AI 已被用于为以下决策提供信息支持:某人是否应该获得一份工作,是否应该获得信贷额度,或者是否有资格获得住房。它正在产生能够改变人们生活的重大影响,因此我们必须负责任地处理 AI,此事至关重要。
然而,负责任的管理说起来容易做起来难。IBM 首席隐私与信任官 Christina Montgomery 致力于让 AI 始终成为推动变革的积极力量。
Montgomery 指出:“在 IBM 内部,我们为了应对这一挑战而成立了 AI 伦理委员会,我目前在其中担任联合主席。我们阐明了有关 AI 的原则——它应该具有透明性和可解释性,应该能够保护隐私,应该安全、包容且公平。虽然在 AI 伦理委员会的帮助下,这些原则已经融入到我们的文化中,但是为了确保我们作为一家公司能够负责贯彻这些原则,我们需要的不仅仅是信念。”
幸好,IBM 在此之前就已经适应了大量此类法规。
“在 GDPR [通用数据保护条例]合规方面,我们现在的情况可能与我们之前对 AI 的处理方式最为相似。”IBM 隐私与负责任办公室负责集成式治理、服务与研究的副总裁 Lee Cox 补充道,“在此之前,我们采用了更加本地化的方式来处理与数据保护相关的合规挑战,我们的许多计划都是区域化的。这些计划行之有效,但我们仍需开展大量工作来扩展它们,以便满足新的需求。”
他继续说道:“但是根据 GDPR 和其他隐私法规,我们需要开始在全球层面进行协调。我们需要快速适应,因为摆在我们面前的是更多标准、更多义务、更多复杂性,以及对于‘我的数据发生了什么?这些数据的使用方式是怎样的?’这类问题更高的敏感度。”
为了应对这种全球性监督,IBM 创建了企业级隐私与 AI 管理系统 (PIMS)。鉴于该系统所取得的成功,Montgomery 和她的团队认为 IBM 还可以通过增强该工具来更好地记录和跟踪其 AI 运营的合规性。
AI 的情况和隐私问题一样,过去几年中,国家和地区层面的相关新法规层出不穷。同样,各种全球性联盟和协会也制定了一系列原则,旨在帮助保持合乎道德且负责任的 AI 行为。但是,以规模化方式满足这些日益增长的期望可能是件难事。
“我们是一家大公司。”Montgomery 补充道,“我们的业务遍及全球 170 多个国家或地区。我们由 400 多个不同的法人实体组成,与 13,000 家供应商和 150,000 个业务合作伙伴存在业务往来。鉴于这样的规模,从治理的角度来看,我们很难让超过 25 万名员工全部保持一致的步调。
2022 年底,该办公室升级了 PIMS,现在由 IBM® OpenPages 和 IBM Knowledge Catalog 技术提供支持。该解决方案还采用了 IBM 数据和 AI 产品组合(如下所述)中的多个创新系统,提供了一个覆盖全公司的集中式平台,能够采集、集成与数据隐私和整个 AI 生命周期(从设计、部署到日常使用)相关的元数据,并实现这些元数据的透明化。
“促使我们打造 PIMS 的首要驱动因素是标准化、简单化以及大幅扩展。”Cox 回忆道,“现在,我们采取了一种更具连续性的合规方法,有助于确定我们今天的做法与新法规之间的差距。”
“在整个生态系统——包括我们的员工、我们的客户、政府以及政策制定者中建立信任至关重要。”Montgomery 补充道,“正因为这样,我们强烈支持在 AI 参与方面保持透明,而 PIMS 在本质上正在帮助我们做到这一点。”
“偏见是尤其重要的考虑因素。”Cox 指出,“如果通过 AI 大规模放大人性的缺点,就会在多个系统中复制复制这些缺点,从而对社会产生更严重的影响。”
IBM OpenPages 是 PIMS 的核心,为以前彼此孤立的治理、风险与合规 (GRC) 职能部门提供了自动执行、集中管理的工作流。IBM Knowledge Catalog 提供了相应的数据目录,用于监控和整理这些 GRC 信息以及相关知识资产和关系。
作为 IBM AI 治理策略的一个组成部分,PIMS 还利用 了 IBM Cloud Pak for Data 的 IBM AI Factsheets 功能。该工具可以跟踪机器学习模型从训练到生产的生命周期,采集可用于监控风险和模型漂移的真实数据。
PIMS 会登记 IBM 投入生产的新 AI 实例以及其他算法系统的实例,将它们添加到覆盖全公司的集中式工作流中,并评估它们是否存在潜在风险。模型上线后,该解决方案会对公平性、质量和漂移进行持续监控。
与此同时,随着新法规获得通过,PIMS 可用于导入这些要求,更新治理模型和整体风险评估工作。
“每年都有大量新的 AI 法规被写入提案。”Cox 指出,“似乎美国每个州都在制定自己的规则。2024 年,欧洲将出台一项重要的签名法律。”
