《云安全聯盟大中華區：2025從原則到實踐：在動態監管環境下負責任的人工智能報告（72頁）.pdf》由會員分享，可在線閱讀，更多相關《云安全聯盟大中華區：2025從原則到實踐：在動態監管環境下負責任的人工智能報告（72頁）.pdf（72頁珍藏版）》請在三個皮匠報告上搜索。

1、12025 云安全聯盟大中華區版權所有2人工智能治理和合規工作組永久的官方網址是：https:/cloudsecurityalliance.org/research/working-groups/ai-governance-compliance 2025 云安全聯盟大中華區-保留所有權利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯盟大中華區官網（https:/www.c-）。須遵守以下：(a)本文只可作個人、信息獲取、非商業用途；(b)本文內容不得篡改；(c)本文不得轉發；(d)該商標、版權或其他聲明不得刪除。在遵循 中華人民共和國著作權法相關條款情況下合理使用本文內容，

2、使用時請注明引用于云安全聯盟大中華區。2025 云安全聯盟大中華區版權所有32025 云安全聯盟大中華區版權所有4致謝致謝報告中文版支持單位報告中文版支持單位北京數安行科技有限公司（簡稱：數安行）是一家數據安全廠商。公司主營產品涵蓋數據分類分級、數據安全沙箱、下一代數據泄露防護、數據安全檢查、數據安全風險態勢感知、數據安全風險監測與風險評估、數據合規與隱私保護、數據運營安全等，主要為政府、軍隊、企事業單位提供數據運營安全產品和服務。數安行以DataSecOps為理念，以AI人工智能技術為核心驅動，將數據安全左移，在數據處理的第一現場對數據采取安全措施，平衡業務與安全，打造以數據運營為核心的數據

3、安全生態體系，助力數字化轉型，致力于讓用戶的數據安全地創造價值。公司核心團隊擁有20余年產研和市場服務經驗，技術積累雄厚，服務于能源、電力、金融、運營商、教育、高端制造、軟件與信息技術服務、互聯網、醫療、政府、軍隊軍工等各行業客戶。2025 云安全聯盟大中華區版權所有5報報告告英英文文版版編編寫寫專專家家主主要要作作者者Maria SchwengerLouis Pinault參參與與編編輯輯Arpitha KaushikBhuvaneswari SelvaduraiJoseph Martella審審稿稿人人Alan Curran MScUdith WickramasuriyaPiradeepa

4、n NagarajanRakesh SharmaGaetano BisazHongtao HaoJan GerstAshishVashishthaGaurav SinghKen HuangFrederick HnigDirce HernandezTolgay Kizilelma,PhDSaurav BhattacharyaMichael RozaGabriel NwajiakuVani MittalMeghana ParwateDesmond FooLars RuddigkeitMadhavi NajanaC CS SA A 全全球球工工作作人人員員Ryan GiffordStephen Lu

5、mpe2025 云安全聯盟大中華區版權所有6目 錄安全聲明.8前瞻性聲明和人工智能的發展前景.8文檔摘要.9執行摘要.10引 言.11范圍和適用性.121.生成式人工智能法律和監管的重點領域.141.1 數據隱私和安全.141.2 通用數據保護條例(GDPR）（歐盟）.141.3 加州消費者隱私法案/加州隱私權法案(CCPA/CPRA).171.4 歐盟人工智能法案(EU AI Act/EIAA).221.5 醫療電子交換法案(HIPAA).312.如何應對生成式人工智能的幻覺對數據隱私、安全和倫理的影響.362.1 國土安全部政策聲明139-07對生成式人工智能的影響.372.2 聯邦貿易委

6、員會政策宣傳與研究指導:.372.3 美國白宮管理和預算辦公室（OMB）在聯邦機構使用人工智能的治理、創新和風險管理的政策.382.4 拜登總統關于安全、可靠和負責任地開發和使用人工智能的行政令 403.非歧視與公平.413.1 部分現行反歧視法律法規.413.2 監管方面的挑戰.443.3 監管重點和技術.453.4 新興監管框架、標準和指南.483.5 安全、責任和問責.513.6 知識產權.544.負責任人工智能的技術戰略、標準和最佳實踐.604.1 公平與透明度.602025 云安全聯盟大中華區版權所有74.2 安全與隱私.614.3 魯棒性、可控性和合乎倫理的人工智能實踐.624.4

7、 組織如何利用這些標準.634.5 負責任的生成式人工智能的技術保障（數據管理）.644.6 案例研究-在實踐中展示透明度和問責制.665.持續監測與合規.686.管理生成式人工智能的法律與倫理考量.697.結論：填補人工智能治理空白，實現負責任的未來.692025 云安全聯盟大中華區版權所有8安全聲明安全聲明本文僅供參考，不構成法律建議。本研究文件由云安全聯盟編寫，探討了當前圍繞人工智能的監管治理情況。雖然本文涉及各種法律和監管框架，但必須強調的是，所提供的信息不適用于任何特定情況的法律指導。人工智能的監管環境正在迅速演變，法律法規的解釋和應用會因各種因素而存在很大差異，這些因素包括：管轄范

8、圍（國家或地區）具體的情景（如行業、應用場景等）具體的人工智能技術或應用因此，云安全聯盟和本文作者強烈建議，如果有任何與人工智能開發、部署或使用相關的法律層面的問題或疑慮，應單獨尋求法律顧問的意見。前瞻性聲明和人工智能的發展前景前瞻性聲明和人工智能的發展前景本文包含了一些可能具有前瞻性的陳述。為確定其適用性，我們鼓勵向相關的國家監管機構和法律顧問尋求指導。需要注意的是，這些陳述是作者和云安全聯盟基于當前的知識和預期所做，受固有風險、不確定性和假設的影響，部分陳述可能與實際結果存在差異。以下是可能影響人工智能領域未來發展和相關監管環境的一些重要因素，也是可能影響本文件中前瞻性陳述準確性的因素所在

9、：技術的快速進步：技術的快速進步：人工智能領域不斷發展，新的技術和應用層出不窮，很難預測這些技術進步的確切軌跡及其對人工智能監管各方面的影響。監管框架的不確定性：監管框架的不確定性：對人工智能的監管方法仍在開發，不同管轄范圍內對人工智能開發、部署和使用的具體規定可能存在較大差異，并可能隨著時間的推移而發生變化。2025 云安全聯盟大中華區版權所有9 新興的倫理考量：新興的倫理考量：隨著人工智能應用變得越來越復雜，可能會出現新的倫理考量，促使更多有關負責任的開發和使用這些技術的法規或指導原則出臺。經濟和社會因素：經濟和社會因素：整體經濟環境和對人工智能的社會態度，可能會影響新技術的開發、采用及監

10、管環境。這些關于前瞻性的陳述僅反映作者和云安全聯盟本文件發布之日的觀點，作者和云安全聯盟不承擔更新或修改本文檔中任何前瞻性陳述以反映未來事件或情況的任何責任。請讀者不要過度依賴這些陳述。文檔摘要文檔摘要本文圍繞人工智能和生成式人工智能（GenAI）的法律和監管環境論述。主要強調了生成式人工智能在復雜多變的環境中面臨的挑戰，這些挑戰源于生成式人工智能自身的多樣化應用、全球監管機構采取的不同監管方法，以及對現有規定的延遲適應。本文旨在為各組織提供基本知識，幫助其從根本上了解自身的現狀，并為他們在快速變化的負責任、合規地使用人工智能方面的需求提供指導。本文探討了部分現行法規，并闡述了在地區、國家和國

