Znaj swoje wymagania prawne

NIST AI Risk Management Framework (AI RMF) został zaprojektowany jako dobrowolne ramy mające zastosowanie do każdej organizacji zaangażowanej w projektowanie, rozwój, wdrażanie lub wykorzystanie systemów sztucznej inteligencji. Nie jest to obowiązkowy wymóg zgodności w taki sam sposób, jak niektóre przepisy (na przykład Ustawa o AI UE). Oferuje jednak bardzo przydatne wytyczne - pomyśl o nim jako o przewodniku, który pomoże Twojej organizacji zapewnić odpowiedzialne wykorzystanie korzyści płynących z AI.

Ten post otwiera serię publikacji omawiających NIST AI RMF - punkt po punkcie.

Govern 1.1

Govern 1.1 dotyczy wymagań prawnych i regulacyjnych. Muszą one być rozumiane, zarządzane i dokumentowane, ale co dokładnie to obejmuje?

1. Zidentyfikuj i zrozum lokalne i międzynarodowe przepisy prawne i regulacje dotyczące rozwoju, wdrażania i wykorzystania AI

Zdefiniuj i udokumentuj wszystkie minimalne wymagania zawarte w przepisach prawnych i regulacjach: RODO (UE), przepisy antydyskryminacyjne (Twoje systemy AI mogą podejmować decyzje dotyczące osób fizycznych!), przepisy dotyczące własności intelektualnej, cyberbezpieczeństwa oraz regulacje branżowe i specyficzne dla aplikacji (np. HIPAA i FDA nałożą pewne wymagania na systemy AI stosowane w opiece zdrowotnej - odpowiednio dotyczące ochrony informacji o stanie zdrowia pacjentów oraz zapewnienia bezpieczeństwa i skuteczności urządzeń medycznych opartych na AI).

2. Monitoruj wszystkie zmiany i aktualizacje - chcesz być na bieżąco ze zmieniającym się krajobrazem regulacyjnym

• Subskrybuj blogi lub biuletyny publikujące regularne aktualizacje

• Skonfiguruj alerty słów kluczowych Google (lub inne), aby otrzymywać powiadomienia o nowych publikacjach

• Dołącz do stowarzyszeń branżowych, aby nawiązać kontakt z innymi przedstawicielami branży

• Uczestnicz w konferencjach i webinariach

• Korzystaj z mediów społecznościowych! Obserwuj kluczowych influencerów: ekspertów ds. regulacji, liderów branży i agencje rządowe

3. Dostosuj działania związane z zarządzaniem ryzykiem do obowiązujących norm prawnych.

Masz już wdrożone ramy zarządzania ryzykiem? Przyporządkuj ryzyka do wymagań prawnych, zidentyfikuj luki - czy wszystkie Twoje praktyki zarządzania ryzykiem odpowiednio uwzględniają wymagania prawne?

4. Twórz i utrzymuj polityki dotyczące szkolenia i ponownego szkolenia personelu w zakresie aspektów prawnych i regulacyjnych mających wpływ na projektowanie, rozwój, wdrażanie i wykorzystanie AI

Taka szkolenie może obejmować: przepisy dotyczące prywatności danych, uczciwość AI, prawa własności intelektualnej, cyberbezpieczeństwo i bezpieczeństwo danych, regulacje branżowe, a także szkolenia oparte na rolach dla analityków danych, inżynierów i kierowników projektów.

Uczyń je istotnym i interesującym: wykorzystuj studia przypadków z życia wzięte i scenariusze hipotetyczne, organizuj interaktywne warsztaty i symulacje, ćwiczenia z odgrywaniem ról, zapraszaj ekspertów zewnętrznych i zachęcaj personel do udziału w odpowiednich konferencjach, webinariach i kursach online.

5. Upewnij się, że system AI został sprawdzony pod kątem zgodności z obowiązującymi przepisami prawa, regulacjami, normami i wytycznymi

• Przeprowadzaj audyty wewnętrzne

• Zaangażuj zewnętrznych audytorów lub konsultantów w celu zapewnienia niezależnej oceny zgodności Twojego systemu AI

• Korzystaj z list kontrolnych

• Prowadź szczegółową dokumentację dotyczącą ustaleń audytu i działań naprawczych

• Przeprowadzaj oceny uczciwości systemu AI (parytet demograficzny, równe szanse, zróżnicowany wpływ, testowanie kontrfaktyczne - bądź na bieżąco, aby uzyskać więcej informacji na temat tych i innych metryk)

Następny krok?

Jak zbadaliśmy, Govern 1.1 NIST AI RMF zawiera jasną dyrektywę: znaj swoje zobowiązania prawne. Następnym kluczowym krokiem jest przełożenie tego zrozumienia na konkretne działania. Zachęcamy do oceny obecnych procesów w Twojej organizacji i zapoznania się z naszymi innymi postami na temat standardu i sposobu jego przestrzegania, aby zapewnić wiarygodność systemów AI, które rozwijasz, wdrażasz lub wykorzystujesz.