文/麻策律师
2024年7月25日,美国科罗拉多州参议员John Hickenlooper宣布将提出一项案:《Validation and Evaluation for Trustworthy (VET) Artificial Intelligence Act》(VET AI Act),即美国《可信人工智能审计法案》,要求对人工智能(AI)进行第三方审计。
自愿性指南和规范:美国国家标准与技术研究院(NIST)将与其他公共和私营部门组织合作,制定和定期更新一套自愿性指南和规范,用于内部和外部人工智能评估。这些指南和规范将涵盖消费者隐私保护、人工智能系统对个人造成伤害的评估和缓解方法、数据集质量、文档、披露和来源沟通、治理和流程控制等方面。
利益相关者参与:NIST 在制定指南和规范的过程中,将征求公众意见,并在其网站上公布草案。此外,NIST 还将举办研讨会、圆桌会议和其他公共论坛,与行业、学术界、民间社会、消费者倡导组织、劳动力发展组织、劳工组织、一致性评估机构和其他相关领域的利益相关者进行磋商。
人工智能评估资格咨询委员会:商务部长将成立一个人工智能评估资格咨询委员会,该委员会将审查和评估提供执照、认证或认可的组织的相关案例研究,并确定这些案例研究对人工智能系统开发、维护和使用的影响,以便提出相关建议。
对进行人工智能评估的实体的研究:商务部长将对进行内部和外部人工智能评估的实体的能力进行评估,包括人员、技术工具、评估方法、计算基础设施和物理基础设施等方面。评估结果将用于提出改进建议,并确定现有设施的可行性,以便用于进行外部人工智能评估。
法案目的:通过测试、评估、验证和验证人工智能系统,根据人工智能系统的预期应用、用例和风险状况,开发共识驱动的、基于证据的自愿性指南和规范。使用有意义的评估来补充用于建立人工智能系统信任的方法,增加人工智能系统的采用,并为人工智能系统的问责制和治理提供保障。推进 NIST 和人工智能安全研究所发布的《人工智能风险管理框架》的目标,包括任何后续框架。
本法案要求国家标准与技术研究所所长为人工智能系统的内部和外部保证以及其他目的制定自愿指南和规范。
希肯卢伯先生(代表他本人和卡皮托夫人)介绍了以下法案;该法案被宣读了两次,并提交给商业、科学和运输委员会
要求国家标准与技术研究所所长为人工智能系统的内部和外部保证以及其他目的制定自愿指南和规范。
该法案可以被称为“可信(VET)人工智能法的验证和评估”或“可信人工智能审计法案”。
(1)根据人工智能系统的预期应用、用例和风险简介,酌情通过人工智能系统的测试、评估、验证和验证,为内部和外部保证制定共识驱动的、基于证据的自愿指南和规范;
(2)使用有意义的保证来补充用于建立人工智能系统信任的方法,增加人工智能系统的采用,并提供人工智能系统的问责制和治理;以及
(3)推进人工智能风险管理框架的目标,包括国家标准与技术研究所和人工智能安全研究所根据《国家标准与技术研究所法》(15 U.S.C. 278h-1(c))第22A(c)条发布的任何后续框架。
(1)人工智能。——“人工智能”一词具有2020年《国家人工智能倡议法》第5002条(15 U.S.C.)中赋予该术语的含义。9401)。
(2)人工智能系统。——“人工智能系统”一词具有《推进美国人工智能法》第7223条(40 U.S.C. 11301注释)中赋予该术语的含义。
(3)部署者。-“部署者”一词是指运行人工智能系统供内部使用或供第三方使用的实体。
(A)是指建造、设计、编码、生产、训练或拥有人工智能系统供内部使用或供第三方使用的实体;以及
(5)主任。-“主任”一词是指国家标准与技术研究所所长。
