ChatGPT的六大合规风险

VSole2023-05-29 10:35:28

ChatGPT在全球科技行业掀起了生成式人工智能的“军备竞赛”,但是人们对生成式人工智能(AIGC)的合规风险普遍认识不足。

Gartner最近撰文指出,企业法务和合规负责人应该认知并解决企业面临的六种ChatGPT(包括其他基于大语言模型的生成式人工智能工具)合规风险,并开始建立护栏确保企业能安全且负责任地使用生成式人工智能工具。

“ChatGPT和其他大型语言模型工具容易产生多种风险,”Gartner法律与合规实践高级总监分析师冉弗里德曼(Ron Friedmann)指出:“法律和合规领导者应评估这些问题是否对其企业构成重大风险,以及在企业内部及其第三方/多方推广AI应用时企业内部需要采取哪些控制措施。否则,企业可能会面临法律、声誉和财务方面的严重后果。

法务和合规负责人应评估的六大ChatGPT风险包括(同样适用于其他大语言模型工具):

捏造的或失实信息

ChatGPT和其他大语言模型工具最常见的问题是倾向于提供不正确的(尽管表面上合理的)信息。

“ChatGPT也容易产生'幻觉',包括捏造答案,以及不存在的法律或科学引用,”弗里德曼说:“法律和合规领导者应该发布指导意见,要求员工在采信答案之前审查大语言模型工具生成内容是否准确、恰当和实用。”

数据隐私和机密性

法律和合规领导者应该意识到,输入到ChatGPT中的任何信息,如果未关闭聊天记录功能,都可能成为其训练数据集的一部分。

“提示词中使用的敏感、专有或机密信息可能会被用于回复企业外部用户的提问,”弗里德曼说:“法律和合规部门需要为ChatGPT的使用建立一个合规框架,并明确禁止将敏感的组织或个人数据输入公共大语言模型工具。

模型和输出偏差

尽管OpenAI努力减少ChatGPT中的偏见和歧视,但这些问题的案例已经频频发生,尽管OpenAI和其他公司正在积极努力将这些风险降至最低,但这个问题可能会永远存在。

“大语言模型不太可能完全消除偏见,因此法务和合规人员需要掌握管理人工智能偏见的法律,并确保合规性,”弗里德曼说:“这可能需要与专家合作,以确保人工智能生成可靠内容,并通过审计和技术功能进行数据质量控制。”

知识产权(IP)和版权风险

大语言模型工具,尤其是ChatGPT,训练时使用了大量互联网数据,其中可能包括受版权保护的材料。因此,ChatGPT之类的大语言模型输出的内容也有可能侵犯版权或知识产权保护。

“ChatGPT没有提供其内容生成的具体原理和机制,”弗里德曼说:“法律和合规领导者应该密切关注适用于ChatGPT(以及其他生成式人工智能工具)输出内容相关版权法规的任何变化,并要求用户仔细审查他们生成的内容,以确保不侵犯版权或知识产权。”

网络欺诈风险

不法分子已经在滥用ChatGPT来大规模生成虚假信息(例如,虚假评论)。

此外,集成或接入大语言模型模型(包括ChatGPT)的应用程序也容易受到提示注入攻击的影响。所谓提示注入攻击是一种黑客技术,攻击者使用恶意对抗性提示诱骗人工智能模型执行违反其内容审核规则的任务,例如编写恶意软件代码或开发网络钓鱼站点。

“法务和合规领导者应与网络安全风险负责人协调,探讨是否或何时就此问题向公司网络安全人员发布备忘录,”弗里德曼补充道:“他们还应该对信息来源进行尽职调查和审计,以验证信息的质量。”

消费者保护风险

如果企业的应用(例如客服聊天机器人)未能向消费者披露是否使用了生成式人工智能技术(例如ChatGPT),企业将面临失去客户信任的风险,甚至可能遭到起诉。

例如,美国加利福尼亚州的聊天机器人法律要求,在某些消费者互动中,企业必须清晰、明确地告知消费者正在与机器人进行交流。

法务和合规负责人需要确保企业的大语言模型应用(例如ChatGPT)符合所在司法辖区内的所有相关法规和法律,并已向客户进行了适当的披露。

人工智能合规风险
本作品采用《CC 协议》,转载必须注明作者和本文链接
ChatGPT的六大合规风险
2023-05-29 10:35:28
ChatGPT在全球科技行业掀起了生成式人工智能的“军备竞赛”,但是人们对生成式人工智能合规风险普遍认识不足。Gartner最近撰文指出,企业法务和合规负责人应该认知并解决企业面临的六种ChatGPT合规风险,并开始建立护栏确保企业能安全且负责任地使用生成式人工智能工具。
各经济体更加重视数据竞争力,纷纷制定出台数据战略,宣誓数据安全和主权。因此,欧盟认为必须建立欧洲数据主权。近年来,我国陆续发布了一系列数据及其安全相关的法律法规和标准规范,数据资产价值得到确认。2020年6月,12部委联合发布《网络安全审查办法》,推动建立国家网络安全审查工作机制。
国家工业信息安全发展研究中心作为国家级信息安全研究和推进机构,联合华为技术有限公司共同研究编制了《数据安全白皮书》,全面分析了我国数据安全产业基础、防护关键技术、法律法规体系现状,从提升数据安全产业基础能力、加快研究和应用数据安全防护技术、强化法律法规在数据安全主权的支撑保障作用等三方面展望数据安全发展未来,提出了数据安全发展倡议,为行业发展提供借鉴和参考,积极推动我国数据治理工作有序开展。
一方面是国家在数据安全、网络安全、个人信息保护层面的监管力度持续增强,一方面是频频出现的企业数据安全事件,加强企业合规管理已成为当下企业发展的必要性、基础性内容。然而,通过对企业合规管理现状的分析,我们发现企业在合规管理方面,往往存在以下难点、痛点问题。
勒索病毒不仅影响医疗机构的业务正常开展,极端情况下可能导致病患死亡。2020 年 9 月,德国杜塞尔多夫医院遭到勒索病毒攻击导致医院无法正常开展业务,一辆救护车被迫改道 20 英里,延误了 1 名患者的治疗导致其死亡。
本文系统梳理了金融数据合规要求,对金融业机构开展数据合规建设具有指导意义。
中国光大银行主动融入数字经济生态,积极推动数字化转型中科技新治理体系建设,以保护数据主体权益为核心目标创新构建数据风险管理体系,探索两法在商业银行内部的落地实施的可行路径。
在企业组织数字化转型发展过程中,网络安全合规运营一直发挥着重要的作用,是企业积极开展网络安全建设的主要驱动因素之一。
但通常伪装成“数据隐私”条例的数据主权法案层出不穷,给数据的处理和存储位置施加了地理边界。无法轻易绕过或抛开最近的数据主权要求获得消费者同意。跨境经营的成本由于需要遵循数据主权法律,企业面临巨大的经营成本。最近,欧洲法院判定总部位于美国的Meta公司未能充分保护欧盟公民的个人数据,对其处以13亿美元罚款。将数据安全和数据隐私与更丰富的资源相结合也能帮助企业降低成本。
VSole
网络安全专家