亚马逊云科技保护生成式AI隐私和合规性

关键字: [reInforce, Bedrock, Generative Ai Privacy, Compliance Considerations, Data Access Control, Model Training Data, Regulatory Requirements]

本文字数: 1300, 阅读完需: 6 分钟

导读

马克和塞缪尔作为亚马逊云科技的代表,在费城的Reinforce大会上就”确保生成式人工智能的安全:隐私和合规性考虑”进行了演讲。他们探讨了生成式人工智能应用程序如何引发隐私和合规性问题,尤其是在使用预训练模型、微调模型或训练自定义模型时,需要了解数据来源、访问控制和监管要求。该演讲重点介绍了亚马逊云科技如何通过透明度、可解释性、自动决策保护措施、监管分类、数据剖析控制和安全措施,来应对新兴法规和合规性要求,确保生成式人工智能工作负载的安全。

演讲精华

以下是小编为您整理的本次演讲的精华，共1000字，阅读时间大约是5分钟。

在不断发展的生成式人工智能领域,组织机构正在探索隐私和合规性的错综复杂的迷宫。亚马逊云科技的资深安全专家和专注于法规的安全与合规性专家在费城Reinforce活动的精彩演讲中,为我们揭示了这一复杂的领域。

为了勾勒出生成式人工智能应用程序的多样化领域,资深安全专家推出了一个范围矩阵,这是一个全面的框架,将这些应用程序分为五个不同的范围,每个范围都有其独特的考虑因素。第一个范围包括像ChatGPT这样可公开访问的消费者应用程序。这些开创性的应用程序引发了关于数据隐私和使用的紧迫问题。谁拥有访问用户输入数据的权限,以及这些数据被用于何种目的?它们是否被用于训练模型或增强服务?此外,这些数据的存储和处理位置变得至关重要,特别是考虑到数据驻留法规要求数据必须在特定的地理边界内存储和处理。

第二个范围深入探讨了面向专业人士和组织的企业和商业应用程序。这些应用程序通常附带标准的服务级别协议和服务条款,同样存在关于数据访问、使用和存储的类似问题。突出的示例包括Code Whisperer,一种帮助开发人员进行代码生成的服务,以及旨在提高企业生产力和简化运营的Salesforce AI应用程序。

当组织开始构建自己的应用程序时,第三个范围就出现了:利用亚马逊云科技Bedrock等服务托管的预训练模型。在这种情况下,需要考虑的因素与组织内任何其他数据类似,需要严格的访问控制措施、合规的数据存储实践,并遵守管理数据处理和处理的监管要求。

第四个范畴涉及组织利用其专有数据对预训练模型进行微调和定制。在这一领域,用于微调的数据来源及其使用权利至关重要。组织必须谨慎处理可能出现的版权侵犯或无意包含个人信息等问题,因为若未能遵守数据保护法规,可能会面临法律后果。文中强调亚马逊云科技服务(如SageMaker JumpStart)是有助于模型微调和管理数据管道的工具。

第五个也是最后一个范畴包括组织自行训练模型,完全使用自己收集的数据训练模型,实际上成为模型提供商。这个范畴需要最大程度的勤勉尽责,因为组织需要对整个解决方案负责,从数据采集和验证到模型测试和输出验证。最终用户许可或免责声明变得至关重要,以确保透明度并管理预期,因为组织必须清楚地传达其自训练模型的能力和局限性。

合规专家Samuel Weymouth深入探讨了围绕生成式人工智能的新兴监管主题,为组织在这个复杂的领域提供了宝贵的见解。第一个主题围绕数据隐私,强调避免收集不必要的数据,特别是受保护的信息,如宗教、种族或工会会员资格。文中强调亚马逊云科技服务(如Amazon Macie)是识别和减轻与个人数据相关风险的有价值资源,使组织能够主动解决潜在的合规违规问题。

