在集成人工智能时确保隐私和合规

在集成人工智能时确保隐私和合规

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Bedrock， Data Privacy， Transparency Explainability， Automated Decision Making， Regulatory Classification， Profiling， Safety Verification]

导读

本次闪电演讲将以英语进行。安全专业人士建议在将生成式人工智能与现有数据和应用程序集成时要谨慎。数据隐私、模型偏见、有害内容创建以及恶意输入对模型的风险，都是我们在采用生成式人工智能时需要谨慎的原因。在这次闪电演讲中，您将了解从欧洲、中东和非洲（EMEA）的角度出发，在开始之前需要考虑的六个主题。

演讲精华

以下是小编为您整理的本次演讲的精华。

在亚马逊云科技 re:Invent 2024的一场思维激荡的会议上，亚马逊云科技解决方案架构师Ivo Pinto深入探讨了将人工智能(AI)集成到应用程序时所涉及的隐私和合规性考虑因素。这场大约20分钟的200级会议旨在让与会者全面了解这一主题，提出相关问题并提供有价值的资源以供进一步探索。

Pinto首先介绍了一种由亚马逊云科技设计的心智模型，将AI应用程序划分为五个不同的范围。第一个范围包括用户使用的简单应用程序，如ChatGPT;第二个范围包括企业协议和服务条款;第三个范围包括预训练模型，例如使用Amazon Bedrock;第四个范围涉及使用专有数据微调模型以提高性能;第五个范围则代表完全在内部自行训练的模型。

根据Pinto的观察，大多数亚马逊云科技客户的应用程序处于第二和第三范围，只有较小一部分涉及第四范围，而参与第五范围的更是少之又少。他建议企业应用程序避免使用第一范围，因为其条款通常允许使用数据来改进产品，但缺乏强有力的保护措施。

Pinto强调了隐私和合规性考虑因素的重要性，这些因素会因范围的不同而有所差异。对于第一和第二范围，主要关注点集中在数据访问和使用上，包括提示、响应、数据存储、处理和加密实践。无论公司所在地理位置如何，如果为需要特定数据驻留要求的地区提供服务，都必须遵守GDPR和SOC 2等法规。

随着应用程序进入涉及预训练和微调模型的第三和第四范围，重点转移到确保负责任地使用模型、数据存储和处理实践。对于第四范围，还需要额外审查微调数据来源的合法性以及在商业应用程序中使用此类数据的权利。

在第五范围中，公司扮演服务提供商的角色，责任进一步加大。需要全面监督，涵盖模型训练、数据策展(包括可能从各种来源抓取的大量数据)以及验证模型输入和输出，以减轻越狱、有害内容和潜在法律责任等风险。

转而谈及合规性方面，Pinto承认客户经常询问他们的工作负载是否合规。然而，他澄清亚马逊云科技无法提供法律建议，但可以协助将控制措施映射到亚马逊云科技服务和功能，借助安全专家和合规团队的专业知识。他建议公司的云中心卓越中心(CCOE)应引入法律专业人士，以有效应对复杂的监管环境。

Pinto接着概述了六个需要仔细考虑的新兴监管主题:

1. 数据隐私:基本规则是只记录必要的数据，在存有疑虑时寻求法律咨询。Amazon Macie和Amazon Data Pipeline等资源可以帮助识别和管理个人数据，而Amazon Data Pipeline等解决方案则有助于遵守某些法规要求的数据删除请求。
2. 透明度和可解释性:披露AI的使用情况、记录模型创建和数据收集过程，并在合同中纳入有关数据处理的条款至关重要。新推出的ISO 42001:2023和亚马逊云科技 Clarify等工具可以指导如何确保透明度和可解释性。
3. 自动决策:对于影响重大的决策，如与社会住房或信用评分相关的决策，需要引入人工干预步骤和上诉程序，以防止潜在的偏差或错误。英国提供了资源，以维护个人在AI系统中的权利，包括对自动决策提出上诉的权利。
4. 监管分类:Pinto强调了准确理解相关法律法规的重要性，并让法律顾问参与对应用程序风险级别进行分类。某些工作负载，如非执法目的的大规模视频监控，在特定法规下被明令禁止。
5. 个人资料:使用个人特征进行决策(如信用评分)通常是被禁止的。技术团队可能会无意中纳入此类特征以提高模型性能，因此需要法律监督以确保合规。
6. 安全性:拜登总统的行政命令要求对可能威胁生命或财产安全的AI系统进行独立测试和验证。尽管“独立验证”的具体细节仍在不断发展，但这一要求与航空业和SOC 2合规性审计等现有做法不谋而合。

