人工智能的产业链来看,不止上游的科技企业有技术控制力,中下游用户的每一个举动,也会影响人工智能的安全结果,并反过来受其影响;第二,多类型。除了传统的技术风险,人工智能安全还叠加了许多新型问题,这主要体现在风险分布在各个周期上。因此前置监管介入点,是一种常见做法。
最后,动态性。生成式人工智能展现了非常强的技术涌现性,能力和风险同时涌现。在开发者没有将技术实际部署到特定场景下之前,很难预测实际风险是什么,因此安全风险会是不断涌现、动态出现的过程。
在实践中,我国是怎么定义人工智能安全的?《征求意见稿》提出了人工智能服务安全的国家标准:语料安全、模型安全、安全措施。而评估标准,主要围绕语料来源安全、生成内容安全、问题拒答展开。广东财经大学法学院教授姚志伟认为,目前规制的核心重点是生成内容安全,有关部门对内容安全提出了非常系统、细致的内容,并且已经落实了备案实践。
整体来看,可以从微观、中观、宏观层面理解我国语境下的人工智能安全。张欣表示,不同于将安全狭义地理解为强调技术对社会秩序、国家政权稳定的影响,我国的人工智能安全首先强调技术本身安全可靠,同时关注在应用场景中的风险安全可控,此外还注意了整个生态的安全可信。
张欣也指出,对于人工智能安全,还应意识到大众应具有一定的风险接受度。换句话说,人工智能技术现阶段尚难以达到百分之百的安全,所以安全治理需要探索设立一个合理的风险阈值,平衡安全和发展。
应用分级逻辑主导,延续数字治理
考虑到人工智能安全风险的特征,识别风险类型、比较后果、确定监管的优先次序,是必要也是已经普遍采取的做法。
尽管风险分级分类的线索贯穿各国人工智能规范,但逻辑不尽相同。同济大学法学院朱悦将其分为三类:按模型能力的分级、按结构逻辑的分级、按应用逻辑的分级。
对于按能力的分级,可以概括为,如果模型能力强到一定程度、通用到一定程度,则归为特殊一类,需要单独承担责任或义务。根据欧盟人工智能法案和白宫人工智能行政命令,衡量标准可能有模型参数量、浮点运算(FLOPS)、训练数据集的规模、下游任务的泛化程度。朱悦坦言,数据量的阈值往往是一个取舍点,通常会和政策制定国的大模型发展状况匹配。
按结构的分级,则将人工智能看成一个由不同组件搭建的系统。划分类别可以是供应链内部的不同主体,也可以是不同工序和组件,比如数据、表征、模型、部署。朱悦认为,随着数字法律体系的完善,个人信息保护、数据安全等各部数字法律会自然适用于人工智能的各个模块,也可以视为数据治理的延续。
最后是目前普遍采用的按应用分级,也就是在不同主体、不同场景、不同用途下谈论风险分级。“对于特定类型的场景,比如法律、金融、医疗、汽车自动驾驶等等,本身积累了大量的行业规范,风险预期程度和敏感度自然不同。”朱悦表示。在他看来,安全风险分级应以应用分级为主导逻辑,同时注意多部法律之间的冲突和衔接问题。
往前追溯,分类分级的方法在网络安全领域存在已久。360集团法务中心高级总监孙艳玲指出,我国早有工业数据分类分级的指南,国家标委也有信息安全技术网络数据分类分级要求。她由此补充了两点观察:“建议关注人工智能内生风险、衍生风险。内生风险就是所谓的自身失控,衍生风险则是应用过程中的风险,无外乎体现在算法、数据、知识产权侵权、社会伦理、技术滥用以及网络攻击这几个维度上。”
孙艳玲关心的另一点是网络攻击风险。孙艳玲认为人工智能如果存在漏洞,或者许多大模型是开源的,可能被黑客和恐怖分子利用攻击第三方网络,甚至引发生化武器攻击、恐怖分子袭击、全球网络安全等灾难性后果,这一问题值得各界保持关注。
避免碎片化规范,平衡合规成本
具体到安全风险的落地执行,各界有不同的担忧。
