企業(yè)如何為GenAI定義數(shù)據(jù)安全和治理規(guī)則

Lemongrass聯(lián)合創(chuàng)始人兼首席技術(shù)官 Eamonn O'Neill分享了企業(yè)在保護(hù)和管理生成式 AI 工具方面面臨的挑戰(zhàn)，并提出了整合現(xiàn)有數(shù)據(jù)治理政策的戰(zhàn)略。

當(dāng)前，許多企業(yè)在為保護(hù) GenAI 工具和服務(wù)以及為其提供支持的數(shù)據(jù)而所采取的方法很混亂。

一些組織對(duì)將敏感信息暴露給 ChatGPT 等 GenAI 服務(wù)非常謹(jǐn)慎，以至于他們?cè)诠揪W(wǎng)絡(luò)上完全屏蔽了這些服務(wù)，但這通常是一種下意識(shí)的、無(wú)效的方法。想要使用這些服務(wù)的員工可以通過(guò)其他方式輕松訪問(wèn)它們，例如通過(guò)他們的個(gè)人通信設(shè)備。

在其他情況下，企業(yè)試圖根據(jù)監(jiān)管要求制定AI安全和治理策略。由于迄今為止全球?qū)?GenAI 的監(jiān)管指導(dǎo)很少，因此結(jié)果往往是混亂且不斷變化的 AI 治理政策，這些政策可能與監(jiān)管機(jī)構(gòu)最終確定的授權(quán)一致，也可能不一致。

這里有更好的方法：使用現(xiàn)有的數(shù)據(jù)安全和治理政策作為管理組織內(nèi)生成式 AI 服務(wù)的基礎(chǔ)。這種方法對(duì)于保護(hù)生成式 AI 非常有效，以下是它在實(shí)踐中的表現(xiàn)。

GenAI 治理的必要性

不可否認(rèn)的是，企業(yè)需要為 GenAI 制定并執(zhí)行明確的安全和治理政策。企業(yè)內(nèi)部部署的此類服務(wù)可能會(huì)訪問(wèn)高度敏感的企業(yè)數(shù)據(jù)，這對(duì)數(shù)據(jù)隱私和安全具有重大影響。

例如，如果員工在提示中將專有業(yè)務(wù)信息輸入 ChatGPT，理論上 ChatGPT 可以在此后的任何時(shí)候?qū)⑦@些數(shù)據(jù)泄露給競(jìng)爭(zhēng)對(duì)手。由于企業(yè)無(wú)法控制 ChatGPT 的運(yùn)作方式，因此企業(yè)無(wú)法控制 ChatGPT 在獲取其數(shù)據(jù)后如何使用這些數(shù)據(jù)。

同樣，沒(méi)有辦法從 GenAI 模型中“刪除”敏感數(shù)據(jù)。一旦被攝取，它就會(huì)永遠(yuǎn)存在，或者至少直到模型停止運(yùn)行。從這個(gè)意義上說(shuō)，企業(yè)內(nèi)部的 GenAI 提出了與企業(yè)控制私人信息生命周期的能力相關(guān)的深刻挑戰(zhàn)。一旦你不再需要這些數(shù)據(jù)，你就不能簡(jiǎn)單地從 GenAI 模型中刪除這些數(shù)據(jù)，就像你可以從數(shù)據(jù)庫(kù)或文件系統(tǒng)中刪除私人數(shù)據(jù)一樣。

使這些挑戰(zhàn)更加復(fù)雜的是來(lái)自不同供應(yīng)商的 GenAI 服務(wù)數(shù)量眾多。由于這種多樣性，沒(méi)有簡(jiǎn)單的方法來(lái)實(shí)現(xiàn)訪問(wèn)控制，定義哪些員工可以在企業(yè)可能采用的不同 GenAI 解決方案中執(zhí)行哪些操作。像 Active Directory 這樣的身份管理框架最終可能會(huì)發(fā)展到支持跨 GenAI 服務(wù)的統(tǒng)一訪問(wèn)控制集，但它們目前還沒(méi)有實(shí)現(xiàn)。

