在与私营和公共部门的合作中,美国国家标准技术研究所 (NIST) 制定了一个框架,以更好地管理与人工智能(AI)相关的个人、组织和社会风险。NIST人工智能风险管理框架(AI RMF)旨在自愿使用,并提高将可信度考虑纳入人工智能产品、服务和系统的设计、开发、使用和评估的能力。
该框架于2023年1月26日发布,是通过一个共识驱动、公开、透明和协作的过程制定的,其中包括一个信息请求、几个征求公众意见的草案版本、多个研讨会以及其他提供意见的机会。它的目的是建立在其他机构的人工智能风险管理工作的基础上,并与之保持一致和支持。
NIST还出版了一本配套的NIST AI RMF Playbook以及AI RMF路线图、AI RMF Crosswalk和各种观点。此外,NIST还提供了一个关于AI RMF的视频解释器。
人工智能(AI)技术具有改变社会和人们生活的巨大潜力--从商业和健康到运输和网络安全,再到环境和我们的地球。人工智能技术可以推动包容性经济增长,支持科学进步,改善我们世界的条件。然而,人工智能技术也带来了风险,可能对个人、团体、组织、社区、社会、环境和地球产生负面影响。与其他类型的技术风险一样,人工智能风险可以以各种方式出现,并可以被描述为长期或短期,高或低概率,系统性或局部,以及高或低影响。
虽然有无数的标准和最佳实践来帮助组织减轻传统软件或基于信息的系统的风险,但人工智能系统带来的风险在许多方面是独特的(见附录B)。例如,人工智能系统可能会在数据上进行训练,这些数据会随着时间的推移而发生变化,有时会发生重大的、意想不到的变化,以难以理解的方式影响系统功能和可信度。人工智能系统及其部署的环境经常是复杂的,这使得在发生故障时很难检测和应对。人工智能系统本质上是社会技术性的,这意味着它们受到社会动态和人类行为的影响。人工智能的风险--和好处--可以从技术方面与社会因素的相互作用中产生,这些因素涉及一个系统如何被使用,它与其他人工智能系统的相互作用,谁在操作它,以及它被部署的社会环境。
这些风险使得人工智能在组织和社会中的部署和利用成为一种独特的挑战技术。如果没有适当的控制,人工智能系统可以扩大、延续或加剧个人和社区的不公平或不良结果。通过适当的控制,人工智能系统可以减轻和管理不公平的结果。
人工智能风险管理是负责任地开发和使用人工智能系统的一个关键组成部分。负责任的人工智能实践可以帮助将有关人工智能系统设计、开发和使用的决定与预期的目标和价值相一致。负责任的人工智能的核心概念强调以人为本、社会责任和可持续性。人工智能风险管理可以推动负责任的使用和实践,促使设计、开发和部署人工智能的组织及其内部团队更严谨地思考背景以及潜在或意外的消极和积极影响。了解和管理人工智能系统的风险将有助于提高可信度,并反过来培养公众信任。
根据美国《2020年国家人工智能倡议法》(P.L. 116-283)的指示,人工智能风险管理框架的目标是为设计、开发、部署或使用人工智能系统的组织提供一种资源,以帮助管理人工智能的许多风险,促进值得信赖和负责任的人工智能系统的开发和使用。该框架的目的是自愿的、维护权利的、非特定部门的和不考虑使用情况的,为所有部门和整个社会的各种规模的组织提供灵活性,以实施该框架中的方法。
该框架旨在使组织和个人(在此称为人工智能行为者)掌握提高人工智能系统可信度的方法,并帮助促进负责任地设计、开发、部署和使用人工智能系统的时间。经济合作与发展组织(OECD)将人工智能行动者定义为 "在人工智能系统生命周期中发挥积极作用的人,包括部署或运营人工智能的组织和个人"[OECD (2019) Artificial Intelligence in Society-OECD iLibrary](见附录A)。
人工智能风险管理框架的目的是实用的,随着人工智能技术的不断发展,适应人工智能的情况,并由各组织在不同程度和能力上进行操作,以便社会能够从人工智能中受益,同时也受到保护,免受其潜在危害。
该框架和支持资源将根据不断发展的技术、世界各地的标准情况以及人工智能社区的经验和反馈进行更新、扩展和改进。NIST将继续使AI RMF和相关指导与适用的国际标准、准则和实践保持一致。随着人工智能风险管理框架的投入使用,我们将吸取更多的经验教训,为未来的更新和额外的资源提供参考。
该框架分为两部分。第一部分讨论了各组织如何构建与人工智能相关的风险,并描述了目标受众。接下来,分析了人工智能的风险和可信赖性,概述了可信赖的人工智能系统的特征,其中包括有效和可靠、安全、有保障和有弹性、负责任和透明、可解释和可说明、隐私得到加强,以及公平,其有害偏见得到管理。
第二部分包括该框架的 "核心"。它描述了四个具体的功能,以帮助组织在实践中应对人工智能系统的风险。这些功能--GOVERN、MAP、MEASURE和MANAGE--被进一步细分为类别和子类别。GOVERN适用于组织的人工智能风险管理过程和程序的所有阶段,而MAP、MEASURE和MANAGE功能可以应用于人工智能系统的特定环境和人工智能生命周期的特定阶段。