鉴于不断发展变化的 AI 监管环境,以及保持数据隐私和数据治理合规性的持续性责任,IBM 设立了集成式治理计划 (IGP)。这项 IGP 计划提供了统一的策略来解决隐私、AI 或算法系统、技术伦理用例和数据清除请求等问题——所有这些问题都可以通过同一个总体治理计划来解决,而 PIMS 也包含在该计划中。
IGP 能够帮助 IBM 以规模化方式管理其合规计划,其中涵盖了将于 2024 年正式通过的《欧盟人工智能法案》——这将是全球第一部全面的 AI 法律。通过 IGP,AI 可以与该法案的要求保持一致,这些要求侧重于风险、信任、安全性和透明度,并有望推动欧盟和全球范围内人类对 AI 的监督和监管合规性迈上新高度。
反过来,PIMS 和相关的集成式治理工作流也增强了可追溯性和报告功能,让 IBM 能够在将数据用于模型预训练、开发或微调之前完成数据放行审核。该工具还有助于维护有关 AI 和其他算法系统的准确文档记录和处理记录 (RoP),包括对相关训练、测试指标当和前预测的记录。同样,IBM 员工可以通过这种文档跟踪方式来验证修复是否已实际完成。
IBM 计划在未来的 PIMS 版本中反映 IBM 的最新 watsonx 产品套件,包括 watsonx.governance。此举旨在为 IBM 提供增强的模型生命周期治理功能、关键指标以及更广泛的性能基准测试报告。
目前,PIMS 正在通过单个统一的平台跟踪和管理 IBM 全球运营中的 5,500 多个企业应用程序和业务流程。该工具提供的自动化功能可以将相关关键绩效指标 (KPI) 馈送至治理仪表板,旨在帮助简化管理、削减开销、降低修复工作量并加快实现合规的速度。
“我们不会让每个资产、每个个人、每个应用程序、每个业务流程都由流程负责人监控,并迫使他们弄清楚需要遵守哪些法律,而是会将这种复杂性掩藏起来。”Cox 解释道,“现在,借助 PIMS,他们只需重点关注自动生成的补救任务。这意味着 IBM 全公司可以节省数千小时的工作量。”
当新法规出台时,IBM 也可以更快地确定和适应这些法规的要求。
“在我们的上一个大型项目——GDPR 中,建立治理模型和跟踪解决方案用时大约 12 个月。”Cox 指出,“现在,借助 PIMS,我们可以大大缩短启动企业级监管合规计划所需的时间,有时只需六周。所需信息都是现成的,因此我们可以更快、更轻松地找出差距并构建活动。计划启动后,PIMS 可以自动将相关跟踪和修复数据馈送至我们的仪表板。”
当适应新规则时,这样的速度至关重要。正如 Montgomery 所解释的那样:“一项重大法规颁布后,我们的贯彻落实过程往往可能不需要两到三年那么久,而是可能只需四到五个月。PIMS 或类似的工具可以实现始终在线的库存管理,以及对整个企业所使用数据的深入了解——如果我们的合作伙伴或客户没有此类工具可以依赖,他们就会在合规方面遇到困难。”
她继续说道:“但是,如果他们与 IBM 合作,我们提供的透明度可以帮助我们的合作伙伴和客户建立信心和信任,让他们能够在管理和密切关注风险的同时,逐个项目采用这种 AI 技术。”
© Copyright IBM Corporation 2024. IBM Corporation, IBM Consulting, New Orchard Road, Armonk, NY 10504
2024 年 3 月制作于美国。
IBM、IBM 徽标、ibm.com、IBM Cloud、IBM watsonx 和 watsonx 是 International Business Machines Corporation 在美国和/或其他国家或地区的商标或注册商标。其他产品和服务名称可能是 IBM 或其他公司的商标。IBM 商标的最新清单可在 ibm.com/legal/copyright-trademark 上查阅。
本文档为自最初公布日期起的最新版本,IBM 可能随时对其进行更改。IBM 并不一定在开展业务的所有国家或地区提供所有产品或服务。
以上所有引用或描述的客户实例的展示取决于部分客户使用 IBM 产品的方式以及他们可能取得的结果。实际的环境成本和性能特征会因具体客户配置和情况而有所不同。无法提供通用的预期结果,因为每个客户的结果将完全取决于客户的系统和订购的服务。本文档内的信息“按现状”提供,不附有任何种类的(无论是明示的还是默示的)保证,包括不附有关于适销性、适用于某种特定用途的任何保证以及非侵权的任何保证或条件。IBM 产品根据其提供时所依据的协议条款和条件获得保证。
客户负责确保对所有适用的法律和法规的合规性。IBM 不提供任何法律咨询,也不声明或保证其服务或产品确保客户遵循任何法律或法规。