11、際層面開發和部署負責任的人工智能的注意事項和最佳實踐。本文高度概括了當前人工智能（包括生成式人工智能（GenAI）的法律和監管情況。雖然內容并非詳盡無遺，但對于組織來說，這是一個了解自身現狀并確定負責任和合規的使用生成式人工智能應該考慮哪些關鍵因素的起點。由于技術的不斷進步以及法律和政策環境的演變，提供一份完整的概述是具有挑戰性的。因此，我們建議將這些信息作為了解不斷演變的人工智能法規和監管機構的基礎。重要的是要意識到，人工智能法規來自全球各級政府和司法管轄區。此外，盡管數據隱私和反歧視法規等法律不是專門為人工智能設計，但這些法律將決定人工智能的使用范圍和方式。例如，在美國，人工智能將受到城市

12、、州和聯邦法律、政府行為、行政令、自愿行業協議甚至普通法的監管。2025 云安全聯盟大中華區版權所有10在準備人工智能項目時，需要考慮到人工智能法規的起源并不總是直觀的，因此需要細致分析。首個具有深遠影響的法律框架是歐盟人工智能法案，因為它保障了個人和企業的安全及基本權利。如果某些人工智能應用干擾或威脅到公民權利，則會遭到禁止。如大語言模型等高風險人工智能系統可能會對健康、安全、基本權利、環境、民主和法治造成重大損害，預計將出臺相關法規加以監管。執行摘要執行摘要人工智能正在迅速改變我們的世界，并且具有重塑社會基本結構的巨大潛力。然而，這種變革力量也帶來一個嚴峻的挑戰：當前的法律和監管環境很難跟

13、上人工智能，尤其是生成式人工智能爆炸性增長的步伐。本文旨在提供現有法律法規及其對人工智能開發、部署和使用影響的高層次概覽。我們的目標是確定立法滯后的領域，并尋求實際的方法部署負責任的人工智能。當前的環境缺乏完善的立法，在解決日益復雜的人工智能功能的潛在風險方面存在差距。這導致現有規定，如 通用數據保護條例(GDPR)和 加州消費者隱私法案(CCPA)/加州隱私權法案(CPRA)，雖然為數據隱私提供了基礎保障，但并未針對人工智能開發的獨特挑戰提供具體的指導，而且不足以滿足例外情況下的需求。隨著大型科技巨頭計劃向人工智能投資數千億，預計技術創新的步伐不會放緩，技術革新的快速步伐已經超出了立法適應的

14、能力。一個令人擔憂的缺口正在出現：生成式人工智能的廣泛使用，無論是個人還是專業用途，都伴隨著治理缺失的問題。惡意行為者已經開始利用生成式人工智能執行復雜的攻擊，公司也將生成式人工智能視為一種競爭優勢，從而進一步加快了生成式人工智能的應用。盡管這種快速應用令人興奮，但需要伴隨著負責任的人工智能開發實踐，而這些實踐不能抑制創新。理想的解決方案是營造一個鼓勵負責任的、透明和可解釋的人工智能使用的全球環境，并輔以清晰實用的指導原則做支持。為了2025 云安全聯盟大中華區版權所有11彌合人工智能的無限潛力與負責任開發需求之間的差距，我們需要一種三管齊下的合作方法：所有科技公司對負責任的人工智能做出承諾，

15、政策制定者提供明確的指導，立法機構制定有效的法規。本文以立法和法規為重點，開啟了關于人工智能治理的重要論述。它為涉足人工智能領域的從業者和企業提供了對當前人工智能治理環境及其不足之處的基礎理解。旨在通過強調這些不足，促進一場關于負責任人工智能開發和應用所需法律框架的公開討論。引 言引 言人工智能領域的迅速擴展，需要法律和監管環境的不斷演變，以確保在保護個人和社會的同時，負責任地發展、部署和創新。了解人工智能的道德和法律框架有助于組織實現三個關鍵目標：建立信任和品牌聲譽：建立信任和品牌聲譽：通過展示透明、負責任的人工智能實踐，與利益相關者建立信任，并提升品牌聲譽。降低風險：降低風險：積極采用這些

16、框架并利用基于風險的方法，有助于降低與不負責任的人工智能使用相關的潛在的法律、聲譽和財務風險，從而保護組織和個人。促進負責任的創新：促進負責任的創新：通過堅持最佳實踐、保持透明度、問責制和建立強大的治理結構，組織可以培育一種負責任的和安全的人工智能創新文化，確保人工智能在發展的同時對社會產生積極影響。通過多樣化的團隊、全面的文檔記錄和人類監督，負責任的人工智能將通過減輕偏見、及早發現問題以及與現實世界保持一致，增強模型表現。2025 云安全聯盟大中華區版權所有12范圍和適用性范圍和適用性由于人工智能，更具體地說是生成式人工智能（GenAI）本身具有多樣性，如何應對復雜的法律環境就成為了一個巨大

17、的挑戰。本文深入探討了圍繞人工智能的監管環境，涵蓋了諸如生成逼真文本格式（代碼、腳本、文章）的深度學習模型、處理視覺內容（面部識別、深度偽造）的計算機視覺應用、穩定擴散（文本到圖像模型）以及在自主系統（自動駕駛汽車、機器人）中使用的強化學習算法等多樣化系統。更廣泛的類別，如生成式對抗網絡和大語言模型等，是眾多生成式人工智能應用的基礎，要求在監管中將其納入考慮。由于現行立法在適應這一動態環境方面面臨挑戰，因此有必要采取細致入微的方法管理這一廣泛、快速發展的系統。由于競爭壓力，快速發展的技術滲透到我們的生活和商業實踐中，但與此同時，法律框架卻不完善且適應緩慢，造成了一種嚴峻的局面。本文將探討：最廣

18、泛使用的現有法規如何參與解決生成式人工智能的特定領域問題。制定新法規面臨的一些挑戰和機遇。使用可解釋的人工智能技術制定負責任的人工智能原則的高級建議和最佳實踐。本文采用階段性的方法分析人工智能治理，重點關注以下幾個方面。2025 云安全聯盟大中華區版權所有13表1：治理領域范圍現行文件現行文件未來考慮因素未來考慮因素國家最高級別的政府機構或聯邦政府的立法：美國：行政令（例如，維持美國在人工智能領域的領導地位，以及關于安全、可靠和值得信賴的開發與部署人工智能技術的行政令）國會法案（例如，2023年算法責任法案（提案）歐盟:歐盟委員會政策文件（例如，可信人工智能倫理指南）法規（例如，人工智能法案）

19、國家層面:亞太地區的一些規定：中國（已頒布）（科學技術部）、日本（內閣府）、韓國（科學技術信息通信部）、新加坡、印度的國家政策是“全民人工智能”其他正在制定人工智能政策的國家（加拿大、英國、澳大利亞）主要地區性法規:加州消費者隱私法案(CCPA)，由加州隱私權法案(CPRA)修訂 通用數據保護條例(GDPR)國際組織國際組織：正在探索框架的有：經濟合作與發展組織（關于人工智能的建議）聯合國教科文組織（關于人工智能倫理的建議）。全球人工智能合作伙伴關系（GPAI）匯集來自科學界、產業界、民間社會、政府、國際組織和學術界的專長，以促進國際合作。ISO/IEC 42001:2023(人工智能管理系統

20、標準)OWASP大語言模型應用的10大安全風險2025 云安全聯盟大中華區版權所有141.生成式人工智能法律和監管的重點領域生成式人工智能法律和監管的重點領域1.1 數據隱私和安全數據隱私和安全生成式人工智能在數據隱私和安全領域存在獨特的挑戰，能夠從大量數據中學習，從而引發了人們對在整個人工智能開發和部署生命周期中如何收集、存儲、使用、共享和傳輸個人信息的關注。包括 通用數據保護條例(GDPR)、加州消費者隱私法案(CCPA)、加州隱私權法案(CPRA)和醫療電子交換法案(HIPAA)在內的多項現行法律法規，旨在保護個人隱私和數據安全，具體如下：1.2 通用數據保護條例(GDPR）（歐盟）1.

