無論是預測消費者的購物偏好、指導軍事決策、還是提供對于金融犯罪活動的獨特見解，AI工具的種種新應用幾乎每天都會登上報紙頭條。不同規(guī)模的企業(yè)正努力擴張并鋪開自身AI能力，希望更好地服務客戶并提高自身運營效率。

雖然AI工具的普及將對企業(yè)產生積極影響，但組織也必須了解具體技術實施所帶來的潛在風險。這些風險包括隱私與商業(yè)機密威脅、由大語言模型因“幻覺”生成的虛假信息，以及刻意為復雜的規(guī)模化網絡攻擊/武器化應用輸出的錯誤信息。再有，AI工具還可能受到訓練數(shù)據(jù)的影響而出現(xiàn)分析偏差或模型失真，進而給出不當、不正確或無效的響應。

面對這些挑戰(zhàn)，最直接的解決方案自然在于嚴格落實合規(guī)。合規(guī)性對于保障技術效率提升，特別是發(fā)現(xiàn)并解決與數(shù)據(jù)隱私/安全相關的潛在法律/監(jiān)管風險方面至關重要。Zoom此前就曾試圖修改其使用條款以獲準捕捉更多用戶數(shù)據(jù)，此事也讓我們意識到即使單純是為了對AI模型做適度調整，這種數(shù)據(jù)收集行為也可能受到市場的嚴厲批評、必須加以謹慎對待。

但創(chuàng)新和發(fā)明的步伐一刻不停，AI領域的監(jiān)管體系也尚未完全定型，所以企業(yè)在AI治理與合規(guī)框架設計方面仍面臨著艱巨的挑戰(zhàn)。歐盟委員會已經提出歐盟（EU）AI法案，也成為首個關于AI應用的立法。歐盟在推行基于風險的治理模型方面一直處于領先地位，也為未來的AI法規(guī)樹立了先例。歐盟認為應當根據(jù)AI系統(tǒng)的類型對風險進行價值判斷，再依據(jù)風險設定不同程度的合規(guī)性要求。盡管美國目前還沒有統(tǒng)一的監(jiān)管框架，但紐約等多個州已經開始制定規(guī)則，希望約束在招聘流程中對AI工具的使用方式。鑒于不少合規(guī)團隊缺乏對組織內AI技術實際使用情況的全面了解，后續(xù)出臺的法規(guī)可能會調整合規(guī)職能。總而言之，隨著AI技術的不斷進步，合規(guī)性保障必然成為其前提與基石，確保席卷全球的AI浪潮始終受到道德與法律的引導。

為了保障這種合規(guī)性和有效性，合規(guī)團隊在制定相關計劃、幫助企業(yè)解決AI應用問題時，應始終牢記以下五大基本原則。

1.建立適宜的合規(guī)團隊，應對日益增長的現(xiàn)實挑戰(zhàn)

合規(guī)團隊往往身兼多職，需要在整個組織內擔任專家。他們必須努力確保自身不會與其他部門相隔離，同時積極融入整個組織結構，從而保持全面的視角——特別是保證所制定和實施的整體AI政策適應各部門的具體現(xiàn)實。也就是說，合規(guī)團隊必須重視多元化，應由具備技術和非技術背景的專家組成，共同評估AI工具的潛在問題。合規(guī)團隊還必須擁有資源以提出關于AI模型和測試的正確問題，而不應僅依靠業(yè)務團隊來完成這些工作。

2.維護好工具庫存

合規(guī)管理者必須明確了解整個公司內所使用的AI技術清單，具體包括公司內部使用的工具和面向客戶的任務處理方案。只有了解到員工正在使用哪些工具，合規(guī)團隊才能更好地評估這些技術帶來的助益和風險。也正因為如此，我們才有必要在合規(guī)團隊中引入來自各個業(yè)務部門的成員。在可能的情況下，合規(guī)團隊還應參與到整個組織的工具選擇流程當中。某些工具在設計時可能會考慮到隱私、數(shù)據(jù)及其他保護性需求，而合規(guī)團隊正是評估這些保護措施是否充分和有效的最佳人選。

3.實施強有力且明確的政策

合規(guī)團隊應確保針對公司內的AI應用制定統(tǒng)一政策。如果缺少這些政策，工作態(tài)度積極的員工很可能會自行選擇有助于提高工作效率的AI工具、并直接拿來使用，絲毫沒有意識到自己正在將商業(yè)機密或代碼暴露給AI大語言模型。三星公司的工程師就曾犯下這類錯誤，他們不慎向ChatGPT提交了機密代碼。如果沒有適當?shù)姆雷o措施，在辦公環(huán)境內不受監(jiān)管地使用AI可能會給企業(yè)帶來災難性影響，最終引發(fā)不必要的聲譽損害。而通過實施可接受的使用策略以指定必要的AI類型、可以共享哪些信息以及如何使用/驗證這些信息內容，合規(guī)團隊將幫助整個組織緩解潛在的AI相關風險。

4.驗證與測試工具

整個組織中使用的任何AI工具，都必須由熟悉情況的專業(yè)合規(guī)團隊進行驗證和測試。這方面測試需要對各類AI模型的幾大關鍵情況做出審查：

模型托管在哪里？數(shù)據(jù)如何受到保護？

誰在訓練模型，又是如何選擇訓練數(shù)據(jù)的？

當前在實行哪些保護措施，以防止機密及/或受保護的數(shù)據(jù)被輸入至AI模型當中？

對AI模型的訪問由誰/如何加以控制？

是否對模型進行過偏差測試？

5.強制在合規(guī)計劃中貫徹標準

最后，公司應確保其合規(guī)計劃貫徹上述標準，確保有適當?shù)目刂拼胧┮跃S持約束能力，同時了解誰有權訪問實際使用到的信息。例如，不少律師事務所正在開發(fā)用于從博文和網上資料中提取信息的AI工具，但同時又要求該工具不得直接提取或使用客戶數(shù)據(jù)。這類案例就必須嚴加監(jiān)控以避免發(fā)生濫用。

在《歐盟AI法案》這份AI先驅性監(jiān)管政策的指引下，合規(guī)團隊應當考慮到世界各地即將出臺的其他立法將如何影響某些AI工具在未來的使用。只有建立起一支既熟悉技術功能和用途、又了解最新法規(guī)的合規(guī)團隊，組織才能在遵守合規(guī)要求的同時遏制潛在風險、發(fā)揮AI潛力、釋放創(chuàng)新能量。