生成式 AI可能是一个福音——前提是公司能够承担间接的"合规税"。
在最新一期InformationWeek播客的后续讨论中,Larridin公司首席技术官Ameya Kanitkar和NetSPI公司企业治理、风险与合规总监兼数据保护官Eddie Taliaferro描述了监管合规成本如何可能阻碍一些AI计划。
专门针对AI设立防护栏的政策在许多司法管辖区仍在讨论中。特朗普政府终于在3月20日发布了国家立法框架。与此同时,欧盟GDPR等数据隐私法规已经与该技术产生交集。Kanitkar表示,GDPR合规成本可能会扩大财力雄厚的大公司与仍在努力实现盈利和增长的公司之间的差距。这些重叠且不断变化的规则共同创造了一个成本高昂且不平衡的合规环境。
"你实际上最终会让那些已经强大的公司……变得更加强大,"他说。
Kanitkar表示,AI的合规挑战与传统要求不同,也更加动荡,这是因为技术发展的速度和它带来的风险。法规虽然必要,但可能会拖慢公司发展步伐,而不是让它们进行创新。
"至少我们理解什么是隐私。对于AI来说,当事物变化如此迅速时,任何善意的合规法律仍可能适得其反,"他说。
与此同时,缺乏明确规则也会产生不确定性,让公司不确定应该多大程度地投资或部署AI。
部分问题在于政策制定者(可能需要数年时间制定法律)与快速发展的初创公司(在几周内改变方向)之间的根本思维差异。"我们正处在AI发展的那个'周'阶段。因此,从设计上来说,两者之间存在巨大差距,"Kanitkar说。
企业可能已经对违反GDPR等政策保持谨慎,因为数据隐私违规可能面临高达全球收入4%的潜在罚款。将AI加入其中可能意味着新的麻烦。"公司在处理这方面时往往更加保守,这意味着一切都会放慢,一切都变得官僚化,一切都需要批准,"Kanitkar说。
他表示,AI模型及其能力的变化速度使得哪些内容将被监管变得不明确。Kanitkar认为,基于原则而非专门针对AI的法律语言的法律可能更有效。"你可以制定一项法律,说'好,不得进行大规模监控。保护隐私。'无论法律如何,无论技术如何,这样的内容都是正确的,"他说。
周五,美国首次看到了白宫发布的框架,该框架寻求取代州级AI法律,但仍需要国会起草实际立法。这一努力反映了——特别是来自科技巨头的——建立国家标准并抢在更严格的州级规则拼凑之前的压力。
与此同时,Taliaferro指出,州级AI法规已经在酝酿中,在某些情况下已经生效。"如果你是一家美国公司,正在与加利福尼亚州、德克萨斯州、密歇根州、纽约州的客户做生意,他们将有自己的一套AI治理法规。你必须学会如何适应这些规定,"他说。
他表示,更多AI政策可能正在海外司法管辖区制定,因为巴西、中国和阿拉伯联合酋长国也在制定自己的法规和要求。
从财务和风险管理角度来看,灾难、安全和其他必需覆盖范围的合规成本,对公司的潜在影响可能超出部署技术资源的范围,Taliaferro说。"比如说,从管理角度来看,你没有适当的管理人员。或者你可能没有特定的信息安全负责人。这些都是你必须承担的额外成本,以符合这些法规。"
随着GDPR和其他法规的更新考虑到AI风险,如幻觉和AI获取训练数据的来源,这些政策可能会让人感到有些熟悉。"当你谈论AI治理和使用AI相关的风险时,你真正考虑的是数据隐私,"Taliaferro说。
尽管对合规意图可能有这种熟悉感,一些公司在探索不同AI工具和训练时仍可能抱怨额外费用。"他们不太知道想朝什么方向发展。他们知道必须这样做。他们知道AI很热门。它就在这里……但他们缺乏如何进行的适当方向,"他说。
Q&A
Q1:为什么AI合规成本会加剧企业间的发展差距?
A:AI合规成本可能会扩大财力雄厚的大公司与仍在努力实现盈利和增长的公司之间的差距。大公司能够承担昂贵的合规费用,而小公司则可能因为无法承担这些成本而在AI发展上落后,最终让已经强大的公司变得更加强大。
Q2:AI合规与传统合规有什么不同?
A:AI合规的挑战更加动荡和复杂,因为AI技术发展速度极快,风险不断变化。与隐私保护等传统合规领域不同,AI领域的变化速度使得监管内容变得不明确,任何善意的合规法律都可能因为技术快速发展而适得其反。
Q3:企业在AI合规方面面临哪些具体成本?
A:除了技术资源投入外,企业还需要承担管理成本,比如配备专门的信息安全负责人、AI治理人员等。同时,面对不同州和国家的法规要求,企业需要适应多套AI治理规定,这些都会增加额外的合规费用。