21、2 通用數據保護條例(GDPR）（歐盟）適用范圍：適用范圍：通用數據保護條例適用于在歐洲經濟區(EEA)內處理個人數據的任何組織。主要條款:主要條款:處理的合法依據、公平性和透明度：處理的合法依據、公平性和透明度：組織處理個人數據必須有合法依據（如用戶同意、正當利益等）。它要求向個人明確提供關于數據收集和處理目的的具體的信息。數據最小化：數據最小化：將個人數據的收集和保留限制在所述目的所規定的范圍內。數據主體的權利：數據主體的權利：授予個人對其個人數據的各種權利，包括訪問、更正、刪除和限制處理的權利。安全措施：安全措施：要求組織采取適當的技術和措施來保護個人數據免遭未經授權的訪問、披露、更改或

22、破壞。自動化個體決策制定，包括畫像：自動化個體決策制定，包括畫像：對于包括畫像的自動化決策制定，必須征得數據主體的明確同意（通用數據保護條例第22條）。生成式人工智能的通用數據保護條例合規性：生成式人工智能的通用數據保護條例合規性：2025 云安全聯盟大中華區版權所有15歐盟通用數據保護條例 要求在處理個人數據（包括用于人工智能系統的數據）時必須征得數據主體同意。此外，數據保護的要求意味著系統必須遵守通用數據保護條例原則，如合法性、公平性、透明度、目的限制、數據最小化、準確性、存儲限制、完整性和保密性。1.2.1 合法、透明的數據收集和處理1.2.1 合法、透明的數據收集和處理 對訓練數據和提

23、示詞數據的限制：對訓練數據和提示詞數據的限制：通用數據保護條例概述了以下處理數據的主要原則：目的限制：數據的收集和使用只能用于特定、明確界定或兼容的目的。必要性：只能收集和使用實現這些目的所必需的個人數據。數據最小化：應盡量減少收集和使用的個人數據量，只收集絕對必要的數據。存儲時限：必須盡可能縮短個人數據的存儲時間，并且必須定期設定和審查存儲期限。訓練數據（以及提示詞數據，它們也可能成為“訓練數據”），即只在實際需要的范圍內收集和使用數據，以達到特定的訓練目標。知情同意：知情同意：通用數據保護條例要求在收集和處理用于訓練生成式人工智能模型的個人數據時獲得用戶的明確同意。這可以確保個人了解其數據

24、將如何被使用（例如，用于模型訓練或微調），并有權拒絕。人工智能開發者必須為那些數據被人工智能/機器學習系統處理的個人提供行使這些權利的便利。透明度：透明度：歐盟的個人對其個人數據享有訪問、更正、刪除、限制處理和數據可攜性的權利。組織在人工智能/機器學習系統中使用個人數據時必須保證其目的、法律依據和數據保留期限的透明，讓用戶了解他們的數據是如何貢獻到生成的輸出結果中的。2025 云安全聯盟大中華區版權所有161.2.2 數據安全與責任1.2.2 數據安全與責任數據安全：數據安全：通用數據保護條例第25條規定，組織必須采取“隱私融入設計原則”和“默認隱私保護”的方法，并實施適當的技術和組織措施，以

25、確?；A模型中使用的個人數據的安全，包括加密、訪問控制和數據泄露通知程序。此外，由于大語言模型是整個供應鏈的一部分，保證其安全性需要特別關注對抗性攻擊、數據中毒和模型偏差等惡意技術。責任：責任：組織對在啟用生成式人工智能的系統中使用個人數據負有責任，并必須證明其符合通用數據保護條例，這包括執行數據保護影響評估和維護適當的記錄。數據匿名化和假名化：數據匿名化和假名化：雖然匿名化和假名化有助于降低隱私風險，但在生成式人工智能的背景下，它們并不能每一次都完美應對，因為即使是有限的信息也可用于推理身份。生成式人工智能輸出的潛在危害：生成式人工智能輸出的潛在危害：雖然通用數據保護條例看起來似乎只影響用于

26、訓練模型的數據，但實際上該法規也適用于模型輸出。這包括處理意外生成的輸出和惡意使用深度偽造技術，這些都可能損害個人聲譽和違反道德原則。所以制定明確的指導方針和保障措施對于確保負責任地開發和使用生成式人工智能、降低風險和保護個人免受潛在傷害至關重要。1.2.3 個人權利和控制個人權利和控制 訪問和更正權：訪問和更正權：個人有權了解和訪問生成式人工智能使用的其個人數據，并在數據不準確或不完整時要求更正。這包括個人直接提供的信息和通過與生成式人工智能互動交互而生成的數據。然而，與傳統數據庫不同的是，糾正人工智能訓練數據具有挑戰性，因為其數據規模龐大且相互關聯，這可能需要重新訓練整個模型，并可能導致意

27、想不到的后果。迄今為止，糾正人工智能模型訓練數據中已經獲取的不準確信息的可行性尚不明確。雖然2025 云安全聯盟大中華區版權所有17有關數據標記和隱私保護技術的研究仍在進行，但確保 更正權 仍然是一個開放性的挑戰，應持續監督促進對這一需求的研究。刪除權（被遺忘權）：刪除權（被遺忘權）：個人有權要求刪除其個人數據，這可能會影響人工智能/機器學習系統模型的訓練和使用方式。由于個人數據在訓練后可能會深嵌于模型內部復雜的表征中，因此落實這項權利對這些模型是一項獨特的挑戰。目前，從訓練好的模型中移除特定數據點的技術可行性和倫理影響仍不明確，缺乏可靠的流程和既定的指導來處理此類請求，這就引發了如何平衡個人

28、隱私與模型整體功能和社會利益這一關鍵問題。反對權：反對權：個人有權反對出于特定目的處理其個人數據，包括在生成式人工智能的背景下。然而，在生成式人工智能的背景下行使這項權利面臨著獨特的挑戰。目前還沒有可靠的標準化流程可以在模型訓練完成后將個人數據從訓練集中刪除。此外，反對權可能只適用于特定的數據元素或特定的目的，而不一定適用于用于訓練模型的所有信息，這可能會限制個人反對權的范圍。這凸顯了開發透明且負責任的生成式人工智能以尊重個人隱私權的必要性。合規性：合規性：通用數據保護條例要求對數據處理活動執行數據隱私影響評估(DPIA)，這也適用于人工智能系統的數據處理及其對數據主體造成的風險。在用于訓練大

29、型生成式模型的大數據集中識別個人數據非常困難，目前還不清楚歐盟將如何處理生成式人工智能中的通用數據保護條例合規性問題。自動化決策管理治理：自動化決策管理治理：通用數據保護條例第22條規定，個人有權反對對其具有法律影響或重大影響的對個人資料分析執行的自動化決策。這意味著個人有權選擇退出自動化決策或對自動決策做出的決定提出異議，尤其是當自動化決策可能引起偏見而對其生活產生重大影響的時候。因此，使用自動化決策的公司必須有人工申訴審查流程。1.3 加州消費者隱私法案/加州隱私權法案(CCPA/CPRA)1.3 加州消費者隱私法案/加州隱私權法案(CCPA/CPRA)2025 云安全聯盟大中華區版權所有

30、18 適用范圍：適用范圍：適用于在加州開展業務且符合其他要求（如全球年收入超過2500萬美元）的營利性企業。該法案賦予加州居民了解收集其個人信息目的的權利，并有權要求刪除或更正信息以確保信息準確性。企業必須將收集和處理個人信息的范圍限制在披露目的所必需的范圍內。加州消費者隱私法案的適用范圍還包括依賴于這些數據的人工智能/機器學習系統，要求企業確保這些系統在涉及加州居民個人信息的訓練和輸出生成過程中遵守隱私要求。企業在利用加州居民的個人信息開發和部署生成式人工智能模型時，必須絕對遵守加州消費者隱私法案的義務。主要條款:主要條款:知情權：知情權：允許消費者要求了解所收集的個人信息的類別和具體內容。