Pinto最后承认AI法规正在快速发展，强调需要持续保持警惕并寻求法律咨询以确保合规。他鼓励与会者就个别问题与他进一步交流，认识到这一领域的复杂性和动态性。

在整个会议过程中，Pinto的专业知识和见解阐明了将AI集成时所涉及的隐私和合规性考虑因素的多方面内容。他全面的方法，包括心智模型、监管主题和实践资源，为与会者奠定了成功应对这一错综复杂领域的坚实基础。随着AI继续渗透到各个行业，Pinto的指导犹如宝贵的指南针，使组织能够发挥AI的力量，同时坚持道德标准、保护隐私并遵守不断发展的监管框架。

下面是一些演讲现场的精彩瞬间：

亚马逊云科技的Breastfeld解决方案架构师Ivo Pinto探讨了隐私和合规性在生成式人工智能背景下的热门话题。

他强调了在构建人工智能应用程序时，了解数据使用和合规性的重要性，尤其是关于来自外部人工智能模型的提示和响应。

他强调了在训练大型语言模型时，数据权利和负责任的数据使用的重要性，因为服务提供商对整个过程负有全部责任。

Andy Jassy强调了数据隐私的重要性，他建议公司不要收集或存储他们不需要的个人信息。

他强调了新的ISO 42.001 2023人工智能标准的重要性，并推荐使用Clarify等工具在构建人工智能模型之前分析数据中潜在的偏差。

演讲者强调在做出技术决策时，让法律顾问参与其中以确保符合法规的重要性，即使这意味着牺牲准确性或性能。

演讲者强调保持警惕和适应性，以应对这一领域快速发展的安全和监管环境，因为今天合规的做法在不久的将来可能会被禁止。

总结

确保在集成人工智能时保护隐私和合规性

作为亚马逊云科技的内容策展人，我将简明扼要地总结reInvent2024大会上题为“确保在集成人工智能时保护隐私和合规性”的演讲内容:

将生成式人工智能集成到应用程序中会引发关于隐私和合规性的重大问题。亚马逊云科技已经制定了一种思维模型，将人工智能应用程序划分为五个范畴，从简单的消费者应用程序到自我训练的模型。随着我们穿越这些范畴，隐私和合规性考虑因素变得越来越复杂。

对于消费者和企业应用程序(范畴1和2)，关键问题是:谁可以访问数据以及出于何种原因?了解提示、响应和用户数据的处理、存储和处理方式至关重要。当使用预训练或微调模型(范畴3和4)时，您还必须考虑如何使用这些模型、在何处存储和处理数据，以及任何微调数据的出处。

作为服务提供商(范畴5)，您必须对整个模型生命周期负全责，从训练数据获取到输出验证。确保遵守GDPR、SOC 2和欧盟人工智能法案等法规至关重要。法规中出现的新兴主题包括数据隐私、透明度、可解释性、自动决策、监管分类、概况和安全性。与法律顾问合作并建立健全的云合规运营环境(CCOE)对于应对这一快速发展的环境至关重要。

演讲者的核心信息很明确:负责任地集成人工智能需要采取主动、跨学科的方法，将技术考虑因素与法律和监管框架相协调。随着法规不断发展以规范人工智能技术的道德和负责任使用，持续警惕和适应至关重要。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。