Diretrizes da política de uso de IA generativa

backgroud-texture-bg-4

Apresentação

A rápida adoção da IA generativa é uma grande promessa à inovação e cria novas oportunidades para muitas organizações e indivíduos. Mas ela também vem acompanhada de riscos, alguns que já podemos perceber hoje, outros que estão emergindo e outros que ainda serão descobertos. Portanto, qualquer organização que desenvolva novas funcionalidades e conteúdo com IA generativa deve ter uma política de uso adequada.

Uma política de uso ponderada e bem formulada pode ajudar a organização a promover a inovação usando a tecnologia de IA generativa sem deixar de lado o gerenciamento de riscos e permitindo mudanças à medida que o cenário evolui. A Sophos desenvolveu uma política de uso da IA generativa no trabalho para que nossos funcionários possam buscar com segurança inovações que beneficiem nossos clientes e parceiros. Desde então, recebemos vários pedidos para compartilhar nossa política e chegamos à conclusão de que, se ela pode ajudar nossos clientes, parceiros e a indústria em geral, vamos compartilhá-la.

As discussões, exemplos e conteúdo copiável neste documento podem ser usados para desenvolver uma abordagem formal ou informal para usar a IA generativa nos negócios da empresa. Esperamos que a estrutura da política ajude a orientar o uso da IA generativa durante as fases iniciais de exploração e descoberta. Como cada organização segue diferentes abordagens à estratégia e execução, o uso da IA generativa deve ser adaptado para a organização que a adota.

Este documento não é um modelo e destina-se apenas para fins informativos. Este conteúdo não se destina a constituir aconselhamento legal. Recomendamos que você consulte um consultor jurídico ou profissional da área antes de adotar ou implementar qualquer política com base nas diretrizes e tópicos sugeridos abaixo.

Definições e considerações

Definição de “política”

Aqui, usamos o termo “política” em seu sentido mais amplo e que engloba regras ou diretrizes que uma organização estabelece para governar um comportamento, que, neste caso, é o uso da IA generativa dentro da organização. Nesse contexto, uma política pode ser adotada formalmente, através de um processo corporativo de aprovação, ou instituída de forma mais informal. A abordagem de uma organização à IA generativa, como estamos tratando aqui, pode ser chamada de política ou outro termo diferente. Embora seja importante para uma organização considerar a forma como suas expectativas são comunicadas, estamos focados em uma abordagem mais genérica da IA generativa, não em fornecer orientações sobre como definir uma política ou como ela pode ser implementada ou aplicada.

O escopo

Inicialmente, consideramos a quem a política de uso de IA generativa se estenderá. Por exemplo, ela pode se aplicar a todos os funcionários e/ou a terceiros que interagem com a organização, como prestadores de serviços, fornecedores e parceiros de tecnologia e vendas. Ou você pode criar uma política que cubra um subconjunto de uma ou todas essas entidades.

Outra questão a considerar é o escopo tecnológico que será coberto na política. Por exemplo, “IA generativa” pode referir-se a uma categoria de tecnologias treinadas com conjuntos de dados que podem gerar texto, imagem, vídeo, som ou outro conteúdo de trabalho (saída) em resposta a prompts (entrada). Exemplos incluem ChatGPT/Bard (texto para texto/imagem), GitHub CoPilot (texto para código), Midjourney/Stability AI (texto para imagem), ModelScope (texto para vídeo) e código de linguagem de programação. A IA generativa também pode estar presente como um recurso em outros aplicativos.

Considerações sobre a IA generativa

A IA generativa tem o potencial de fornecer benefícios significativos ao aumentar a eficiência e a produtividade. No entanto, as atuais implementações podem trazer riscos, incluindo saídas imprecisas ou não confiáveis (“alucinações”), saídas com vieses, equivocadas ou inadequadas, vulnerabilidades de segurança, além de preocupações com propriedade intelectual e privacidade, incertezas legais e termos e condições de licenciamento de fornecedores que podem ser inaceitáveis para uma determinada organização. Há ainda incertezas legais sobre se os resultados apresentados pela IA generativa se qualificam à proteção de propriedade intelectual e sobre a responsabilidade de criação do conteúdo gerado pela IA generativa. Portanto, ao integrar uma implementação de IA generativa nos processos ou aplicativos da sua organização, é crucial identificar claramente os materiais criados usando ferramentas de IA generativa para evitar possíveis complicações com a propriedade intelectual de outras empresas.

