为什么公司和组织需要人工智能政策
自 2025 年 2 月 2 日起,人工智能法规(AI-VO)下的培训要求开始生效,即根据第 201 条,处理人工智能系统使用或操作的员工应具备“足够的人工智能能力水平” 。 4 人工智能语音合成。然而,仅仅实施培训要求是不够的,公司和组织最好也以人工智能指南的形式引入处理人工智能的具有约束力的规则。引入此类政策的必要性可能有多种原因:
通常,公司本身也在积极融入人工智能主题,并为员工提供基于人工智能的解决方案。
然而,有时公司尚未准备好,员工自己会询问何时会取得进展,甚至可能已经在专业环境中使用私人购买或免费提供的人工智能解决方案。
最后,出现了这样的情况:公司和员工都没有主动引入人工智能解决方案,但人工智能还是进入了公司。例如例如,当提供商突然在软件或操作系统更新中添加新的 AI 功能并且这些功能几乎在一夜之间可用时就会出现这种情况。
做好安排
目前对于一个公司或者组织来说最重要的一点就是首先规范人工智能的使用。说得更清楚一点:
“目前没有什么比没有任何安排更糟糕的了。 ”
此时最简单的方法当然是发布全面禁令。这种方法可能并不真正可持续。然而,其他解决方案也是可以想象的。此时需要注意一点:这篇博文会更长一些,但相对全面。
经典和混合白名单方法
为了一方面防止人工智能系统的扩散,另一方面保持必要的概览和清晰度,建议采用经典或混合白名单方法,英国商业传真列表 具体取决于数据类型。我们这样说是什么意思?
个人数据
每当要使用人工智能系统处理个人数据时,都必须检查其框架条件是否到位。
如果服务提供商提供人工智能系统(通常情况下如此),则从数据保护的角度来看,这包括经典的检查点:
是否有根据第 14 条签订的订单处理合同? 28 GDPR?
与服务提供商签订的合同中是否包含条款,规定服务提供商不得将数据用于培训目的?
数据处理是否仅在欧盟内部进行,或者是否有其他理由假设数据保护水平足够 - 例如B. 美国公司是否参与数据隐私框架或签订欧盟标准合同条款,以及是否存在转移影响评估(如果适用)?
如果涉及个人数据,可能还需要检查其他方面。然而,我们不想在这里详细讨论这个问题,因为有一件事应该明确:公司或员工希望用来处理个人数据的所有人工智能系统都必须经过单独审查和批准。因此,原则上应禁止使用人工智能系统处理个人数据,除非公司明确允许。为此,有关人工智能使用的监管应遵循经典的白名单方法:只有通过白名单明确允许,人工智能系统才可用于处理个人数据。在考虑是否满足列入白名单的条件时,公司的数据保护官(如果有)应该参与其中。
值得保护的公司信息
与个人数据的处理类似,敏感的公司信息不能简单地用任何人工智能系统来处理。在这里,也必须仔细观察,特别是如果人工智能系统是由服务提供商提供的,并问自己以下问题:提供商是否保证敏感的公司信息将被保密处理,特别是不会用于预期目的以外的目的,例如B. 训练AI模型?
这里也需要真正的白名单方法,因为敏感的公司信息只能在经过测试的人工智能系统中处理。
根据ISO/IEC 27001认证的公司可能能够参考此处现有的信息分类政策。
总的来说,在实施人工智能系统之前,建议让组织的信息安全官(如果有)参与进来。
非个人和不受保护的数据
如果我们想象一下在公司中实践白名单方法,那么很快就会出现一个问题:为了不失去联系,如何在如此(所谓的)限制性规定下推动公司使用人工智能。一种可能性是混合白名单方法。公司确实可以决定发布某些类型的人工智能系统,而无需进行单独测试。然而,必须明确规定这些人工智能系统不得处理任何个人或敏感的公司信息 。
那么,白名单中的相应包含内容可能如下所示:B:
“可以使用生成或处理图像、声音或视频内容的人工智能系统。但是,它们不得处理个人或敏感的公司信息。”
“可以使用生成文本内容的人工智能系统。但是,它们不得处理个人或敏感的公司信息。”
然而,采用这种混合白名单方式的公司必须对其员工非常信任。每位员工都必须能够自己评估什么是个人数据以及何时公司信息值得保护。过去已经提供或进行过适当数据保护和信息安全培训的公司可以从中受益匪浅。
即使企业采用混合白名单的方式,除了禁止处理个人数据或敏感的公司数据外,公开发布的人工智能系统还可能受到进一步的限制。例如,一家公司可以从根本上禁止使用某些AI系统或AI模型,例如使用同名中国提供商的AI系统DeepSeek。尤其是对于 DeepSeek 的 AI 工具,监管机构指出了其中的风险(参见LfD Niedersachsen或SDTB)。
所需的进一步一般规定
然而,仅仅有序地将人工智能系统添加到白名单中是不够的。如果公司想要使用人工智能系统,则需要将其他内容纳入人工智能法规中。
禁止高风险用途
《人工智能法规》规定,在某些情况下,使用人工智能系统必须被归类为高风险。这对公司来说意味着各种义务。危险的是,有时人工智能系统的使用目的就足以将其归类为高风险人工智能系统。
因此,引入人工智能的规定应该确保员工知道他们不允许简单地利用人工智能系统追求高风险的目的。
举一个例子,假设一家公司已将 ChatGPT 的使用列入白名单。它确保了按照第 14 条签订订单处理合同。 28 已与 OpenAI 达成 GDPR;合同伙伴是爱尔兰的分公司。作为付费许可的一部分,该公司选择了最近提供的“欧洲数据驻留”,这反过来向 OpenAI 保证数据不会用于其预期目的以外的目的或用于培训目的。最后但同样重要的一点是,数据保护官员也没有任何根本性的担忧。那么可能出现什么问题呢?在我们的例子中,人力资源部门就发挥了作用。将会在那里创建一个包含所有当前应用程序的关键数据的列表。这已上传至 ChatGPT 并请求创建排名。该公司可能成为高风险人工智能系统的运营商,并承担相应的义务,因为《人工智能条例》第 6(2)条以及《人工智能条例》附件三第 4 段将以下用途归类为高风险:
頁:
[1]