(6)外部人工智能保证。——“外部人工智能保证”一词是指非附属第三方根据第4节中描述的自愿保证指南和规范或共识驱动的自愿标准对人工智能系统进行独立和公正的评估,目的——
(A)核实有关人工智能系统功能和测试的声明,包括验证其是否适合其预期目的;或
(B)识别测试、风险管理流程或内部治理中的任何重大错误或不一致,任何重大漏洞,或人工智能系统的任何负面社会影响。
(7)内部人工智能保证。——“内部人工智能保证”一词是指被评估方对人工智能系统进行的独立评估,内部报告结构鼓励公正评估并防止利益冲突,目的是-
(A)核实有关人工智能系统功能和测试的声明,包括验证其是否适合其预期目的;或
(B)识别测试、风险管理流程或内部治理中的任何重大错误或不一致,任何重大漏洞,或人工智能系统的任何负面社会影响。
(8)非附属第三方。-关于人工智能系统评估的“非附属第三方”一词是指以下人员:
(A)与人工智能系统的开发人员或部署者没有共同所有权或共同公司控制关系;
(B)可以证明在财务上独立于人工智能系统的开发人员或部署者;
(C)不雇用任何个人,他们也受雇于人工智能系统的开发人员或部署者;以及
(D)是第4(b)(6)节建议的自愿指南和规范确定的人工智能系统的合格评估者,与-
(I)数据隐私和安全原则;以及
(II)人工智能中的风险管理实践;以及
(ii)熟悉正在评估的人工智能系统类型的相关细节。
(a)自愿保证指南和规范。-在本法案颁布之日起1年内,主任应与包括国家科学基金会和能源部在内的公共和私营部门组织合作,制定并酌情定期更新一套内部人工智能保证和外部人工智能保证的自愿准则和规范。
(1)确定内部人工智能保证和外部人工智能保证的共识驱动的自愿标准,以解决-
(2)酌情为内部人工智能保证和外部人工智能保证提供指导方针、最佳实践、方法、程序和流程,以有效解决第(1)款所列要素;
(3)建立内部人工智能保证和外部人工智能保证的测试、评估、验证和验证方法的共同定义和表征;
(4)为开发人员或部署者建议标准或方法,以确定进行内部人工智能保证和外部人工智能保证活动的频率和情况,考虑人工智能系统的相关风险和用例概况,以及进行保证的任何其他情况;
(5)建议开发人员或部署者的标准或方法,以确定通过测试和评估进行的内部人工智能保证和外部人工智能保证的范围,考虑人工智能系统的相关风险和用例概况,包括应向进行保证的一方提供的最低信息或技术资源,以使保证活动成为可能;
(6)建议进行内部人工智能保证或外部人工智能保证的一方应具备的适当资格、专业知识、专业许可和问责制——
(7)在完成人工智能系统的内部或外部保证后,为开发人员或部署者可以酌情披露内部或外部保证的结果或对人工智能系统采取纠正措施的方式提供指导,并指导开发人员或部署者可以适当记录所采取的任何纠正措施的方式;
(8)尽可能与根据第(1)款确定的自愿共识标准,包括国际标准保持一致;
(9)尽可能纳入根据第(1)款确定的相关自愿共识标准和行业最佳做法;
(B)使用任何特定信息或任何通信技术产品或服务;以及
(11)建议保护敏感信息机密性的方法,包括个人数据和人工智能系统的专有知识,这些知识可以在保证过程中获得。
(c)利益相关者外联。-在制定(a)小节要求的自愿准则和规范时,主任应-
(1)就至少1份准则和规范草案征求公众意见,并为感兴趣的利益相关者提交意见提供不少于30天的合理期限;
(2)在国家标准与技术研究所的网站上向公众提供根据(a)款制定的自愿准则和规范的每一份草案;以及
(3)在主任认为合适的情况下,召开研讨会、圆桌会议和其他公共论坛,与行业、学术界、民间社会、消费者权益倡导、劳动力发展组织、劳工组织、一致性评估机构以及主任认为合适的任何其他部门的相关利益相关者就自愿准则和规范的制定进行磋商。