Devido ao desenvolvimento rápido e contínuo da IA generativa e seus riscos crescentes, as organizações se beneficiarão de uma política de uso para a adoção de uma forma responsável de IA generativa, como descrito abaixo.

Atualizações e revisões

A rápida inovação no domínio da IA generativa sugere que a política seja revista periodicamente e ajustada conforme necessário. Os métodos e estratégias, assim como o cenário legal e regulamentar, mudam tão rapidamente que a negligência pode levar à irrelevância.

Adoção, implementação e uso da IA generativa

Vários fornecedores desenvolveram implementações de IA generativa com diferentes métodos de acesso, como interface de chat e API, através de diferentes tipos de contas (por exemplo, contas pessoais, contas gratuitas, contas pagas) e sob diferentes termos do usuário. Uma questão mais técnica para as organizações é como permitir que funcionários e parceiros de negócios acessem e troquem informações com IA generativa.

Como acontece com outros aplicativos usados para fins comerciais, as empresas podem limitar o uso da IA generativa a contas corporativas. Se for de valor para a organização, pode-se exigir o uso de contas que tenham termos e condições que sejam aceitáveis para a empresa. Nesse sentido, pense nas opções de IA generativa da mesma forma como você talvez interaja com fornecedores de SaaS ou outros provedores de serviços de nuvem que operam, em parte, através da coleta de seus dados.

Implementação/adoção de uma nova plataforma de IA generativa

Outra consideração é o processo de aprovação necessário para a adoção de uma plataforma de IA generativa. Por exemplo, a aquisição de uma nova plataforma de IA generativa para uso por uma organização (seja como um aplicativo independente ou como um recurso em outro sistema) deve seguir o processo de aquisição padrão da organização, complementado por consultas e termos específicos à IA generativa.

Alguns passos a serem seguidos antes de uma implementação incluem:

  1. Aprovação pelos colaboradores funcionais apropriados, quando aplicável, das organizações internas, como gerenciamento de produtos, engenharia, privacidade de dados, termos legais, segurança e gerenciamento de risco. Obviamente, algumas dessas funções poderiam ser consolidadas em menos partes.
  2. Uma avaliação tecnológica das opções comerciais que abranja áreas como:
    • Origem e qualidade do conjunto de dados de treinamento.
    • Se as entradas e saídas se tornam parte do conjunto de dados de treinamento e se existe a possibilidade de optar por não ter os dados de entrada/saída utilizados no treinamento do modelo de IA generativa.
    • Os riscos de usar o modelo de IA generativa e mecanismos internos para mitigá-los e gerenciá-los.
    • Capacidade de cumprir os termos e condições do sistema de IA generativa.
    • Implicações comerciais e direitos de licença associados.
  3. Uma avaliação comercial da implementação planejada que tenha em conta fatores como:
    • Custo de implementação.
    • Retorno do investimento (ROI) esperado.
    • O desenvolvimento de mecanismos de rastreamento para ajudar a calcular o ROI real.
    • Uso de implementação planejada, que é explorado em detalhes na próxima seção.

Uso de IA generativa aprovada

  1. Cada novo caso de uso da IA generativa deve estar sujeito a um processo de aprovação. Por exemplo, uma possibilidade seria nomear um aprovador designado para cada colaborador funcional, para que o aprendizado fosse concentrado e acelerado.
  2. Uso de recursos de segurança. Se aplicável, cada usuário deve ser obrigado a ativar todos os recursos de segurança disponíveis, observar se há novos recursos de segurança disponíveis e ativar os novos recursos à medida que estejam disponíveis.

Proibido por padrão, aprovado por exceção

Em alguns casos, seria indicado exigir a revisão e aprovação do uso da IA generativa que não se enquadre na lista padrão de usos aprovados. Por exemplo, o uso da IA generativa poderia ser proibido a menos que aprovado por exceção. Se essa for a abordagem adotada, seria importante atualizar periodicamente a lista de casos de uso aprovados devido à velocidade de inovação.