合规成本是一个问题。清华大学公共管理学院副教授陈天昊以科技伦理监管框架为例,他提到,目前监管的主体责任归于创新主体,即企业本身,但企业合规的内生动力来源于哪里?“简单来讲企业并不希望踩刹车,希望踩油门。这是因为首先企业有自己的激励函数,也就是盈利需求;第二,企业有很大的竞争压力。如果我踩刹车,别人踩油门,应该怎么办?在创新能力很强的AI领域,科技企业内部开展科技伦理审查,会是一个挑战。” 此外,陈天昊还提到,维持类似科技伦理审查委员的机制的运作,需要很高的成本,对于中小企业、初创企业无疑是个负担。
多位业界人士也提到了风险报告的有效性、规则的交叉性问题。人工智能的风险分级分类是数字治理的延续,可能会出现规则的交叉或者冲突,比如通用型人工智能,可能同时出现通用规则和行业规则,适用的逻辑类型越多,规范交叉的可能性越大。一位大厂人AI法务负责人坦言:“众多报告的功能怎么互补?它们如何真正指导和验证在实际工程中的风险防范情况?我们希望关注每份报告实际的有效性。”
业界和学界目前已经摸索了一些落地路径。比如,上述人士指出,企业在尝试产品技术的工程化治理,也就是通过有效的技术手段识别人工智能风险,用技术解决技术本身的问题。多位业界代表也建议,应该设计更精细化的分级分类方法,并避免部门规范碎片化的情况。
值得注意的是,多位学界代表强调学术研究和政策文件之间的语言转化:可以是将学术文章转化成官方语言,也可以是开发给政策制定者的课程,使政策制定者、学界、业界能同频沟通。由此,陈天昊呼吁协同共治,专家、公众参与审查、风控的过程,在社会层面讨论可欲的未来是怎样的,共同寻找审查标准的共识。
(文章来源:21世纪经济报道)
在这之中,安全风险是人工智能监管的源头之一。不同的风险类别,不同主体和应用场景,往往意味着不同强度的监管、不同梯次的义务。如何确定安全风险的边界?如何为不同安全风险分类?怎样保持风控框架的弹性?
带着这些问题,由中国社会科学院法学研究所主办,南财合规科技研究院承办的“人工智能安全风险和法律规制研讨会”在北京召开。会议上,各界专家代表认同人工智能的安全风险分级是数字治理的延续,应当注意多种规范的冲突和衔接问题。呼吁协同共治,让公众、学界、业界、政策制定者能在一个频道上对话。
多主体、多类型、动态涌现
在讨论如何控制安全风险之前,首先要定义何为安全风险。
对外经济贸易大学法学院副教授张欣老师分析,和传统的网络安全相比,人工智能的安全风险有三个特征:第一,多主体。从人工智能的产业链来看,不止上游的科技企业有技术控制力,中下游用户的每一个举动,也会影响人工智能的安全结果,并反过来受其影响;第二,多类型。除了传统的技术风险,人工智能安全还叠加了许多新型问题,这主要体现在风险分布在各个周期上。因此前置监管介入点,是一种常见做法。
最后,动态性。生成式人工智能展现了非常强的技术涌现性,能力和风险同时涌现。在开发者没有将技术实际部署到特定场景下之前,很难预测实际风险是什么,因此安全风险会是不断涌现、动态出现的过程。
在实践中,我国是怎么定义人工智能安全的?《征求意见稿》提出了人工智能服务安全的国家标准:语料安全、模型安全、安全措施。而评估标准,主要围绕语料来源安全、生成内容安全、问题拒答展开。广东财经大学法学院教授姚志伟认为,目前规制的核心重点是生成内容安全,有关部门对内容安全提出了非常系统、细致的内容,并且已经落实了备案实践。
整体来看,可以从微观、中观、宏观层面理解我国语境下的人工智能安全。张欣表示,不同于将安全狭义地理解为强调技术对社会秩序、国家政权稳定的影响,我国的人工智能安全首先强调技术本身安全可靠,同时关注在应用场景中的风险安全可控,此外还注意了整个生态的安全可信。
张欣也指出,对于人工智能安全,还应意识到大众应具有一定的风险接受度。换句话说,人工智能技术现阶段尚难以达到百分之百的安全,所以安全治理需要探索设立一个合理的风险阈值,平衡安全和发展。
应用分级逻辑主导,延续数字治理
考虑到人工智能安全风险的特征,识别风险类型、比较后果、确定监管的优先次序,是必要也是已经普遍采取的做法。