31、刪除權：刪除權：賦予消費者要求刪除企業收集的個人數據的權利。退出權：退出權：賦予消費者拒絕其個人信息被出售的權利。注：加州消費者隱私法案和加州隱私權法案對消費者數據的定義比常用的“個人可識別信息”(PII)更為寬泛。因此，本文采用“個人信息”(PI)這一術語，以確保與加州消費者隱私法案的范圍保持一致。個人可識別信息 通常指的是可以直接識別個人身份的具體數據，如姓名或社會保險號。然而，加州消費者隱私法案對個人信息的定義涵蓋了更廣泛的數據內容，包括瀏覽歷史記錄、IP地址或地理位置數據等，這些數據本身不足以識別個人身份，但在與其他信息結合后可用于識別個人身份。因此，“個人信息”更準確地反映了加州消費

32、者隱私法案有關消費者數據隱私的意圖。生成式人工智能對加州消費者隱私法案生成式人工智能對加州消費者隱私法案/加州隱私權法案合規性加州隱私權法案合規性：雖然加州消費者隱私法案/加州隱私權法案沒有直接針對生成式人工智能提出技術要求，但加州消費者隱私法案/加州隱私權法案對個人數據權利的關注可能會給生成式人工智能帶來重大的數據管理挑戰，需要生成式人工智能采取謹慎的做法確保自身的合規性，并注意可能影響模型的性能和功能。重要的是，加州消費者隱私法案/加州隱私權法案只保護加州居民的個人數據。一些注意事項如下：2025 云安全聯盟大中華區版權所有191.3.1 加州消費者隱私法案/加州隱私權法案下的數據收集、存

33、儲、使用和披露1.3.1 加州消費者隱私法案/加州隱私權法案下的數據收集、存儲、使用和披露加州消費者隱私法案/加州隱私權法案主要側重于監管企業對加州居民個人信息的收集、使用和披露，包括用于訓練人工智能/機器學習系統模型的數據，以及由此產生的包含個人信息的輸出結果。加州居民有權根據加州消費者隱私法案/加州隱私權法案訪問自己的個人信息，這項權利可能適用于用于訓練模型的數據，但需要注意區分包含個人信息的輸出與更通用的模型輸出。加州居民有權了解出于人工智能目的收集了他們哪些個人信息、收集的目的以及與之共享這些信息的第三方類別。雖然加州消費者隱私法案/加州隱私權法案不一定要求披露具體的訓練數據來源，但強

34、調了透明度的重要性。對數據來源的追溯對于加州消費者隱私法案/加州隱私權法案合規性至關重要，尤其是考慮到生成式人工智能通常使用龐大的數據集，復雜的數據來源追蹤對于滿足“訪問權”和“知情權”請求變得困難。強大的數據治理實踐、適當的記錄以及可能使用匿名化的訓練數據披露可有效應對這些挑戰。1.3.2 消費者權利1.3.2 消費者權利加州消費者隱私法案/加州隱私權法案 授予消費者有關其個人信息的特定權利，包括訪問、刪除、更正其個人信息以及拒絕個人信息被出售的權利。具體內容如下:知情權：知情權：要求披露為訓練模型而收集和使用個人信息的詳情，包括說明用于訓練的數據類別（如文本、圖像、音頻或姓名、位置等），確

35、定個人信息的來源（如用戶互動、購買/第三方數據集、社交媒體、公共記錄等），詳細說明個人信息的用途（如模型訓練、性能評估等）。訪問權：訪問權：用戶可以要求訪問在訓練數據中使用到的具體數據點，訓練過程可能會泄露可識別信息，需要在訓練數據集中實施識別和隔離單個數據點的機制，如果采用匿名或聚合技術，這在技術上可能具有挑戰性。2025 云安全聯盟大中華區版權所有20 刪除權：刪除權：用戶有權要求刪除用于訓練的個人信息，這將對模型產生多方面影響：數據刪除：數據刪除：這可能需要用剩余數據重新訓練模型，從而可能影響模型的性能和適用范圍。數據修改：數據修改：根據訓練過程的不同，可能需要對特定數據點執行匿名處理或

36、編輯，這可能會影響模型的準確性和可解釋性。知識移除：知識移除：如何識別千億層深度神經網絡中的已學知識，并移除特定的信息呢？實際上，這意味著需要從頭開始重新訓練大型語言模型，從而既不經濟，也不環保。從技術可行性角度看，在復雜的訓練數據集中識別并移除單個數據點可能計算成本高、耗時長，甚至是對于高級人工智能系統（如大語言模型）來說有時根本不可能實現的。如何處理那些需要移除數據的訓練模型這一問題至今仍然沒有答案。拒絕出售權：拒絕出售權：如果生成的人工智能輸出內容（如“深度偽造技術”）被認為符合 加州消費者隱私法案/加州隱私權法案規定的“個人信息”，用戶有權拒絕將這些信息出售或披露給第三方。這涉及在加州

37、消費者隱私法案框架下明確定義生成式人工智能輸出并對其分類，可能需要進一步的澄清和法律解釋。1.3.3 合規與執行1.3.3 合規與執行遵守加州消費者隱私法案/加州隱私權法案主要涉及實施技術和程序性保障措施保護個人信息。加州隱私保護局(CPPA)是一個相對較新的機構，成立于2020年，目前仍在包括消費者數據和隱私在內的不同領域建立監管規定。加州隱私保護局負責實施和執行加州隱私權法案和加州消費者隱私法案。雖然目前還沒有發布專門針對人工智能管理的具體法規，但以上兩項重要進展已經涉及人工智能和生成式人工智能。2025 云安全聯盟大中華區版權所有211.3.4 自動化決策技術(ADMT)法規草案1.3.

38、4 自動化決策技術(ADMT)法規草案 該草案于2023年11月發布，重點關注負責任的使用自動化決策技術(ADMT)，其中包括用于面向消費者決策的多種形式的人工智能，其性質類似于通用數據保護條例第22條。該草案概述了對企業使用自動化決策技術的要求，例如：使用前通知：使用自動化決策技術做出影響消費者的決策之前告知消費者。拒絕權：允許消費者選擇拒絕僅由自動化決策技術做出的決定。訪問和解釋權：向消費者提供有關如何使用自動化決策技術做出關于他們的決策信息，并解釋這些決策是如何形成的。風險評估：要求企業進行風險評估，以識別和減輕使用自動化決策技術可能帶來的的潛在危害，如偏見和歧視。雖然該規定沒有明確提及

39、“生成式人工智能”，但它適用于任何用于對消費者做出自動化決策的人工智能技術，以及企業在加州部署和使用生成式人工智能的方式。1.3.5 加州關于1.3.5 加州關于生成式人工智能的行政令生成式人工智能的行政令 2023年10月，加利福尼亞州州長加文-紐森發布了一項行政令，成立了一個工作組，負責探索在州政府內負責任地開發、使用和實施生成式人工智能。該行政令強調了生成式人工智能的潛在益處，但也承認其潛在風險，如虛假信息的傳播，強調了負責任的部署生成式人工智能的必要性。該工作組的任務是就為加利福尼亞州州級機構制定建議，包括但不限于:識別部署生成式人工智能的潛在益處和風險。制定使用生成式人工智能的倫理原

40、則。實施保障措施以預防潛在危害。2025 云安全聯盟大中華區版權所有22雖然該行政令并不直接監管私營企業，但它標志著加州以積極主動的方式了解并可能塑造生成式人工智能未來的發展和使用態勢。CPPA正在不斷發展以適應生成式人工智能的復雜性，預計會有更多的合規要求。這強調了在促進負責任地開發和部署生成式人工智能的同時，持續努力應對不斷變化的監管環境的必要性。1.4 歐盟人工智能法案(EU AI Act/EIAA)1.4 歐盟人工智能法案(EU AI Act/EIAA)適用范圍：EIAA適用于歐盟境內參與人工智能系統開發、部署和使用的提供者、部署商、進口商、經銷商和其他運營商，不適用于軍事、國防或國家

