大數據、雲計算等技術的進步促進了人工智能產業發展,成為未來經濟社會發展的重要方向和支柱。人工智能開始在各個領域廣泛應用,帶給人類便捷與高效的同時衍生出一系列安全問題,如數據與個人隱私的保護、算法透明度與可解釋性的缺失、系統安全風險等,安全問題也成為阻礙行業發展的一個主要障礙。解決這一問題需要靠技術,同時還要加強法律治理,確保人工智能安全、可靠、可控發展。
一、目前人工智能安全方面存在的主要風險
數據與個人隱私保護防範難度增加。人工智能的發展需要海量數據的收集、應用和共享,但是,數據收集、深度處理和全球化傳遞中都可能危及數據和隱私安全。主要表現在三方面:一是智能設備和算法對於個人隱私的發掘分析能力遠超以往技術,隱私所有權人防範的難度大大增加。二是用於身份識別驗證的生物信息具有較強的穩定性,一旦發生洩露無法找回或重置,生物信息的價值大大減損,且與個人生物信息綁定的相關安全驗證都將面臨很高的安全風險,目前對生物信息安全問題關注遠遠不夠。三是個人行為數據被智能設備和定位系統記錄、存儲和分析後會全面呈現個人的行為偏好、習慣和生活狀態,目前只規制“出售或提供行蹤軌跡信息,被他人用於犯罪的”情形,其它領域行為數據如何保護尚缺少相應規定。
算法透明度與可解釋性缺失。一是人工智能算法的學習與決策存在海量數據本身的不確定性,使得算法的決策過程和決策規則難以被人類明悉,造成人工智能算法的透明度與可解釋性缺失。二是人工智能算法的設計是編程人員的主觀選擇和價值判斷,也可能在機器深度學習過程中自主演變和進化,不能保障算法決策的公平性和透明度,難以認定產生法律責任的主體。三是人工智能的判斷規則可能存在潛在歧視,一旦作為重大決策的參照物,會帶來不可想象的後果。
系統安全風險。系統安全風險主要表現在人工智能硬件應用中,智能硬件的系統漏洞、基礎安全技術缺失以及複雜的供應鏈條帶來的歸責困境。一是智能硬件缺失加密技術,採用默認密碼技術措施不足,使大量的用戶信息處於極度危險狀態。二是複雜的系統構成導致高密度關聯風險增加。以智能網聯汽車為例,如因軟件漏洞導致系統被入侵後造成的安全事故責任,難以確定應該由整車廠或是軟件系統服務提供商承擔責任。
二、國外安全監管可借鑑的經驗做法
頒佈保護數據和個人隱私指令。在數據保護和個人隱私方面,美國於1974年頒佈的《聯邦隱私權法》為隱私權保護的基本法,隨後頒佈了《聯邦電子通訊隱私法案》、《公民網絡隱私權保護暫行條例》、《個人隱私與國家信息基礎設施》等法律。歐盟對此已經頒佈多項個人數據保護指令,例如《關於涉及個人數據處理的個人保護以及此類數據自由流動的指令》等,構建了個人數據保護體系。2016年,歐盟頒佈《個人數據保護通用條例》,禁止一切未經同意而非法使用公民個人數據的行為。在個人數據隨時可被蒐集的時代,任何情況下都必須堅持保護隱私和個人數據的原則。歐盟法律事務委員會建議,針對人工智能領域進行政策制定時,應當進一步完善通過設計保護隱私、默認保護隱私、知情同意、加密等概念的標準。
提高智能算法透明化和可責性。2017年1月12日,美國計算機協會下屬美國公共政策委員會發布文件,闡述了關於人工智能算法透明化和可責性七條原則,旨在通過算法透明化及可追溯性,儘量減少潛在的風險及危害。2017年2月,歐盟議會通過《機器人民事法律規則》,強調算法透明原則,即對某個人或更多人的生活可能產生實質性的影響,藉助於人工智能所做出的決策,必須在任何情況下都可以提供其決策背後的算法設計規則。2017年12月11日,紐約市議會通過《政府部門自動決策系統法案》,這是美國針對人工智能算法進行立法監管的首個法案,其目的在於促進政府自動決策算法的公開、公平,提高政府決策智能算法的公信力。
採取系列措施保障系統安全。2016年,美國發布《美國國家人工智能研發戰略計劃》,為確保人工智能系統的安全,提出通過採取一系列措施,比如增強人工智能的可解釋性和透明度、構建信任體系、增強可驗證與可確認性,以保護人工智能系統免受攻擊,從而實現長期的人工智能安全和優化。
三、對策與建議
一是加快構建隱私權保護的法律。針對人工智能技術應用的不同領域,收集個人信息的來源,構架出一套自下而上、逐層具體、全面完善的隱私權保護的法律。一是對於個人敏感信息,明確列舉哪些信息屬於個人敏感信息,需要採取特殊的保護手段和使用限制予以保護。二是對於需要採集和存儲個人信息和數據隱私的單位和個人,在採集和存儲前應當明確告知信息主體,特定範圍的信息需要取得信息主體的明示同意。三是明確規定可能會給信息主體造成一定風險的個人信息和數據的獲取的正當性和必要性條件,規範信息獲取行為,降低信息和數據被非法獲取和使用的風險。
二是法律明確人工智能算法透明化和可責性要求。一是算法設計者應該對訓練數據的來源及可靠性加以說明。二是算法設計機構應記錄模型、算法、數據和具體決策,以便在解決出現的問題或依法監管時有據可查。三是算法應用機構應採取可靠的技術手段對其算法的程序進行驗證,以提高基於此算法所自動做出的決策的可信度。四是定時評估系統的規範性,對錯誤決策可以進行調查並予以糾正。
三是通過立法強化人工智能系統安全義務。可靠的人工智能系統應具有強大的安全性能,能夠有效應對各類惡意攻擊,法律可以考慮通過安全標準、安全評估義務等規範達到強化系統安全的目的。一是提高人工智能產品研發的安全標準,從技術上增強智能系統的安全性和強健性。二是推行智能系統安全認證制度,對人工智能技術和產品進行嚴格測試,增強社會公眾信任。三是強化安全評估義務主體責任,針對人工智能應用場景和應用重要程度的不同,有針對性地制定技術標準和評估方案,滿足不同系統安全風險與保障的差異化需求。
閱讀更多 RFID世界網 的文章