(d)出版物。-主任应发布(a)小节要求的自愿指南和规格-
(1)作为国家标准与技术研究所网站上向公众提供的独立框架或文件;或
(A)根据《国家标准和技术研究所法》(15 U.S.C. 278h-1(c))第22A(c)条开发和更新的人工智能风险管理框架的任何继任者;或
(a)咨询委员会。-在主任发布第4(a)节要求的自愿准则和规格之日起90天内,秘书应成立人工智能保证资格咨询委员会(在本节中称为“咨询委员会”)。
(b)成员资格。-秘书应任命不超过15名具有人工智能系统专业知识的人员加入咨询委员会,包括以下各人中至少1名代表:
(1)审查和评估向独立组织提供许可、认证或认证的实体的案例研究,其主要任务是验证适用法规、法规、标准或准则的遵守情况;以及
(2)确定根据第(1)款审查和评估的案例研究是否适用于开发、维护和使用人工智能系统,以便根据(d)款制定建议。
(d)建议。——在秘书根据本节设立咨询委员会之日起1年内,咨询委员会应向秘书和国会提交并公开一份报告,其中包括供秘书审议的建议——
(1)对人工智能系统进行保证的一方应具备的资格、专业知识、专业许可、独立性和问责制,包括正在评估的人工智能系统的类型以及内部和外部保证流程;以及
(2)是否可以通过现有许可、认证或认证计划的组合来满足内部人工智能保证和外部人工智能保证的认证。
(e)终止。-咨询委员会应在咨询委员会提交(d)款要求的建议之日起1年内终止。
(a)研究。-在局长发布第4(a)条要求的自愿准则和规格之日起90天内,秘书应开始研究,以评估进行内部人工智能保证和外部人工智能保证的实体部门的能力。
(b)考虑因素。-在进行(a)小节要求的研究时,秘书应-
(1)评估(a)小节所述实体部门在人员、技术工具、评估方法、计算基础设施和物理基础设施方面的能力,以及这些能力是否足以提供符合第4(a)条要求的自愿准则和规格的内部人工智能保证或外部人工智能保证;
(2)审查此类实体在内部人工智能保证或外部人工智能保证期间为维护开发人员或部署者的机密或专有信息的完整性而采用的功能、最佳实践和保障措施;
(3)评估内部人工智能保证和外部人工智能保证的市场需求以及此类保证人的可用性;以及
(4)评估利用主任根据《联邦法规法典》第15篇第285条设立的国家自愿实验室认证计划认可的现有设施对人工智能系统进行外部保证的可行性。
(c)报告。-在秘书开始第(a)款要求的研究之日起1年内,秘书应向国会的适当委员会和秘书认为相关的任何联邦机构的负责人提交一份报告,其中包含第(a)款要求的研究结果,包括-
(1)关于提高研究中评估的实体的能力和可用性的建议;
(2)描述所研究实体的特征、最佳做法和保障措施,以及此类特征、做法或保障措施在执行第4(a)节要求的自愿准则和规范以及维护(b)(2)小节所述的机密和专有信息的完整性方面的有效性;以及
(3)从(b)(4)小节所述设施的评估中得出的任何结论。
![美国发布《可信人工智能审计法案》(VET AI Act)]( "美国发布《可信人工智能审计法案》(VET AI Act)")
DPOHUB数隐咨询深耕个保合规审计,具有丰富的实践经验和落地方法论:
-
牵头发起个保合规审计先行计划,并已完成即刻APP等数家公司的试点工作;
-
参与个保护合规审计标准编制工作,并形成一套完善的审计方法论;
-
完成首款个保合规审计自动化软件,并获得软件著作权;
-
率先发起个保合规审计认证培训,已被北京、上海举办两期。
不备注不通过
![美国发布《可信人工智能审计法案》(VET AI Act)]( "美国发布《可信人工智能审计法案》(VET AI Act)")
原文始发于微信公众号(数据保护官):美国发布《可信人工智能审计法案》(VET AI Act)
评论