在未來 12-18 個月內，組織將面臨日益復雜的 AI 合規框架和法規環境。隨著 AI 在各個行業的采用加速，全球各國政府都在推進立法以應對其風險和使用。對于安全主管來說，這些框架在治理、風險管理和合規規劃方面帶來了重大挑戰。

在歐盟，《歐盟人工智能法案》標志著一項重要進展，該法案將于 2025 年 2 月開始分階段推出。與此同時，在美國，監管舉措包括擬議的美國證券交易委員會規則和越來越多的州級立法，例如科羅拉多州的《人工智能法案》。據全球律師事務所 BCLP稱，美國至少有 15 個州頒布了與人工智能相關的立法，還有更多立法正在制定中。在這些地區之外，中國的監管方法自 2022 年以來一直在迭代，這給全球企業帶來了另一層復雜性。

而這僅僅是個開始。除了針對人工智能的特定法規外，《數字運營彈性法案》（DORA）等更廣泛的框架還引入了與人工智能使用相關的行業特定要求，特別是在金融服務和其他受監管行業。

對于跨國組織來說，在未來幾年里，協調這些重疊且不斷發展的法規之間的合規工作將是一項重大挑戰。

2025 年 2 月：歐盟人工智能法案開始實施

與 GDPR 類似，歐盟 AI 法案將分階段實施。第一個里程碑是2025 年 2 月 2 日，屆時在歐盟運營的組織必須確保參與 AI 使用、部署或監督的員工具備足夠的 AI 素養。此后從 8 月 1 日起，任何基于GPAI 標準的新 AI 模型都必須完全符合該法案。與 GDPR 類似的是，不合規行為將面臨巨額罰款——3500 萬歐元或全球年營業額的 7%，以較高者為準。

雖然這一要求表面上看似可控，但許多組織仍處于定義和正式化其 AI 使用政策的早期階段。在我與安全和合規負責人的對話中，很少有人表示已實施可執行的政策來管理內部 AI 的使用，更不用說向外部監管機構證明其合規性了。

這一階段凸顯了安全意識培訓計劃的更廣闊機會，可以超越傳統的網絡釣魚模擬等練習。例如，動態和自動化的培訓任務（KnowBe4 等平臺已經采用的模型）可以幫助組織確保員工能夠理解和減輕與人工智能相關的風險。

高風險應用和人工智能資產清單的挑戰

歐盟《人工智能法案》的后期階段預計將于 2025 年底至 2026 年實施，屆時將對禁止和高風險的人工智能應用提出更嚴格的要求。對于組織而言，這將帶來一項重大的治理挑戰：保持對人工智能資產的可見性和控制力。

影子 IT 的概念（員工未經批準使用未經批準的工具）并不新鮮，但生成式 AI 工具加劇了這一問題。與傳統軟件相比，AI 工具對最終用戶往往更具吸引力，他們可能會繞過控制措施來利用他們所認為的生產力優勢。結果就是“影子 AI”的興起，未經批準或嵌入的 AI 功能在沒有安全監督的情況下被使用。

跟蹤獨立生成式 AI 工具（例如 ChatGPT 或 Claude）的使用情況相對簡單。然而，在處理在后端集成 AI 功能的 SaaS 平臺時，挑戰會變得更加嚴峻。包括 Gartner 在內的分析師將此稱為“嵌入式 AI”，其普及使得維護準確的 AI 資產清單變得越來越復雜。

如果美國證券交易委員會的擬議法規在美國頒布，人工智能資產管理將變得更加重要。組織將需要實施強大的流程來盤點、監控和管理其環境中的人工智能系統。

了解人工智能用例：超越工具跟蹤

歐盟人工智能法案等框架變得更加復雜的地方在于它們關注的是“高風險”用例。合規性要求組織不僅僅識別正在使用的人工智能工具；他們還必須評估這些工具的使用方式、共享的數據以及人工智能正在執行的任務。

例如，員工使用生成式 AI 工具總結敏感的內部文件與使用相同工具起草營銷內容的風險截然不同。隨著 AI 的使用范圍不斷擴大，組織必須詳細了解這些用例，以評估其風險狀況并確保遵守法規。

這不是一項小任務。開發監控和管理全球企業 AI 用例的能力將需要大量資源，尤其是隨著法規在未來 12-24 個月內日趨成熟。

歐盟人工智能法案：更大治理難題的一部分

對于安全和合規領導者來說，歐盟人工智能法案只是將在 2025 年占據主導地位的更廣泛的人工智能治理難題的一部分。無論身處何地，組織都將面臨越來越大的壓力來了解、管理和記錄其人工智能部署。

未來 12-18 個月，安全、合規和技術團隊需要持續關注并通力協作，才能領先于這些發展。雖然挑戰巨大，但積極主動的組織有機會構建可擴展的 AI 治理框架，以確保合規性，同時實現負責任的 AI 創新。

成功的三個步驟

隨著全球監管勢頭的加速，今天的準備對于避免明天的混亂至關重要。以下是組織今天可以做的事情：

• 建立 AI 委員會——如果你還沒有，那就組建一個跨職能團隊來應對 AI 挑戰。這應該包括治理代表，也包括安全和業務利益相關者
• 獲得可見性——了解您的員工正在使用什么以及他們使用它來做什么
• 培訓用戶了解人工智能及其風險