41、安全目的。它針對人工智能系統的開發者和使用者提出了一系列規則和要求，重點關注四個風險等級：不可接受的風險、高風險、中風險和低風險。法案旨在確保對隱私和非歧視等基本權利的保護，確保人工智能系統的安全性和透明度，及如何負責任的使用人工智能系統。該法案適用于那些人工智能系統是在歐盟市場上提供或使用，或者使用影響到歐盟境內人們的運營商。法案涵蓋了包括生物識別、自動駕駛汽車和關鍵基礎設施在內的廣泛的人工智能應用。主要條款:禁止行為（第5條）：法案第5條概述了與人工智能系統有關的禁止行為。禁止這些行為是為了確保個人的權利和安全，防止不道德和有害地使用人工智能系統。歐盟將禁止被認為具有不可接受風險的人工智能

42、系統，包括操縱人類行為的人工智能、社交評分系統以及用于執法目的在公共場所使用“實時”遠程生物識別系統?；陲L險的方法（第 9 條）：EIAA第9條引入了基于風險的方法監管歐盟內的人工智能系統，并平衡監管與創新，確保人工智能系統安全可信，同時避免不必要的合規成本。人工智能系統被劃分為高風險、中風險和低風險，監管水平將根據其對個人構成的潛在危害程度而有所不同。2025 云安全聯盟大中華區版權所有23 高風險人工智能系統，如用于關鍵基礎設施的系統，必須滿足嚴格的要求，通過審查，并在部署前獲得預先批準。此類系統的提供者必須遵守最嚴格的法規規定，包括透明度和可解釋性、人類監督和獨立驗證。中風險人工智能系

43、統的風險較低，但仍必須遵守特定要求。這些系統的提供者必須確保它們符合相關的法律義務、透明度和可追溯性等規則。低風險人工智能系統對個人幾乎不構成風險。這些系統不受相同監管要求的約束，但仍應遵守適用于人工智能系統的法律框架。數據治理（第10條）：第10條旨在確保人工智能系統對數據的使用應透明、負責，并尊重個人隱私和數據保護權利。它要求用于訓練和支持人工智能系統的數據必須遵守通用數據保護條例和其他相關數據保護法律的規定。高風險人工智能系統的提供者必須確保用于訓練和支持人工智能系統的數據是相關、可靠、無偏見和無差錯的，還應確保數據得到適當記錄、標記和注釋，以便監測和審計系統的性能。此外，數據管理必須透

44、明，被使用數據的個人必須知情并同意。透明性和可解釋性（第 13 條）：本條要求高風險人工智能系統必須具有透明性和可解釋性，解釋其運作方式，并為用戶提供獲取文件的途徑，使個人了解其工作方式和所做的決定。人工智能模型必須保存適當的記錄和日志，確?？梢詫ζ鋵徲?。本條還規定了知情權和尋求人工干預的權利，以便對人工智能系統做出的決定提出質疑，確保人工智能系統以完整、負責和透明的方式運行。人類監督（第14條）：人類監督的目的是防止或最小化風險，可通過內置在系統中的措施或由部署者實施的措施實現。此外，人工智能系統的設計必須允許由人類操作員檢查。監督系統的自然人應能了解其功能、監控其運行、解釋其輸出并在必要時

45、干預。對生物特征識別系統提出了具體要求。高風險人工智能系統將受到嚴格的義務約束，確保人為監督，并設計為能有效的由自然人監督。獨立測試和驗證（第57至63條）：它要求高風險人工智能系統應通過獨立測試和驗證，確保安全性和可靠性。2025 云安全聯盟大中華區版權所有24 治理和認證（第64至70條）：歐盟將建立治理結構和認證框架，確保歐 盟的人工智能系統符合規定的標準和條例。該法規建立了一個治理框架協調和支持國家層面和聯盟層面的法規實施。治理框架旨在協調和構建聯盟層面的專業知識，利用現有資源和專業知識，并支持數字單一市場。罰則（第99條）：本條規定了對違反條例規定的制裁、措施和處罰。它 規定成員國必

46、須制定適當的行政或司法程序執行條例的規定。通過對違規行為處以重罰來遏制違規行為，以確保條例得到有效執行。它旨在確保以負責任和合乎倫理的方式開發、部署和使用人工智能系統，保護個人的權利和自由。EIAA規定，制裁和罰款根據違法行為的嚴重程度分級，旨在確保處罰與違規行為造成的危害程度相稱。1.4.1 生成式人工智能的EIAA合規性1.4.1 生成式人工智能的EIAA合規性1.4.1.1 要求、義務和規定1.4.1.1 要求、義務和規定該法規旨在改善內部市場的運作，促進以人為本、值得信賴的人工智能系統在歐盟的應用。它規定了人工智能系統投放市場、投入使用和使用的統一規則，以及對高風險人工智能系統的特定要

47、求和義務。它還包括某些人工智能的禁止行為，并為某些人工智能系統制定了透明度規則。此外，它還涉及市場監管、市場監督治理和執法。高風險人工智能系統提供者的義務：確保高風險人工智能系統符合概述的要求。風險管理（第9條）：提供者必須對高風險的人工智能系統執行全面的風險評估，考慮對安全性、基本權利和系統預期用途的潛在風險，必須為高風險的人工智能系統建立風險管理系統，包括識別和分析已知和可預見的風險，評估可能出現的風險，并采取風險管理措施。風險管理措施的目的應是消除或減少已識別的風險，并應對條例規定和要求的綜合影響。風險管理系統應確保高風險人工智能系統的總體殘余風險被認為是可接受的。2025 云安全聯盟大

48、中華區版權所有25 數據質量和管理（第10條）：提供者必須確保高風險人工智能系統接受過高質量、相關性和代表性數據集的訓練。它們還必須實施適當的數據管理措施，防止出現偏差以確保數據的準確性。使用數據訓練技術的高風險人工智能系統必須使用接受過高質量的訓練、驗證和測試的數據集。必須實施設計選擇、數據收集過程、數據預處理操作等數據管理措施以解決偏差和數據缺口問題。技術文檔（第11條）：提供者必須為高風險人工智能系統創建并維護準確和最新的技術文檔。這些文件應包括系統的設計、開發、配置和運行信息。高風險人工智能系統的技術文檔必須編制并保持更新。這些文檔應證明系統符合法規要求，并提供必要的信息供主管部門和通

49、報機構評估。應為屬于歐盟統一立法范圍的高風險人工智能系統準備一套技術文件，委員會可通過授權法案修訂技術文件要求。記錄保存（第12條）：高風險人工智能系統必須能夠在其整個生命周期內自動記錄事件（日志）。日志記錄功能應能識別風險情況，便于上市后監控，并監測高風險人工智能系統的運行。透明度和信息提供（第13條）：提供者必須確保高風險人工智能系統的透明度，并向用戶提供關于系統功能和局限性的相關信息。高風險人工智能系統必須以透明的方式運行，使部署者能夠正確理解和使用系統的輸出結果。使用說明應包括提供者的相關信息、系統特點和能力、已知風險、解釋輸出的技術能力以及輸出的規定。人類監督和干預（第14條）：提供

