AI合规性：应对数据变化与激增的挑战

在本播客中，我们与Vigitrust首席执行官Mathieu Gorge讨论了人工智能（AI）处理过程中数据带来的合规风险，尤其是在训练阶段。关键挑战在于，随着数据集的训练，会生成更多数据，且难以确保这些数据也符合合规要求，尤其是在数据激增的情况下。

Gorge谈到需要了解输入AI的数据内容、输出结果、数据去向、访问权限、存储方式以及是否合规。他还涉及可用的安全和合规框架，以及将AI合规性融入组织安全文化的必要性。

CIO需要了解的AI与合规性最新动态（涉及存储和备份）

AI应用正在全球快速增长，欧盟已部署一些AI法规。一些框架也在适应AI，例如NIST的AI框架。安全协会如云安全联盟（Cloud Security Alliance）、ISSA和Isaca的工作组也提供了指导。未来可能会看到更多AI相关法规，包括国家、联邦和国际层面的，类似于隐私法规的演变。重要的是比较网络安全标准与AI标准、治理标准的演进。

约25年前，有约100个网络安全、IT安全和数据安全标准，如今缩减至五六个，如HIPAA、PCI、NIST、ISO、CIS等。希望AI领域也能类似但更快地整合，以便从数据分类、数据隐私和存储角度管理AI部署。

AI治理的核心是什么？在美国、欧盟和其他国家，AI治理是关于理解数据来源、是否有权使用数据并将其输入AI系统进行处理。数据以特定形式输入，问题包括：

输出是否以不同的数据形式或文件出现？
这会导致不合规吗？
这有助于合规吗？
是否有关于谁访问数据的保障措施？
是否有关于如何存储数据的保障措施？
需要保留数据多久？
根据所在地，需要报告数据多久？
存储数据时，应存储在何处？

AI的问题是，随着部署更多AI系统，数据量大幅增加，远超以往。这些数据需要存储在某个地方，且存储方式必须确保合规。因此，需要监控AI生态系统，规范数据输入、输出、访问权限和存储位置。

CIO如何确保组织AI操作的合规性（考虑到复杂性）

CIO的角色应是理解输入AI的信息类型。首席信息官负责管理进入系统的信息、输出信息、第三方访问方式等。建议CIO与CSO或安全团队合作，关注全球AI法规和政策。推荐参考国际隐私专业人士协会（IAPP）的网站，其AI法律和政策跟踪器可帮助理解各种框架在数据分类、部署、存储和合规要求方面的需求。

下一步是确保在员工培训中，随着部署更多AI系统以提高效率和生产力，他们也了解AI的风险。类似于电子邮件、社交网络等其他方面的培训，CIO应在董事会层面推动将AI整合到组织的业务文化以及安全、信息和数据管理文化中。换句话说，如果推动AI解决方案和部署，需要推动系统采用文化，同时也需推动数据管理、信息管理和安全文化。否则，将导致不合规。

因此，再次审视生态系统，如何为各种业务原因跨多个系统使用AI，参考AI政策跟踪器，并将其应用到政策中，使其快速成为组织DNA的一部分。因为AI将继续部署，更多AI解决方案将带来业务益处。问题是，它是否会益于数据管理？如果管理不当，可能会更复杂，但如果使用良好的AI治理框架，并将其提炼为对组织重要的内容，就能制定出良好的AI部署和合规策略。