出于這些原因，企業(yè)必須為 GenAI 定義安全和治理規(guī)則。具體來(lái)說(shuō)，規(guī)則需要控制 GenAI 模型可以訪問(wèn)哪些數(shù)據(jù)、如何訪問(wèn)這些數(shù)據(jù)，以及必須實(shí)施哪些訪問(wèn)控制來(lái)管理員工與 GenAI 服務(wù)的交互。

數(shù)據(jù)治理作為GenAI治理的基礎(chǔ)

大多數(shù)組織都認(rèn)識(shí)到人工智能治理的重要性。然而，如前所述，實(shí)施有效的治理政策和控制對(duì)許多組織來(lái)說(shuō)相當(dāng)具有挑戰(zhàn)性，主要是因?yàn)樗麄儾恢缽哪睦镩_始。

解決這一挑戰(zhàn)的一個(gè)實(shí)用方法是根據(jù)大多數(shù)企業(yè)早已實(shí)施的數(shù)據(jù)治理政策來(lái)制定 AI 治理規(guī)則。畢竟，GenAI 面臨的許多隱私和安全問(wèn)題最終都?xì)w結(jié)為數(shù)據(jù)隱私和安全問(wèn)題。因此，數(shù)據(jù)治理規(guī)則也可以擴(kuò)展到治理 AI 模型。

這在實(shí)踐中意味著在 GenAI 服務(wù)中建立訪問(wèn)控制，根據(jù)企業(yè)已經(jīng)制定的數(shù)據(jù)治理規(guī)則限制這些服務(wù)可以訪問(wèn)哪些數(shù)據(jù)。實(shí)施控制將有所不同，因?yàn)槠髽I(yè)需要依賴支持生成式 AI 模型的訪問(wèn)控制工具，而不是數(shù)據(jù)庫(kù)、數(shù)據(jù)湖等的訪問(wèn)控制。但結(jié)果是相同的，因?yàn)榭刂茖⒍x誰(shuí)可以對(duì)組織的數(shù)據(jù)做什么。

這種方法特別有效，因?yàn)樗鼮椴捎?GenAI 服務(wù)作為訪問(wèn)和查詢業(yè)務(wù)數(shù)據(jù)的新界面奠定了基礎(chǔ)。只要你妥善管理和保護(hù) GenAI 服務(wù)，就可以讓員工依賴這些服務(wù)來(lái)詢問(wèn)有關(guān)你的數(shù)據(jù)的問(wèn)題。而且，可以確信每位員工的訪問(wèn)級(jí)別都是適當(dāng)?shù)?，這要?dú)w功于你構(gòu)建的 AI 治理控制。

一種簡(jiǎn)單有效的數(shù)據(jù)治理和人工智能治理方法

歸根結(jié)底，AI 治理方法不僅為決定企業(yè) AI 服務(wù)用戶可以訪問(wèn)和不能訪問(wèn)哪些數(shù)據(jù)提供了明確的基礎(chǔ)（以數(shù)據(jù)治理規(guī)則的形式），還簡(jiǎn)化了數(shù)據(jù)治理本身，因?yàn)樗畲笙薅鹊販p少了為每個(gè)數(shù)據(jù)資源實(shí)施訪問(wèn)控制的需要。

當(dāng) GenAI 服務(wù)成為與數(shù)據(jù)交互的集中式界面時(shí)，企業(yè)只需通過(guò) GenAI 即可實(shí)施數(shù)據(jù)治理。這比為組織內(nèi)的每個(gè)數(shù)據(jù)資產(chǎn)建立不同的控制措施要容易得多，也更有效率。

因此，無(wú)需盲目制定企業(yè) AI 治理政策，或者更糟的是，完全阻止 AI 服務(wù)并祈禱員工不會(huì)繞過(guò)企業(yè)的限制，而是需要評(píng)估現(xiàn)有的數(shù)據(jù)治理規(guī)則，并將其作為定義 AI 治理控制的務(wù)實(shí)基礎(chǔ)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。