50、者必須在高風險人工智能系統中納入適當的人類監督和干預機制，這包括確保系統在必要時可被人工操作覆蓋或停止。高風險人工智能系統的設計必須允許自然人在系統使用期間有效監督。人類監督措施應旨在預防風險或最小化風險，并可集成到系統中或由部署者實施，被指派執行人類監督的自然人應能夠了解系統的功能和局限性、檢測異常、解釋系統輸出并在必要時干預或覆蓋系統決策。準確性、魯棒性和網絡安全（第15條）：提供者必須確保高風險人工智能系統準確、可靠且穩健。應盡量減少與系統性能相關的錯誤和風險，并采取必要措施解決準確性和魯棒性問題。應執行安全風險評估，并結合系統的設計2025 云安全聯盟大中華區版權所有26實施必要的緩解

51、措施。高風險人工智能系統必須執行全面的風險評估，并遵守網絡安全標準。在使用語言模型時，它們還應達到適當的準確性、魯棒性和網絡安全水平?？舍槍蚀_性和魯棒性的技術方面制定基準和衡量方法，應在隨附的使用說明中聲明準確度和相關衡量標準。對某些人工智能系統的具體要求（第53和55條）：該條例確定了對特定類型的高風險人工智能系統的特定要求，如生物特征識別系統、關鍵基礎設施中使用的系統、教育和職業培訓中使用的系統、用于就業目的的系統以及執法機關使用的系統。在高風險人工智能系統應在其包裝/文件上注明其名稱、注冊商號或注冊商標以及聯系地址。建立質量管理系統，確保符合法規要求。保存文檔，包括技術文件、質量管理體

52、系文件、由認證機構批準的變更、認證機構發布的決定以及歐盟符合性聲明。將高風險人工智能系統生成的日志保存一段時間。在將高風險人工智能系統投放市場或投入使用之前，執行相關的合格評定程序。制定歐盟合格聲明并貼上CE標志，以表明符合法規要求。遵守注冊義務。采取必要的糾正措施并提供所需的信息。應國家主管部門的合理要求，證明高風險人工智能系統符合要求。確保符合無障礙要求。進口商義務:在將高風險人工智能系統投放市場之前，核實其是否符合要求。確保高風險人工智能系統帶有符合要求的CE標志，附有歐盟合格聲明和使用說明。確保高風險人工智能系統得到妥善儲存和運行。附有認證機構頒發的證書、使用說明和歐盟合格聲明的副本。

53、按要求提供國家主管部門要求的必要信息和文件。2025 云安全聯盟大中華區版權所有27 與國家主管部門合作，降低高風險人工智能系統帶來的風險。經銷商義務:核實高風險人工智能系統是否帶有CE標志，是否附有歐盟合格聲明和使用說明。酌情在包裝/文件上注明其名稱、注冊商號或注冊商標以及聯系地址。確保儲存或運行條件不會違反高風險人工智能系統的合規性。檢驗是否具有認證機構頒發的證書、使用說明和歐盟合格聲明的副本。按要求提供國家主管部門要求的必要信息和文件。與國家主管部門合作，降低高風險人工智能系統帶來的風險。1.4.1.2 促進創新（第57條到63條）1.4.1.2 促進創新（第57條到63條）支持創新的措

54、施如下:人工智能監管沙箱:成員國必須在國家層面建立人工智能監管沙箱，這有助于在產品上市前開發、測試和驗證創新型人工智能系統。沙箱提供一個可控的環境，促進創新并允許識別和降低風險。其目標是提高法律確定性、支持最佳實踐的分享、促進創新與競爭力，有助于基于證據的法規學習，并為中小和初創企業的人工智能系統進入歐盟市場提供便利。國家主管部門對沙箱具有監督權，并必須確保與其他相關機構的合作。人工智能沙箱中的個人數據處理：為其他目的收集的個人數據被允許在人工智能監管沙箱中處理的情況，僅包括以公共利益為目的的開發、訓練和測試個人數據的人工智能系統。必須滿足一定的條件以確保遵守數據保護法規，包括有效的監督機制、

55、數據主體權利的保障措施以及保護個人數據的適當技術和組織措施。在真實環境中測試高風險人工智能系統:2025 云安全聯盟大中華區版權所有28 高風險人工智能系統的提供者或潛在提供者可以在人工智能監管沙箱之外的真實環境中測試。他們必須制定并向市場監督管理局提交一份真實環境測試計劃。測試可以獨立進行，也可以與潛在用戶合作完成。聯盟或國家法律可能要求進行倫理審查。指導和支持:人工智能監管沙箱內的主管部門為參與者提供指導、監督和支持。引導提供者獲得預部署服務，如法規實施指導、標準化和認證。歐洲數據保護監督員可專門為聯盟機構、團體、辦事處和機關建立一個人工智能監管沙箱。管理與協調:該條例建立了一個管理框架，

56、協調和支持在國家和聯盟層面實施人工智能條例。人工智能辦公室由成員國代表組成，負責發展聯盟在人工智能方面的專業知識和能力，并支持人工智能法的實施。設立委員會、科學小組和咨詢論壇，為法規實施提供意見、建議和專業知識。國家主管部門在委員會內開展合作，并就人工智能監管沙箱的進展和結果提交年度報告。委員會為人工智能監管沙箱開發單一信息平臺，并與國家主管部門協調。市場監督與合規:由成員國指定的市場監督機構負責執行該法規的要求和義務。它們具有執法權，可以獨立公正地履行職責，并協調聯合行動和調查?？赏ㄟ^包括降低風險、限制市場供應、撤銷或召回人工智能模型等措施來強制執行合規。數據保護機構的參與:國家數據保護機構

57、和其他具有監督職能的相關國家公共機關或機構有責任根據保護基本權利的聯盟法律對人工智能系統進行監督。2025 云安全聯盟大中華區版權所有29 他們可以查閱根據本條例創建的相關文件。與金融服務機構的合作:負責監督歐盟金融服務法的主管機關被指定為監督人工智能法規實施的主管機關，包括對受監管和監督的金融機構提供或使用的人工智能系統有關的市場監督活動。委員會與其合作，確保義務的一致應用和執行。促進符合道德和值得信賴的人工智能:鼓勵未被歸類為高風險的人工智能系統的提供者制定行為準則，自愿適用于高風險人工智能系統的部分或全部強制性要求。人工智能辦公室可邀請所有通用型人工智能模型的提供者遵守行為守則。透明報告

58、和文件:要求提供者建立一個上市后的監測系統，分析其人工智能系統的使用情況和風險。必須向有關部門報告因使用其人工智能系統而導致的嚴重事件。人工智能監管沙箱的技術文件和退出報告可用于證明其符合法規要求。委員會和理事會可查閱相關任務的退出報告。1.4.1.3 人工智能被禁止的行為人工智能被禁止的行為 嚴重扭曲人類行為：禁止在市場上投放、投入使用或使用以嚴重扭曲人類行為為目的或效果的人工智能系統，因為這會對身體健康、心理健康或經濟利益造成重大損害。這包括使用潛意識成分或其他操縱性或欺騙性技術破壞和損害個人對決策過程的自主性和自由權選擇?；谏锾卣鲗γ舾袀€人信息分類：禁止使用基于自然人的生物識別數據的

59、分類系統推斷敏感的個人信息，如政治觀點、工會成員身份、宗教或哲學信仰、種族、性生活或性取向。2025 云安全聯盟大中華區版權所有30 提供社會評分的人工智能系統：根據自然人的社會行為、已知的、推斷出的或預測的個人特征或性格特征來評估或分類自然人的人工智能系統，可能會導致歧視性結果和對某些群體的排斥。使用此類人工智能系統執行社會評分是禁止的，因為這類人工智能系統會導致個人或與數據生成或收集的背景無關的群體受到不利或不平等對待。用于執法的實時遠程生物特征識別：以執法為目的在公共場所對個人執行實時遠程生物特征識別被認為具有侵擾性，可能會影響個人的私生活。這種做法是被禁止的，除非是在嚴格必要且為了實現