Por exemplo, os seguintes tipos de uso seriam proibidos a menos que especificamente aprovados:

  1. Uso que exija as seguintes categorias de entrada, total ou parcialmente:
    • Qualquer informação confidencial ou informação comercial.
    • Qualquer dado pessoal ou informação que identifique a organização.
    • Qualquer propriedade intelectual da organização.
    • Código de computador proprietário.
    • Qualquer informação relativa a clientes, fornecedores e parceiros da organização ou outras informações protegidas, incluindo informações de identificação pessoal (PII).
    • Qualquer informação sobre os funcionários.
    • Credenciais de acesso ao sistema (de sistemas da organização ou de terceiros).
  2. Uso em que a saída afeta potencialmente os direitos ou obrigações de qualquer pessoa.
  3. Incorporação da saída na tecnologia da organização ou outra propriedade intelectual.
  4. Uso que viole as políticas da organização, obrigações contratuais ou termos e condições de uso da tecnologia.
  5. Qualquer uso ilícito ou que demonstre intenção antiética, por exemplo, desinformação, manipulação, discriminação, difamação, invasão da privacidade.

Código escrito por IA generativa

A implementação da IA generativa para reescrever código existente em linguagens modernas com segurança de memória é uma tarefa complexa e ambiciosa. Ela envolve várias considerações técnicas, éticas e práticas. Por exemplo, veja a seguir uma amostra de questões a considerar:

  1. Qualidade e confiabilidade: preservar a funcionalidade do código original, aderindo às práticas modernas de segurança de memória.
  2. Análise de segurança e vulnerabilidade: uma revisão completa do código gerado para validar práticas de segurança.
  3. Desempenho: avaliação e otimização do código gerado de modo que se equipare ou exceda o desempenho do código original.
  4. Direitos de propriedade intelectual: estabelecer os direitos de propriedade intelectual do código gerado por IA, uma questão complicada que as estruturas jurídicas atuais talvez não abordem plenamente.
  5. Privacidade e conformidade de dados: adotar medidas adequadas de proteção de dados, de acordo com as regulamentações relevantes, para evitar a exposição inadvertida de dados pessoais ou sensíveis utilizados no treinamento dos modelos de IA generativa.

Uso do ChatGPT e ferramentas similares na produtividade pessoal

Em algumas organizações, pode-se permitir o uso de plataformas de IA generativa com o objetivo de aumentar a produtividade administrativa pessoal, como ilustrado abaixo. Todo uso desse tipo deve estar sujeito a:

  1. Evitar qualquer dos usos classificados como proibidos pela organização.
  2. Aderir aos termos, condições e políticas aplicáveis.
  3. Se disponível, optar por não contribuir com conjuntos de dados de treinamento antes do uso.
  4. Verificar a precisão, confiabilidade e adequação da saída antes da implementação.

Exemplos de uso comercial permitido do ChatGPT (e ferramentas similares de IA generativa gratuitas) através de contas pessoais:

  1. Verificar fatos ou fazer pesquisas similares a pesquisas no Google, Wikipédia e outros recursos da Internet.
  2. Criar o esboço inicial de e-mails e documentos internos rotineiros.
  3. Editar documentos.
  4. Gerar ideias básicas (por exemplo, criar uma lista de atividades sociais para um evento fora das instalações, descrever como um determinado bloco de código funciona, detalhar como escrever uma função específica)

A organização pode decidir desenvolver treinamento e/ou certificação para aqueles que usarão a IA generativa. Os cursos de treinamento em segurança atuais podem ser atualizados para incluir os riscos associados ao uso da IA generativa.

Também é importante considerar as consequências de um usuário não seguir a estrutura de uso. Essas diretrizes provavelmente serão decididas da mesma forma que outras políticas formais ou informais da empresa.

Considerações finais

A IA generativa impactará muitos aspectos das organizações, com riscos conhecidos e desconhecidos que precisam ser habilmente mitigados. Estamos nos estágios iniciais de compreender o impacto da tecnologia, e as organizações com grandes anseios futuristas não limitarão as possibilidades de inovação com a IA generativa. Reduzir os riscos enquanto incentiva a exploração, a curiosidade e os processos de tentativa e erro será o lema dos vencedores nesta nova era.

Adotar uma abordagem bem delineada para estabelecer políticas de uso adaptadas aos casos de uso prováveis de uma organização é um bom caminho a seguir enquanto o mundo se adapta à IA generativa e a suas muitas possibilidades. A partir daí, as políticas e diretrizes podem ser integradas em uma estratégia de governança e gerenciamento de risco mais ampla, que pode incluir a formação de um comitê de direcionamento, a realização de auditorias e avaliações de risco periódicas e o estabelecimento de processos contínuos de refinamento de políticas para equilibrar o uso responsável da IA generativa com esforços apropriados de mitigação de riscos.