生成式人工智能使用政策指南

backgroud-texture-bg-4

概述

生成式人工智能 (generative AI) 的迅速采用为许多组织和个人带来了创新的庞大机遇。这也伴随着风险,其中一些风险是现在已理解的,但另一些风险则是新出现的或尚待发现的。因此,任何采用生成式人工智能开发新能力和内容的组织都应该设有适当的使用政策。

经深思熟虑而设计周密的使用政策,可以帮助组织促进使用生成式人工智能技术的创新,同时能够管理风险,并允许随着环境的变化而进化。Sophos已经为生成式人工智能制定了工作使用政策,以便我们的员工能够安全地追求可能有益于我们的客户和合作伙伴的创新。此后,我们收到了许多分享我们政策的请求,我们认为,如果这能帮助我们的客户、合作伙伴和整个行业,我们愿意这样做。

本文档中的讨论、示例和可复制内容可用于制定在公司业务中使用生成式人工智能的正式或非正式方法。我们希望这一政策框架将有助于指导在探索和发现的早期阶段生成式人工智能的使用。由于每个组织都有自定的策略和执行方法,因此,生成式人工智能的使用应该针对采用它的组织而量身定制。

本文件不是模板,仅供参考。此内容并无意构成法律建议,我们建议您在采纳或实施任何基于以下建议的准则和主题的政策之前,先咨询法律或专业顾问。

定义和考虑因素

“政策”定义

在这里,我们使用“政策” (policy) 一词,最广义来说是指一个组织为规管行为而制定的规则或准则。在本例中,指的是在组织内对生成式人工智能的使用。在这前提下的政策可以通过公司批准程序正式采纳,也可以较为非正式地制定。一个组织对生成式人工智能的方法,正如我们在这里所谈到的,可以被称为政策或其他用语。尽管组织考虑如何传达期望很重要,但我们在此侧重于生成式人工智能的一般方法,而不是就提供政策的可能名称,或如何实施或执行的指导。

范围

一个初步考虑因素是,生成式人工智能使用政策涵盖谁。例如,它可以适用于与组织交互的所有员工和/或第三方,如承包商、供应商以及技术和销售合作伙伴。或者,您的政策可以涵盖这些实体中的一个或全部子集。

另一个需要考虑的问题是该政策将涵盖的技术范围。例如 , “ 生成式人工智能”可能是指在数据集上受训练的一类技术,其能够根据提示(输入)生成出文本、图像、视频、声音或其他工作内容(输出 ) 。例如 ChatGPT/Bard(文本到文本/图像)、GitHub CoPilot(文本到代码)、Midjourney/Stability AI(文本到图像)、ModelScope(文本到视频)和编程语言代码。生成式人工智能也可以作为另一个应用程序的功能出现。

生成式人工智能考虑因素

新一代人工智能通过提高效率和生产率,具有带来显著效益的潜力。但与此同时,当前的实施也可能带来风险,包括不准确或不可靠的输出(“幻觉”)、有偏见或不适当的输出、安全漏洞、知识产权 (IP) 和隐私问题、法律不确定性,以及特定组织可能无法接受的供应商许可证条款和条件。此外,围绕人工智能的生成输出是否符合知识产权保护条件,以及任何人工智能生成内容的所有权,也存在法律不确定性。因此,在将生成式人工智能集成到您组织的流程或应用中时,明确识别使用生成式人工智能工具所创建的素材至关重要,以避免任何公司知识产权的潜在复杂性。

生成式人工智能正在快速发展,而其风险也在不断演变,因此,组织可以从负责任地采用生成式人工智能的使用政策中受益,概述如下。

更新和修订

生成式人工智能领域的快速创新表明,政策应该定期检讨,并在必要时进行调整。最先端的技术急速演变,法律和监管环境亦然,若加以忽视,可能会导致被淘汰。

生成式人工智能的采用、实施和使用

许多厂商已经开发出具有不同访问方法(如聊天界面、API) 的生成式 AI实作,通过不同类型的账户(如个人账户、免费账户、付费账户)和不同的用户条款进行访问。对于组织来说,一个更具技术性的问题是,如何让员工和业务合作伙伴使用生成式人工智能来访问和交换信息。

与用于商业目的的其他应用程序一样,一些公司可能将生成式人工智能的使用限于公司帐户。如果对组织有价值,他们可能要求使用符合公司可接受的条款和条件的帐户。在这方面,把生成式人工智能的选项视为与 SaaS 供应商,或其他依赖收集您的数据来运作的云服务提供商的合作,会有所帮助。

实施/采用新的生成式人工智能平台

另一个考虑因素是采用生成式人工智能平台所需的审批程序。例如,如组织引入一个新的生成式人工智能平台来使用(无论是作为独立应用程序还是作为另一个系统的功能 ) , 可能需要遵循组织的标准采购流程,并辅以特定于生成式人工智能的查询和条款。

在实施之前可采取的步骤可包括:

  1. 在适用的情况下,由产品管理、工程、数据隐私、法律、安全和风险管理等内部组织的适当职能相关方批准。而其中一些职能显然可以整合到较少的相关方之下。
  2. 对商业选项的技术评估,涵盖以下领域:
    • 培训数据集的来源和质量。
    • 输入和输出是否成为训练数据集的一部分,以及是否有能力选择不将输入/输出数据用于训练生成式人工智能模型。
    • 使用生成式 AI模型的风险,以及用来减轻/管理风险的内部机制。
    • 能否遵守生成式人工智能系统的条款和条件。
    • 商业影响和相关授权许可证的权益。
  3. 对计划实施的业务评估,考虑以下因素:
    • 实施成本。
    • 预期投资回报(ROI)。
    • 开发追踪机制以帮助计算实际投资回报率。
    • 计划的实施使用情况,下一节将对此详细探讨。

使用已批准的生成式人工智能

  1. 每个生成式人工智能的新用例都可能需要经过审批程序。例如,一种可能性是为每个职能相关方都委派一名批准者,以便集中和加速学习。
  2. 安全功能的使用。如果适用,可以要求每个用户启用所有可用的安全功能,监控新的安全功能,并在新功能可用时启用这些新功能。

默认禁止,例外批准

在某些情况下,要求对超出标准获准用途范围的生成式人工智能用途作出审查和批准,可能是有益的。例如,除非例外获得批准,否则可以禁止使用生成式人工智能。如果采用这种方法,由于创新的发展速度,定期更新获批准的用例列表可能很重要。

例如,除非得到特别批准,否则可以禁止以下类型的使用:

  1. 需要以下类别输入的用法,无论是全部还是部分:
    • 任何机密信息或业务敏感信息。
    • 任何个人数据或任何可识别组织的信息。
    • 组织的任何IP。
    • 专有计算机代码。
    • 任何与组织的客户、供应商、合作伙伴有关的信息,或其他受保护的信息,包括个人身份信息(PII ) 。
    • 有关员工的任何信息。
    • 系统访问凭据(用于组织或任何第三方的系统)。
  2. 输出可能影响到任何人的权利或义务的用法。
  3. 将输出纳入组织的技术或其他知识产权。
  4. 违反组织政策、合同义务或技术使用条款和条件的使用。
  5. 任何非法使用或显示不道德意图的使用(例如,虚假信息、操纵、歧视、诽谤、侵犯隐私 ) 。

由生成式人工智能编写的代码

利用生成式人工智能将现有代码重写为现代、内存安全的语言是一项复杂而雄心勃勃的任务。它涉及几项技术、道德和实践方面的考虑。例如,下面是需要考虑的问题的示例:

  1. 质量和可靠性:保留原始代码的功能性,同时遵从现代内存安全的实践。
  2. 安全和漏洞分析:对生成的代码进行彻底的审查,以验证安全实践。
  3. 性能:对生成的代码进行评估和优化,使其达到或超出原始代码的性能。
  4. 知识产权:为人工智能生成的代码确立知识产权,这是目前法律框架可能无法完全解决的复杂问题。
  5. 数据隐私与合规:根据相关法规采取适当的数据保护措施,以避免无意中泄露用于训练生成式人工智能模型的敏感或个人数据。

为提高个人生产力对 ChatGPT和类似工具的使用

在某些组织中,为了提高个人的行政生产力,可能会允许使用生成式人工智能平台,如下所示。任何此类使用应遵守以下规定:

  1. 避免该组织的任何违禁用途。
  2. 遵守适用的条款、条件和政策。
  3. 在可行的情况下,在使用前选择不把数据纳入培训数据集。
  4. 在实施前核实输出的准确性/可靠性/适当性。

通过个人账户使用 ChatGPT (和类似的免费生成式人工智能工具) 的允许商业用途示例:

  1. 类似于使用谷歌搜索、维基百科和其他互联网资源的事实核查或研究。
  2. 创建例行电子邮件和内部文档的初稿。
  3. 编辑文档
  4. 生成基本意念 (例如,为外出活动创建社交活动列表,描述特定代码块的工作原理,详细说明如何编写特定函数)

组织可以决定为将使用生成式人工智能的个人制定培训和/或认证。目前的安全培训课程可以更新,以纳入使用生成式人工智能的相关风险。

另外,也值得考虑用户不遵循框架的后果。这些指导方针很可能与其他正式或非正式的公司政策类似。

结语

生成式人工智能将影响组织的很多方面,已知和未知的风险都需要巧妙地缓解。我们正处于了解这技术影响的早期阶段,具有前瞻性思维的组织不会限制采用用生成式人工智能来创新的可能性。降低风险的同时鼓励探索、好奇心、反复试验将是这个新时代赢家的标志。

当世界适应生成式人工智能及其多种可能性的过程中,采取巧妙的方法建立针对组织可能用例的使用政策,是绝佳的第一步。除此之外,可将政策和准则纳入更广泛的治理和风险管理战略,其中可能包括组建指导委员会、定期进行审计和风险评估,以及建立持续的政策完善流程,以在负责任地使用生成式人工智能和适当的风险缓解措施之间取得平衡。