透明度和可解释性构成了第二个主题,因为监管机构越来越期望组织提供关于其数据来源、模型训练过程和偏差检测机制的全面解释。披露人工智能交互和实施可接受的使用政策是这一主题的关键组成部分,确保最终用户意识到他们与人工智能系统的互动,并了解这些系统固有的局限性和潜在偏差。文中提及亚马逊云科技服务(如Audit Manager和Clarify)是支持生成式人工智能应用程序的模型可解释性和审计的工具。

第三个主题涉及自动决策,尤其是在人工智能驱动的决策具有法律影响的情况下,例如信贷申请或社会住房资格确定。在这些情况下,组织必须确保存在上诉机制,并在其工作流程中纳入人工干预环节,以减轻潜在的偏差和错误。这一主题强调了在涉及人工智能的高风险决策过程中保持人工监督和问责制的重要性。亚马逊云科技 Step Functions 被强调为一项可以在工作流程中促进人工干预环节的服务。

监管分类成为第四个主题,某些工作负载被彻底禁止,如未经过滤的大规模监视或非执法目的的人脸识别。其他工作负载,如涉及信用检查的金融交易,被归类为高风险,需要进行严格的影响评估,以确保符合相关法规,并识别潜在风险并有效缓解。

第五个主题集中在概况上,警告不要在没有健全的数据控制和安全措施的情况下,使用宗教或种族等受保护的特征进行决策或定向营销。组织在处理敏感的个人数据时必须格外小心谨慎,并确保其人工智能系统不会助长歧视性做法或侵犯个人隐私权。

最后,第六个主题强调安全性,特别是对于可能威胁生命或财产安全的人工智能系统,如自动驾驶汽车。在这些情况下,严格的测试、独立验证以及遵守联合国等机构制定的新兴标准变得至关重要。组织在开发和部署可能对现实世界产生重大影响的人工智能系统时,必须优先考虑个人和社区的安全与福祉。

在整个演讲过程中,马克和塞缪尔·威茅斯强调了在流程的早期阶段就让法律顾问和利益相关者参与、进行全面的数据隐私和影响评估、利用亚马逊云科技(Amazon Web Services)工具进行数据发现和模型可解释性分析,以及紧跟新兴法规和标准的重要性。通过采取积极主动和勤勉尽责的方式,组织机构可以释放生成式人工智能的变革潜力,同时降低风险,并确保符合不断演进的监管框架。

下面是一些演讲现场的精彩瞬间：

马克是亚马逊云科技的首席安全专家,他将与萨缪尔·威茅斯一起就安全和合规性法规进行探讨。

在考虑从外部采购内容时,需要审视谁可以访问您的数据?他们如何使用您的提示和响应?他们将数据存储和处理在何处?这些都是非常重要的问题。

在开始微调数据之前,了解数据来源的重要性至关重要:您是否有权使用这些数据?在某些情况下是否允许使用?是否包含版权信息或个人信息?您从何处获得这些数据?真正理解您的数据管道。

在云计算转型过程中,确保法律顾问参与人工智能工作负载的规划和审查是非常重要的,以满足新兴的人工智能法规要求。

在这一重要时刻,讲者强调了ISO 42001新兴的人工智能治理标准,以及Audit Manager AI GenerativeAI最佳实践审计框架、Clarify和SHAP与LIME等工具的重要性。

欧盟立法者对高风险处理进行了风险分析,例如使用人工智能进行信贷审查等金融交易,这些可能会产生法律影响,因此需要非常谨慎并征求法律顾问的意见。

总结

1. 了解数据的访问、存储和处理位置至关重要,尤其是为了满足监管合规性和数据驻留要求。
2. 在微调或自我训练模型时,必须彻底评估数据的来源、使用权利和潜在偏差。
3. 对于具有法律或安全影响的高风险应用程序,透明度、可解释性和披露至关重要,在这些应用程序中,需要人工监督和上诉过程。

总的来说,信息强调在开发过程的早期阶段就应该让法律顾问参与并进行影响评估,以确保符合新兴法规(如欧盟人工智能法案)的要求,并减轻与自动决策、概况描绘和安全关键系统相关的风险。