尽管风险分级分类的线索贯穿各国人工智能规范,但逻辑不尽相同。同济大学法学院朱悦将其分为三类:按模型能力的分级、按结构逻辑的分级、按应用逻辑的分级。
对于按能力的分级,可以概括为,如果模型能力强到一定程度、通用到一定程度,则归为特殊一类,需要单独承担责任或义务。根据欧盟人工智能法案和白宫人工智能行政命令,衡量标准可能有模型参数量、浮点运算(FLOPS)、训练数据集的规模、下游任务的泛化程度。朱悦坦言,数据量的阈值往往是一个取舍点,通常会和政策制定国的大模型发展状况匹配。
按结构的分级,则将人工智能看成一个由不同组件搭建的系统。划分类别可以是供应链内部的不同主体,也可以是不同工序和组件,比如数据、表征、模型、部署。朱悦认为,随着数字法律体系的完善,个人信息保护、数据安全等各部数字法律会自然适用于人工智能的各个模块,也可以视为数据治理的延续。
最后是目前普遍采用的按应用分级,也就是在不同主体、不同场景、不同用途下谈论风险分级。“对于特定类型的场景,比如法律、金融、医疗、汽车自动驾驶等等,本身积累了大量的行业规范,风险预期程度和敏感度自然不同。”朱悦表示。在他看来,安全风险分级应以应用分级为主导逻辑,同时注意多部法律之间的冲突和衔接问题。
往前追溯,分类分级的方法在网络安全领域存在已久。360集团法务中心高级总监孙艳玲指出,我国早有工业数据分类分级的指南,国家标委也有信息安全技术网络数据分类分级要求。她由此补充了两点观察:“建议关注人工智能内生风险、衍生风险。内生风险就是所谓的自身失控,衍生风险则是应用过程中的风险,无外乎体现在算法、数据、知识产权侵权、社会伦理、技术滥用以及网络攻击这几个维度上。”
孙艳玲关心的另一点是网络攻击风险。孙艳玲认为人工智能如果存在漏洞,或者许多大模型是开源的,可能被黑客和恐怖分子利用攻击第三方网络,甚至引发生化武器攻击、恐怖分子袭击、全球网络安全等灾难性后果,这一问题值得各界保持关注。
避免碎片化规范,平衡合规成本
具体到安全风险的落地执行,各界有不同的担忧。
合规成本是一个问题。清华大学公共管理学院副教授陈天昊以科技伦理监管框架为例,他提到,目前监管的主体责任归于创新主体,即企业本身,但企业合规的内生动力来源于哪里?“简单来讲企业并不希望踩刹车,希望踩油门。这是因为首先企业有自己的激励函数,也就是盈利需求;第二,企业有很大的竞争压力。如果我踩刹车,别人踩油门,应该怎么办?在创新能力很强的AI领域,科技企业内部开展科技伦理审查,会是一个挑战。” 此外,陈天昊还提到,维持类似科技伦理审查委员的机制的运作,需要很高的成本,对于中小企业、初创企业无疑是个负担。
多位业界人士也提到了风险报告的有效性、规则的交叉性问题。人工智能的风险分级分类是数字治理的延续,可能会出现规则的交叉或者冲突,比如通用型人工智能,可能同时出现通用规则和行业规则,适用的逻辑类型越多,规范交叉的可能性越大。一位大厂人AI法务负责人坦言:“众多报告的功能怎么互补?它们如何真正指导和验证在实际工程中的风险防范情况?我们希望关注每份报告实际的有效性。”
业界和学界目前已经摸索了一些落地路径。比如,上述人士指出,企业在尝试产品技术的工程化治理,也就是通过有效的技术手段识别人工智能风险,用技术解决技术本身的问题。多位业界代表也建议,应该设计更精细化的分级分类方法,并避免部门规范碎片化的情况。
值得注意的是,多位学界代表强调学术研究和政策文件之间的语言转化:可以是将学术文章转化成官方语言,也可以是开发给政策制定者的课程,使政策制定者、学界、业界能同频沟通。由此,陈天昊呼吁协同共治,专家、公众参与审查、风控的过程,在社会层面讨论可欲的未来是怎样的,共同寻找审查标准的共识。
(文章来源:21世纪经济报道)
免责申明:
本站部分内容转载自国内知名媒体,如有侵权请联系客服删除。