在公共部门等高度监管的行业中,人们对人工智能的兴趣正在迅速增长。但随之而来的是关于风险、合规性和控制的问题也日益增多。
这些政府机构和组织面临着探索人工智能的压力,同时还要继续保护那些承载着法律、道德和公共信任义务的数据。公民记录、机密信息以及国家安全或关键基础设施信息不能以实验的名义被简单地移动、掩盖或泄露。
长期以来,数据主权为应对这一挑战提供了一个相对清晰的框架。
如果敏感数据保留在正确的国家境内,在经过批准的系统中,并受到明确的访问控制,那么组织就可以确信自己是在负责任地运营。控制与位置密切相关。在人工智能驱动的环境中,这种假设不再成立。
好消息是,在人工智能时代实现数据主权是可行的。但这需要对人工智能环境下的数据主权真正含义有更务实、更现代的理解。
数据主权的核心在于控制。
它定义了哪些法律法规适用于数据,谁有权访问数据,以及如何使用、共享和保护数据。当这些规则清晰、有效、透明且可审计时,数据主权就得以实现。
该术语常与相关概念混淆:
数据驻留,描述数据的物理存储位置
数据本地化,限制数据跨境流动的方式
数据治理,定义访问、保留和保护策略
这些要素在机构的安全和合规态势中都发挥着重要作用。然而,它们本身并不能保证主权。它们是用于支持更广泛的“主权”目标的机制:在既定的法律和监管框架下实现持续、可执行的控制。
历史上,一旦获得这种控制权(或主权),就可以认为它是相对稳定的。人工智能打破了这种假设。
与传统分析系统不同,人工智能远不止读取或处理数据。它能从数据中学习,创造出新的信息形式,例如训练好的模型、学习到的模式以及衍生出的洞见。这些成果可以被重用、共享和部署到不同的环境中,即使原始数据集从未移动,也可能泄露敏感的训练数据。
因此,数据主权不再仅仅取决于存储位置。它现在取决于人工智能系统的设计、训练、部署、治理和监控方式。正因如此,对于受监管的组织而言,数据主权不能被视为在人工智能系统部署到位后才添加的合规步骤。要想成功,它必须从一开始就融入到设计之中。
当数据主权被视为事后考虑时,人工智能项目通常会遵循一种熟悉的模式:数据被复制、集中化或迁移到新的环境中,以支持新的工具和模型。虽然这可以加快早期实验的速度,但也增加了风险,削弱了监管,并使长期合规更加困难。
采取更可持续方法的组织从不同的前提出发。他们不会强迫敏感数据适应人工智能工具,而是设计尊重现有约束的人工智能策略,例如数据存储位置、数据治理方式以及适用的规则。在受监管的行业中,这种转变至关重要。
在实践中,数据主权解决方案与其说是关于单个工具,不如说是关于数据、治理和人工智能系统如何在不同环境中协同工作。领先的组织关注以下几个核心原则:
在受监管的环境中,数据移动通常是最大的风险来源(在某些情况下,甚至完全禁止)。将敏感数据集复制到新的平台或云服务中——即使经过加密或掩码处理——也会增加风险敞口并使合规更加复杂。
以主权为先的方法则颠覆了这种逻辑。人工智能工作负载旨在靠近其所依赖的数据运行,无论这些数据位于本地、安全的云环境还是分布式系统中。通过最大限度地减少不必要的移动,组织可以在保持更强控制力的同时降低风险。
传统的数据治理通常在数据被摄取或分析后就结束了。在人工智能驱动的环境中,主权取决于将治理扩展到整个人工智能生命周期——从原始数据到模型训练、部署、重用和退役。
这包括将访问控制、沿袭和使用策略从数据集扩展到模型以及由此创建的衍生工件。如果没有这种连续性,组织可能在技术上符合法规,但却无法了解人工智能驱动的决策是如何做出的。
许多早期的 AI 工作在此处陷入困境。治理职责分散在不同的工具和团队中,导致难以解释成果或证明合规性。统一的治理方法,即约束与数据直接挂钩的方法,能够使人工智能程序在不牺牲监管的前提下实现规模化。
在受监管的行业中,仅仅假设存在控制措施是不够的。这些控制措施必须能够被证明。
组织需要清晰地了解数据的来源、模型的训练方式以及人工智能输出的长期使用情况。这一要求在公共部门尤为突出,因为公共部门的问责范围不仅限于监管机构,还包括审计人员、监督机构和公众。
人工智能驱动的决策可能需要在做出数年后进行解释。从一开始就将透明度、溯源性和可审计性融入系统,能够更轻松地适应新的法规、回应问询并维护公众信任。
数据主权不再是组织一次性解决的问题。如今,它已成为一项持续性的实践,影响着组织如何设计、部署和治理智能系统。
Cloudera 的独特设计旨在支持这种方法,帮助公共部门和其他受监管行业构建既尊重主权又能促进创新的 AI 能力。了解更多关于我们如何帮助组织在不妥协的前提下实现这两点的信息。
This may have been caused by one of the following: