從理解AI在企業環境中的含義，到確保合規性，再到不忘第三方所扮演的角色，以下是制定AI政策時需要牢記的十個關鍵點。

GenAI的流行給企業帶來了一個棘手的局面。一方面，這是一種具有降低成本和增加收入潛力的顛覆性技術，另一方面，AI的濫用可能會顛覆整個行業，引發公關災難、客戶和員工的不滿，以及安全漏洞。更不用說在失敗的AI項目上浪費的大量資金了。

研究人員對于企業從AI投資中獲得的回報意見不一，但調查顯示，GenAI在更多業務用例中的采用率有所提高，并且從試點項目轉向生產項目的數量穩步增長。Zscaler在3月底發布的一份AI安全報告顯示，企業AI活動增加了3464%。

但隨著人們越來越意識到GenAI的潛力，對其風險的認識也在增強。例如，據Zscaler稱，企業目前會阻止60%的AI交易，其中ChatGPT是被阻止最多的單個應用程序。原因何在?據Zscaler報告，僅ChatGPT就遭到了約300萬次用戶嘗試上傳敏感數據的攻擊。

一份經過深思熟慮的AI使用政策可以幫助公司設定風險和安全的標準，保護客戶、員工和公眾，并幫助公司聚焦于最有前景的AI用例。“如果不以負責任的方式擁抱AI，實際上是在降低你在市場上的競爭優勢。”管理咨詢公司AArete的技術服務集團負責人、董事總經理布如古·潘格說道。

根據就業與勞動法事務所Littler對300多名高管進行的調查，截至2024年9月，42%的公司已經制定了AI政策，而一年前這一比例僅為10%，另有25%的企業目前正在制定AI政策，19%的企業正在考慮制定。

如果你仍在制定AI政策——或者正在更新現有政策——以下是你的政策應該涵蓋的十個關鍵領域。

明確AI的定義

不同的人對AI有不同的理解。搜索引擎、語法檢查器和Photoshop等工具中都有AI的存在。幾乎每個企業供應商都在忙著將AI功能添加到他們的平臺上。甚至一些幾乎沒有任何智能的東西也被重新包裝成AI，以吸引關注和資金。

在討論風險、益處和投資時，有一個關于AI的共同定義是很有幫助的。

美國國際集團(Aflac)全球CISO特蕾·拉德納表示，Aflac于2024年初開始根據其現有的政策框架制定其官方AI政策。Aflac并不是唯一一家意識到AI可能是一個非常模糊概念的公司。

信諾金融集團(Principal Financial Group)的CIO凱西·凱表示，他們也不得不為AI制定一個明確的定義，因為他們很快就意識到，人們對AI的看法各不相同。該公司不得不為AI在公司上下文中的含義制定一個定義，以便在討論AI時，大家都能保持一致。

而且，由于不同的人對AI可能有不同的理解，因此在討論中納入各種觀點是很有幫助的。

聽取所有利益相關者的意見

在Aflac，安全團隊率先制定了公司的AI政策。但AI不僅僅是安全問題。“也不僅僅是法律問題，”拉德納說，“也不僅僅是隱私問題或合規問題。你需要把所有利益相關者都聚集起來。我還強烈建議，你的政策應該得到某種管理委員會或機構的批準或認可，這樣它才有你需要的約束力。”

AI政策必須服務于整個公司，包括各個業務部門。

在信諾金融集團，凱表示，她和公司的首席合規官是AI政策的執行發起人。“但我們還有業務部門代表、法律部門、合規部門、技術人員，甚至人力資源部門也參與其中，”她補充道，“大家一起學習，你可以把你想實現的成果協調一致。”

安舒爾軟件公司(Intuit)也組建了一個多學科團隊來制定其AI政策。這有助于該公司制定全公司的治理政策，并涵蓋法律要求、行業標準和最佳實踐，據安舒爾軟件公司的副總裁兼副總法律顧問麗莎·萊維特表示。“該團隊包括數據隱私、AI、數據科學、工程、產品管理、法律、合規、安全、倫理和公共政策方面的專家。”

從企業的核心價值觀出發

AI政策需要以企業在道德、創新和風險方面的核心價值觀為基礎。“不要只是為了滿足合規檢查而制定政策，”網絡安全公司謝爾曼(Schellman)的首席執行官阿維尼·德賽說，“建立一個對每個人來說都堅韌、道德、值得信賴和安全的治理框架——而不僅僅是為了制定一份無人問津的政策。”

以核心價值觀為出發點將有助于制定AI政策的其他部分。“你想要制定明確的指導方針，”德賽說，“你希望從上到下每個人都同意，AI必須以負責任的方式使用，并且必須與商業道德保持一致。”

有了這些原則，也將幫助公司走在監管的前面。

符合監管要求

根據咨詢公司Gartner的說法，到2027年，AI治理將成為全球所有主權AI法律和法規的要求。

目前最大的AI監管法規是歐盟的《AI法案》。“《歐盟AI法案》是我所見過的涵蓋所有內容的唯一框架，”謝爾曼公司的德賽說道。它適用于所有在歐盟境內提供產品或向歐盟公民提供產品的國家。

該法案規定了所有大型企業需要遵循的某些最低標準。她說：“這與《通用數據保護條例》(GDPR)的情況非常相似。美國公司不得不遵守，因為他們無法區分歐盟數據和非歐盟數據。你不想只為歐盟數據建立一個新系統。”

GDPR并不是唯一適用于其他國家的法規，世界各地還有許多與數據隱私相關的法規，這也與AI部署相關。當然，還有針對特定行業的數據隱私規則，如醫療保健和金融服務行業。

一些監管機構和標準制定機構已經開始研究如何更新其針對GenAI的政策。“我們大量參考了專門針對保險公司的美國國家保險專員協會(NAIC)發布的指導，”Aflac的拉德納說，“我們想要確保我們掌握了NAIC規定的指導方針和保障措施，并確保它們已經到位。”

制定明確的負責任使用指南

員工可以使用公共AI聊天機器人，還是只能使用安全、公司批準的工具?業務部門能否創建和部署自己的智能體?人力資源部門能否啟用和使用其人力資源軟件中的新AI功能?銷售和營銷部門能否使用AI生成的圖像?人類是否需要審查所有AI輸出，或者僅對高風險用例進行審查?

