抄作业 | 人工智能时代的消费者保护：美国FTC的AI监管方法

整理：何渊

人工智能正在改变我们的日常生活，涉及医疗、购物和旅行等方面，但与此同时，它也带来了对消费者的严重风险。美国联邦贸易委员会（FTC）最近禁止Rite Aid使用面部识别技术五年，因为其系统存在偏见，错误地指控许多女性和有色人种偷窃。此外，FTC要求Rite Aid删除所有收集的生物特征数据。

不幸的是，对于Rite Aid来说，这并不像删除电子表格那么简单。

罚款是坏的，失去你的模型更糟

FTC的命令要求Rite Aid停止使用面部识别和其他生物特征追踪技术，并删除所有收集的数据、图像、算法和基于这些数据开发的产品。一旦AI模型（如面部识别）在数据上进行训练，该信息就会永久编码到模型的权重中，以一种数据科学家才刚刚开始理解的不透明方式。目前，删除或清除整个模型是唯一可靠的去除训练数据的方法，Rite Aid因此失去了一个昂贵的投资：像他们这样的模型通常需要数百万美元来开发。失去产品，无论是无限期还是永久的，比罚款更痛苦。

安全仍然重要

AI开发人员有责任保护他们的数据和模型。安全最佳实践仍然至关重要：实施强有力的身份验证机制，如多因素身份验证，定义具有特定权限和限制的用户角色。识别和减轻与外部对手和内部威胁相关的风险。还要定期更新这些控制措施并进行监控，以适应不断变化的安全威胁。FTC认识到，未经授权的访问、数据泄露和滥用在涉及AI和敏感信息时对消费者更加危险，并因此追究公司责任。

目标瞄准敏感数据

FTC一直在打击滥用敏感数据的公司，如儿童的声音、视频和面部生物特征以及DNA。敏感数据对个人构成高风险，去身份化或匿名化水平并不能解决所有问题。AI公司需要量身定制的方法来去身份化不同的数据源，对于像DNA和生物特征这样的高风险数据，需要的不仅仅是一般的假名化处理。每一类用于AI开发的敏感数据的收集和使用都需要特定的隐私和安全措施。

不要夸大AI的能力

FTC关注公司是否履行其承诺，因此要保持宣传的真实性。在广告和品牌推广中，不要夸大你的模型能做什么。如果你的产品不依赖AI，就不要声称它依赖AI。不要声称你的AI具有它实际上不具备的能力，或者你的AI产品比非AI产品更好，除非你能证明这一点。FTC已经点名批评了几项虚假声明的服务，包括声称能够可靠地检测AI生成内容的服务。使用AI的公司必须仔细考虑他们在AI方面的公开声明——这些声明必须是真实且准确的。声誉和利润都在赌注上。

区分事实与虚构

AI技术的兴起，如聊天机器人、深度伪造和声音克隆，使得传播虚假信息变得比以往任何时候都容易。这些技术侵蚀了信任，创造了对所呈现信息的错误信心，使消费者难以辨别真相。FTC对开发必要的工具以帮助消费者区分现实与AI虚构的兴趣浓厚。

那么，使用AI的公司应该做什么？

依赖AI的公司必须准确清点其系统，记录其开发和采购流程，建立健全的治理协议，进行风险评估，并强制执行长期的监督实践。他们还应绘制其数据地图，审查隐私和安全政策，并制定事件响应计划。

实施健全的治理

AI公司必须真正履行其新AI政策的承诺——确保这些政策不仅仅是为了应付检查而设计的格式条款。FTC建议组织在合规、伦理、公平和非歧视方面采纳自我治理，以避免监管审查并促进诚信。它还建议进行独立审计，以满足标准、保持透明度，并与利益相关者和公众建立信任。

进行并落实风险评估

弥合政策与技术操作之间的内部差距至关重要。公司必须进行并记录AI模型风险评估；将评估和缓解措施直接整合到设计规范中；并分层设置内部和外部监督角色，以匹配识别出的风险水平。这包括考虑系统的可预见的下游用途，考虑主动和被动监控，最终评估其部署后的实际性能和影响。

企业的预防胜于FTC的补救

在软件开发的初始设计阶段做出明智的选择对于防止未来的合规和安全问题至关重要。实施以和“安全设计”为灵感的原则，确保隐私、安全和伦理在每一个开发阶段得到整合，最终节省时间和资源，同时防止潜在的法律问题。我们会引用FTC，引用伟大的伊恩·马尔科姆博士：“我能做这个吗？”

AITrust是一个聚焦AI治理的高端开放平台，一个整合法律、技术及管理的AI治理专家共同体，一个制造干货、相互赋能及塑造职业品牌的AI治理生态体。AI Trust将持续举办沙龙、读书会、论坛、年度大会等开放性活动，并同时提供首席人工智能官CCAIO系列培训、ISO/IEC42001人工智能管理体系认证、欧盟人工智能法合规咨询、AI安全及技术落地等前沿服务。现招募“AITrust×”共建活动的合作单位及AI大咖！

联系人：徐博士 

138 1664 6268  [email protected]