60、重大公共利益的情況下，如搜尋失蹤人員、生命或人身安全受到威脅，或識別特定嚴重刑事犯罪的作案者或嫌疑人。1.4.1.4.合規、違規與處罰合規、違規與處罰該條例提供了各種術語的定義，并規定了其適用范圍。它強調了在人工智能系統方面保護個人數據、隱私和機密的重要性。它還包括對違規行為的處罰以及對受影響者的補救措施。此外，它還允許未來評估和審查該法規，并將實施權力下放給歐盟委員會，規定在生效后的特定時間內適用。合規規定:通用型人工智能模型的提供者必須采取必要措施，在條例生效之日起36個月內履行條例規定的義務。高風險人工智能系統的運營商，如果在其投放市場或投入使用之前（即條例生效之日起24個月之前）已經使

61、用這些系統，則只有在需要重大修改設計的情況下，才須遵守條例的要求。使用高風險人工智能系統的公共機構必須在條例生效之日起六年內遵守條例的要求。違規處罰:EIAA 規定違規罰款遵循分級制度:2025 云安全聯盟大中華區版權所有31 對于向認證機構或國家主管部門提供不正確、不完整或誤導性信息的違規行為，最高可處以750萬歐元的行政罰款，如果違規者是企業，則最高可處以其上一財政年度全球年營業總額1%的行政罰款，以數額較高者為準。對于未獲得高風險人工智能系統認證、未遵守透明度或監督要求（如風險管理）、以及未履行提供者、授權代表、進口商、經銷商或使用者義務等違規行為，擬議罰款最高達1500萬歐元，或其全球

62、年營業額的3%，以較高者為準：根據第16條規定的提供者的義務。根據第22條規定的授權代表的義務。根據第23條規定的進口商的義務。根據第24條規定的經銷商的義務。根據第26條規定的部署者的義務。根據第31、33(1)、33(3)、33(4)或34條對被通知機構的要求和義務。根據第50條規定的提供者和用戶的透明度義務。對于使用被認為構成不可接受風險的人工智能系統，或不遵守條例第5條所列的人工智能行為實踐的違規行為，擬議的行政罰款最高可達3500萬歐元，或其全球年營業額的7%，以較高者為準。EIAA 要求，任何行政罰款都應考慮具體情況的所有相關因素，這包括違法行為的性質、嚴重程度和持續時間及其后果、

63、受影響人數以及他們遭受的損害，罰款數額應根據人工智能系統的目的加以評估。此外，還應考慮的因素包括是否已由其他主管部門處以行政罰款、運營商的規模、年營業額和市場份額等。其他決定因素還包括違規行為帶來的經濟利益或損失、與國家主管部門的合作程度、運營商的責任、違規行為是如何被發現的、運營商是否存在疏忽或故意的情況，以及采取的任何為減輕受影響者所受損害的行動。它還規定，在訴訟中應充分尊重當事人的辯護權，并賦予他們查閱相關信息的權利，但要考慮到個人或企業保護其個人數據或商業秘密的合法權益。1.5 醫療電子交換法案(HIPAA)1.5 醫療電子交換法案(HIPAA)2025 云安全聯盟大中華區版權所有32

64、醫療電子交換法案(HIPAA)是美國1996年頒布的一部聯邦法律，主要以其關于醫療保健數據隱私和安全的規定而聞名。適用范圍：醫療電子交換法案適用于“承保實體”，包括處理個人受保護健康信息(PHI)的醫療服務提供者、健康計劃和醫療保健結算中心。主要條款：最小必要標準：要求承保實體僅使用和披露實現預期目的所需的最小量的受保護的健康信息。管理、技術和物理保障措施：要求實施適當的保障措施，以保護受保護的健康信息的機密性、完整性和可用性?；颊邫嗬嘿x予個人其受保護的健康信息的訪問、修改和要求說明披露情況的權利。1.5.1 生成式人工智能的醫療電子交換法案合規性1.5.1 生成式人工智能的醫療電子交換法案

65、合規性1.數據隱私與安全數據隱私與安全:數據保護要求：數據保護要求：醫療電子交換法案嚴格的數據保護標準已在整個技術領域內確立，適用于所有技術類型或目的數據使用（例如，強大的加密在整個開發和部署過程中都是強制性的，以保護受保護的健康信息）。然而，生成式人工智能領域的利益相關者必須將重點轉移到理解和實施在生成式人工智能操作和處理中應用現有原則的具體細微差別上。雖然既定規則不需要重塑，但要使其適應這種新情況，就必須認真關注生成式人工智能帶來的獨特挑戰。訓練數據的限制：訓練數據的限制：醫療電子交換法案限制訪問和共享受保護的健康信息，這可能會限制用于訓練生成式人工智能模型以供醫療保健應用的醫療數據量。跟

66、蹤訓練數據的來源和合規性對于確保生成的輸出是否會繼承隱私問題至關重要。這可能會使診斷、治療預測和個性化醫療等領域的開發和準確性變得復雜，并限制人工智能模型在醫療應用中的有效性和通用性。去標識化要求：去標識化要求：即使是從受保護的健康信息訓練的生成式人工智能生成的去標識化輸出也可能通過微妙的模式、相關或高級技術重新標識，從而引發2025 云安全聯盟大中華區版權所有33隱私問題并可能違反 醫療電子交換法案。雖然匿名化和假名化可以掩蓋身份，但在生成式人工智能的背景下，在模型內與其他數據源結合時，往往無法阻止數據被重新識別。這就需要采用強大的隱私保護方法（如差分隱私、聯邦學習等）有效保護個人身份。模型

67、共享限制：模型共享限制：由于隱私問題，訓練有受保護的健康信息上的生成式人工智能模型之間的共享也受到限制，這阻礙了該領域的合作與進步。嚴格的訪問控制、審計和追蹤：嚴格的訪問控制、審計和追蹤：醫療電子交換法案 要求對受保護的健康信息的訪問和使用進行嚴格的審計和追蹤。這將延伸到生成式人工智能系統，需要具備強大的日志記錄和監控機制，以確保整個供應鏈符合醫療電子交換法案 的規定。2.模型訓練、輸出和使用模型訓練、輸出和使用:對訓練數據的限制：對訓練數據的限制：如上所述，醫療電子交換法案 限制了對受保護的健康信息的訪問和共享，這可能會限制生成式人工智能模型用于訓練醫療保健的數據量。就模型訓練而言，限制使用

68、多樣性和全面的醫療保健數據集訓練模型的能力可能會導致輸出結果有偏差或不準確。實施差分隱私或其他匿名化技術可能有助于保護患者隱私，同時仍能為訓練提供一定程度的數據效用。共享和披露限制：共享和披露限制：共享或披露包含受保護的健康信息的生成內容受到嚴格限制，即使是匿名 的，也可能會限制使用生成式人工智能分享醫學見解或進行研究合作的能力，因此需要謹慎設計和實施。限制生成受保護的健康信息：限制生成受保護的健康信息：生成式人工智能不能直接輸出任何可能被視為受保護的健康信息的數據，即使是用于生成訓練或測試目的的合成醫療記錄等，也要遵守這一規定。下游使用限制：下游使用限制：根據受保護的健康信息訓練的生成式人工

69、智能模型不得用于可能暴露受保護的健康信息的下游應用，即使模型本身并不直接輸出受保護的健康信息。2025 云安全聯盟大中華區版權所有34 模型的透明度和可解釋性：模型的透明度和可解釋性：了解生成式人工智能模型如何得出其輸出對于確保它不會無意中披露受保護的健康信息至關重要，這就需要可解釋的模型和清晰的推理說明。確保人工智能生成的醫療結果的透明度和可解釋性對于建立信任和遵守醫療電子交換法案的“解釋權”規定至關重要。3.醫療電子交換法案法規可能還要求醫療電子交換法案法規可能還要求:對輸出結果進行仔細審查和持續監控：對輸出結果進行仔細審查和持續監控：所有由受保護的健康信息或包含受保護的健康信息訓練的生成

