拜登政府发布人工智能行政命令

重点概述

拜登政府在2023年10月30日发布了期待已久的有关人工智能AI的行政命令EO，这表明美国希望在AI领域设定议程。该行政命令主要关注安全、创新、隐私以及消费者、患者、学生和工人的AI权利等八个重要领域。然而，尽管这一命令是一个雄心勃勃且有益的第一步，但没有国会的资金支持，它的推进将会面临挑战。

在当前的政治环境中，行政部门的权力是有限的。因此，如何在不久的将来推动这些措施的实施，将依赖于国会的反应和支持。正如我们在拜登2021年5月的网络安全EO中所见，该AI EO为行动提供了蓝图和时间表。

为帮助公司安全地采用AI并准备应对潜在的AI监管，我提出以下三项建议：

建立AI风险评估和治理模型

至少要将AI视为任何新兴技术，虽然可以预见，AI将会以不可预测的方式扰动市场。公司应开展AI风险评估，明确AI的使用方式以及可能涉及的风险。企业需要决定是否完全阻止访问，或直接“启用”或开放允许AI应用的接入。同时，企业还需迅速将AI整合进现有的治理模型，以防“影子AI”的风险。行政命令还成立了AI委员会，负责制定、沟通、参与并实施AI政策。组织是否具备这样的职能？AI委员会可以成为极好的跨部门小组。行政命令还要求设立首席AI官CAIO并包含高层职责。CAIO将推动组织内的AI创新，管理风险并履行其他多项任务。尽管许多组织可能没有CAIO，但可以根据行政命令中所列的职责评估哪些适合公司采纳。这些职责可以归入CTO或类似角色的职能中，当CAIO未设置时，可以由其来承担。AI委员会和CAIO在AI治理中可能发挥关键作用。

密切关注NIST并利用其专业知识

在未来的一年内，将会产生许多公司可以纳入其AI采用蓝图的文件。行政命令中“大部分时间”这一表述反复出现，预计国家标准与技术研究所NIST将主导多个重要计划，包括提供AI红队测试指导、整合AI的安全软件开发框架、AI风险管理框架NIST AI 1001以及评估AI差分隐私保护有效性的指导方针。AI风险管理框架有可能成为NIST此次活动中发布的最有价值文件之一。大多数组织没有能力生成这样的高水平内容，因此要善加利用。不要拖延制定AI采用政策，提前标记发布日期，及时审查、并据此更新组织的蓝图和战略。

为潜在的监管影响做好准备

将评估监管影响纳入AI蓝图中。这一行政命令将影响联邦政府及其所有机构，并且会波及到私营企业。正如行政命令所述，拥有“最强大AI系统”的公司在开发“基础模型”时，将面临新的测试和报告要求。同时，基础设施即服务提供商IaaS必须实施“了解您的客户”控制，确保外国恶意网络行为者不会利用其AI模型为恶。由于行政命令涉及隐私，医疗和金融服务公司也应做好准备。列入19个“关键和新兴技术”领域的公司需要密切关注未来的指导，以应对潜在的监管，同时也要把握创新和招聘的机会。此外，联邦政府是全球最大的买家之一，其采购要求往往会影响私营部门，可能带来更广泛的影响。持续监测应成为AI蓝图的基础；如果AI影响了组织，则需要做好反应准备。

尽管AI仍在初期阶段，但它有潜力彻底改变企业的运营方式。拥有明确蓝图的首席信息安全官CISO能够引领潮流，帮助企业在AI时代中的竞争和成功。

Rick Holland，Reliaquest副总裁兼CISO