這些都是公司AI政策中負責任使用部分所涉及的問題，具體取決于企業的特定需求。

例如，在信諾金融集團，AI生成的代碼需要經過審查，凱說。“我們不是把代碼直接投入使用。中間會有一個人工環節。”同樣，如果該公司為面向客戶的員工構建了一個AI工具，那么也會有人工檢查輸出結果，她說。

采取基于風險的方法來應對AI是一個不錯的策略，普華永道數據風險與隱私主管羅漢·森(Rohan Sen)表示。“你不希望過度限制低風險的內容，”他說。“如果你使用Copilot來轉錄采訪，那風險相對較低。但如果你使用AI來做貸款決策或決定保險費率，那影響會更大，你需要提供更多的人工審核。”

別忘了第三方的影響

如果因AI相關問題而出了差錯，公眾才不會關心這是否不是你的錯，而是供應商或承包商的錯。無論是數據泄露還是違反公平借貸法，最終責任都會落在你身上。

這意味著AI政策不能僅僅覆蓋公司內部系統和員工，還要覆蓋供應商的選擇和監督。

一些供應商會提供賠償和合同保護。避免供應商鎖定也有助于降低第三方風險。如果供應商違反了客戶的AI政策，可能會很難更換。

在選擇AI模型提供商時，從一開始就保持模型中立將有助于管理這一風險。這意味著，而不是將某一種AI硬編碼到企業工作流程中，而是靈活選擇模型，以便日后可以更改。

這確實需要在前期做更多的工作，但除了降低風險外，還有其他業務好處。“技術在不斷變化，”普華永道的森說，“你無法確定兩年后哪種模型會更好。”

建立明確的治理結構

制定明確預期的AI政策只是成功的一半，但如果政策沒有闡明如何執行，那么它也不會特別有效。

根據2024年Gartner的一項調查，Gartner分析師勞倫·科努蒂克(Lauren Kornutick)表示，只有45%的企業在AI治理成熟度方面達到了其AI政策與運營模式相一致的水平。“其余的企業可能制定了可接受使用的政策，或制定了負責任的AI政策，但尚未在整個企業中有效執行。”她說。

誰來判斷某個特定用例是否符合公司的指導原則，以及誰來執行這一決定?

“政策很好，但還不夠，”她說。“我經常從我們的首席信息安全官和隱私官那里聽到這一點。”她說，把這個問題弄清楚很有價值。在技術部署方面，在這方面做得有效的公司比其他公司領先12%。

捷配集團首席技術和創新官圣吉夫·沃拉(Sanjeev Vohra)表示，第一步是弄清楚公司當前已經在使用哪些AI。“許多公司并沒有全面盤點其AI的使用情況。這是我們建議的第一步，你可能會驚訝于這一步要花多少時間。”

利用技術確保合規

檢查AI政策是否得到遵守的一種方法是使用自動化系統。“我們正在看到支持政策執行的技術出現。”Gartner的科努蒂克說。

例如，AI驅動的工作流程可以包括一個手動審查步驟，由人類參與進來檢查工作。或者，可以使用數據防丟失工具來確保員工不會將敏感數據上傳到公共聊天機器人。

“我合作的每個客戶都具備監測能力，可以看到數據外泄的情況，看到哪些數據被下載到了他們的環境中，并且他們有方法可以阻止訪問未經批準或對企業構成風險的網站，”普華永道的首席AI官丹·普里斯特(Dan Priest)說。“風險是真實存在的，但有合理的方法來管理這些風險。而如果這些風險大量出現，你需要在架構層、政策層和培訓層激活應對措施。”

就像公司需要在AI偏離軌道時采取技術措施一樣，AI政策也需要包括在問題更大時采取事件響應措施，以及在員工、客戶或業務合作伙伴故意或意外違反政策時采取管理響應措施。

例如，某個部門的員工可能會經常忘記在將文檔發送給客戶之前進行審查，或者一個業務部門可能會建立一個忽視數據隱私或安全要求的影子AI系統。

“你應該聯系誰?”謝爾曼·德賽(Shellman’s Desai)問道。

需要有流程和培訓，以確保有人負責處理違規行為，并有權力糾正問題。而如果整個AI流程都存在問題，則需要有一種方法可以在不損害公司的情況下關閉系統。

計劃應對變化

AI技術發展迅速。這意味著，公司制定的AI政策中的很多內容需要定期審查和更新。

卡內基梅隆大學教授拉伊德·加尼(Rayid Ghani)說：“如果你制定了一項沒有結束日期的政策，那你就是在傷害自己。”這可能意味著某些條款每年都會審查，或者每季度審查一次，以確保它們仍然適用。

“在制定政策時，你必須標記出那些可能發生變化并需要更新的內容，”他說。這些變化可能是技術進步、新的業務需求或新的法規造成的。

歸根結底，AI政策應該推動創新和發展，而不是阻礙它們，安永合伙人辛克萊·舒勒(Sinclair Schuller)說。“無論是首席執行官還是首席安全官，都應該表明，‘我們將制定一項AI政策，以支持你們采用AI，而不是阻止你們采用AI’，”他說。