Законодатели по всему миру предлагают нормативные акты и рекомендации по инструментам больших языковых моделей наподобие ChatGPT и Google Bard. В Gartner определили четыре критические области, которые необходимо рассмотреть руководителям юридических служб, чтобы помочь своим компаниям подготовиться к изменениям в законодательстве и учесть их при разработке корпоративной стратегии ИИ. Соответствующие законы во многих юрисдикциях могут вступить в силу не ранее 2025 года, однако юридическим службам стоит начать работу, не дожидаясь окончательного принятия нормативных актов, полагают аналитики.
Эксперты Gartner определили четыре первоочередных шага для юридических руководителей по созданию надзора за ИИ, которые позволят их организациям двигаться вперед в ожидании изменений в законодательстве.
1. Обеспечить прозрачность использования ИИ
Прозрачность использования технологий ИИ становится важнейшим пунктом законодательных норм, разрабатываемым по всему миру, отмечают в Gartner. Юридическим службам необходимо подумать о том, как их организации дадут понять любому человеку-клиенту или партнеру - когда он взаимодействует с ИИ.
Например, при использовании ИИ в создании маркетингового контента или в процессе приема на работу юристам следует обновить уведомления о конфиденциальности и пользовательские соглашения на сайтах своих компаний, чтобы отразить использование ИИ. Еще лучше - разработать отдельный раздел, посвященный данному вопросу. Также организация при сборе данных давать ссылку на точечное уведомление, в котором объясняется, как именно организация использует ИИ. В юридической службе также могут рассмотреть возможность обновления кодекса поведения поставщиков, включив в него требование об уведомлении, если поставщик планирует использовать ИИ.
2. Обеспечить непрерывное управление рисками
Юридической службе активно участвовать в усилиях по внедрению сквозных процедур контроля управления рисками, который охватит жизненный цикл любого ИИ-инструмента. Одним из подходов может быть оценка влияния алгоритмов (algorithmic impact assessment, AIA), которая документирует принятие решений, демонстрирует должную осмотрительность и снижает нынешний и будущий регуляторный риск и другие виды ответственности.
Помимо юридической службы к этой деятельности следует привлечь специалистов по информационной безопасности, управлению данными, Data Science, конфиденциальности, соблюдению нормативных требований, а также бизнес-подразделения, чтобы получить более полную картину рисков. Поскольку сотрудники юридических служб обычно не являются владельцами бизнес-процессов, для которых они внедряют механизмы контроля, консультации с соответствующими бизнес-подразделениями крайне важны.
3. Построить систему управления, которая включает в себя надзор и подотчетность
Один из очевидных рисков при использовании больших языковых моделей (LLM) заключается в том, что они могут сильно ошибаться, хотя звучат внешне правдоподобно, признают в Gartner. Именно поэтому регуляторы ведут речь о человеческом надзоре, который должен обеспечить внутреннюю проверку результатов работы ИИ-инструментов.
Компании могут назначить ответственного за ИИ, который будет помогать техническим группам разрабатывать и внедрять средства человеческого контроля. В зависимости от того, в каком отделе реализуется инициатива по ИИ, этим человеком может быть член команды с глубокими функциональными знаниями, сотрудник из отдела безопасности или конфиденциальности.
Руководитель компании также может создать консультативный совет по цифровой этике, в который войдут юристы, ИТ-специалисты, маркетологи и внешние эксперты, чтобы помочь проектным группам справиться с этическими проблемами.
4. Выстроить защиту от рисков, связанных с конфиденциальностью данных
Одна из главных забот регулирующих органов - защита конфиденциальности данных частных лиц, когда речь идет об использовании ИИ. Для юридических служб будет важно быть в курсе всех новых запрещенных практик, таких как биометрический мониторинг в общественных местах.
При реализации новых проектов с использованием ИИ необходимо взять за правило оценивать их воздействие на конфиденциальность на ранних этапах проекта.
При использовании публичных LLM-инструментов следует предупреждать сотрудников о том, что любая вводимая ими информация может стать частью набора данных для обучения модели. Это означает, что конфиденциальная или собственная информация, используемая в подсказках, может попасть в ответы для пользователей за пределами предприятия. Поэтому очень важно установить руководящие принципы, проинформировать сотрудников о существующих рисках и дать указания по безопасному использованию таких инструментов.