70、式人工智能模型生成的輸出結果都必須經過徹底審查，以確保它們不包含任何可識別信息或有可能重新識別個體的信息，這自然會增加開發時間和對模型輸出持續監控的復雜程度?；颊咄夂褪跈啵夯颊咄夂褪跈啵菏褂蒙墒饺斯ぶ悄軋绦性\斷或治療建議等任務需要獲得患者的明確同意和授權，即使這可能會增加輸入或輸出工作流程的復雜程度。審計與合規審計與合規：使用帶有受保護的健康信息的生成式人工智能的組織必須實施強大的審計和合規措施，以確保遵守適用于所有其他受醫療電子交換法案監管系統的醫療電子交換法案法規。風險評估和緩解計劃：風險評估和緩解計劃：生成式人工智能利益相關者必須優先考慮定期執行風險評估，以保護患者隱私并維持醫療電

71、子交換法案 合規性。這些評估應全面評估人工智能/機器學習系統，以便識別潛在的隱私違規行為并實施有針對性的緩解策略。醫療電子交換法案法規對生成式人工智能在醫療保健領域的應用提出了重大挑戰。這些挑戰要求對人工智能系統進行全面的了解、實施和持續監控。通過精心設計這些人工智能系統、采用強大的隱私保護技術并嚴格遵守法規，我們可以解鎖生成式人工智能在改善醫療保健方面的潛力，同時保護患者隱私并確保負責任和合規地使用。在這個新興領域里，平衡創新與患者隱私仍然是一個關鍵挑戰。2025 云安全聯盟大中華區版權所有35圍繞醫療保健領域的人工智能（包括生成式人工智能）和機器學習的動態監管環境需要利益相關者不斷調整適應

72、，以確保符合醫療電子交換法案和其他相關法規不斷演變的解釋，尤其是針對生成式人工智能系統。2025 云安全聯盟大中華區版權所有362.如何應對生成式人工智能的幻覺對數據隱私、安全和倫理的影響如何應對生成式人工智能的幻覺對數據隱私、安全和倫理的影響幻覺是指人工智能系統根據其所訓練的模式和數據生成逼真但與事實不符或捏造的輸出，如圖像、視頻或文本。這些幻覺引起了人們對關于數據隱私和安全相關立法和法規的極大關注。生成式人工智能幻覺影響的一個關鍵領域是數據隱私。當生成式人工智能模型被輸入敏感數據時，有可能產生無意中泄露個人或組織的私密信息，這給一些監管框架（如通用數據保護條例或加州消費者隱私法案/加州隱私

73、權法案）帶來了巨大挑戰，因為這些法規要求采取嚴格措施保護個人數據免遭未經授權的訪問或披露。人工智能生成內容的出現模糊了真實信息與捏造信息之間的界限，使有效執行數據隱私法的工作變得更復雜。生成式人工智能的幻覺還為監管環境帶來了安全風險。惡意行為者可能會利用人工智能生成的內容，如捏造的圖像或文本，欺騙或操縱個人。這對數據系統的完整性和安全性構成了直接威脅，要求監管機構調整現有的網絡安全法規，以應對人工智能生成內容帶來的獨特挑戰。隨著生成式人工智能技術的發展和模型能力的進步，確保符合安全標準可能會變得越來越復雜，尤其是在生成輸出的真實性仍然不確定的情況下。政策制定者和監管者在努力治理生成式人工智能的

74、同時，還必須面對幻覺帶來的倫理影響。除了遵守法律之外，倫理考量對于制定生成式人工智能治理的監管框架也至關重要。圍繞負責任地開發和使用生成式人工智能模型的問題，包括幻覺內容對個人權利、自主性和福祉的潛在影響，都需要仔細斟酌。監管舉措必須在促進創新和維護社會價值觀之間取得平衡，確保生成式人工智能治理框架優先考慮透明度、問責制和包容性等倫理原則。要解決人工智能產生幻覺的問題，必須持續評估人工智能的輸出結果，從多個可信來源核實信息，并在評估內容的準確性問題上采用人類判斷。此外，提供明確的提示和使用精心收集的訓練數據可以從一開始就降低出現幻覺的可能性。2025 云安全聯盟大中華區版權所有37生成式人工智

75、能的幻覺對人工智能治理的現有立法和監管框架帶來了挑戰，特別是在數據隱私、安全和倫理等方面。應對這些挑戰需要政策制定者、監管機構、行業利益相關者和倫理學家通力合作，共同制定全面的治理機制，有效管理與生成式人工智能相關的風險和機遇。2.1 國土安全部政策聲明139-07對生成式人工智能的影響2.1 國土安全部政策聲明139-07對生成式人工智能的影響 數據輸入：數據輸入：禁止將美國國土安全部(DHS)有關個人的數據（無論其是否為個人身份信息或匿名信息）、社交媒體內容或任何僅供官方使用的敏感但非機密信息（現稱為“受控非密信息(CUI)”），或機密信息輸入到商業生成式人工智能工具中。數據保留：數據保留

76、：在工具中選擇限制數據保留的選項，并選擇拒絕將輸入數據用于進一步訓練模型。輸出審查和使用：輸出審查和使用：確保使用這些工具生成或修改的所有內容在用于任何官方用途之前，特別是在與公眾互動時，先由適當的領域的專家審查準確性、相關性、數據敏感性、不適當的偏見和政策合規性。決策：決策：商業生成式人工智能工具不得用于任何福利裁定、資格認證、審查或法律或民事調查或執 法相關行動的決策過程。2.2 聯邦貿易委員會政策宣傳與研究指導:2.2 聯邦貿易委員會政策宣傳與研究指導:人工智能（及其他）公司：悄悄更改服務條款可能是不公平或具有欺騙性的人工智能（及其他）公司：悄悄更改服務條款可能是不公平或具有欺騙性的隨著

77、數據成為科技和商業創新的驅動力，開發人工智能產品的公司越來越多的將其用戶群體作為主要的數據來源。然而，這些公司必須在獲取這些數據與對其保護用戶隱私的承諾之間取得平衡，任何試圖偷偷放松隱私政策以使用更多客戶信息的行為都可能導致違法。公司不能回溯性地更改其隱私政策的條款，因為這對可能在不同條件下同意該政策的消費者構成不公平和欺騙性行為。聯邦貿易委員會一直以來都具有質疑公司的欺騙性和不公平隱私做法的權利，并將繼續對試圖無視隱私2025 云安全聯盟大中華區版權所有38法規和欺騙消費者的公司采取行動。歸根結底，對于希望與用戶建立信任并避免法律后果的公司來說，透明度、誠實和誠信是至關重要的。人工智能公司：

78、履行對用戶的隱私和保密承諾人工智能公司：履行對用戶的隱私和保密承諾開發人工智能模型需要大量數據和資源，并非所有企業都有能力開發自己的模型。提供模型即服務(MaaS)的公司，通過用戶界面和應用程序接口為第三方提供人工智能模型，幫助它們解決這一問題。這些公司持續需要數據改進他們的模型，這有時會與他們保護用戶數據和隱私的義務沖突。聯邦貿易委員會對未能保護客戶數據和隱私，以及濫用客戶數據的公司實施法律制裁。提供模式即服務的公司無論在哪里做出承諾，都必須遵守，并確保不欺騙客戶或參與不公平競爭。在人工智能模型的訓練和部署過程中，虛假陳述、重大遺漏和數據濫用都會給競爭帶來風險，違反消費者隱私權或采用不公平競

79、爭手段的提供模型即服務的公司可能受到反壟斷法和消費者保護法的追究。2.3 美國白宮管理和預算辦公室（OMB）在聯邦機構使用人工智能的治理、創新和風險管理的政策2.3 美國白宮管理和預算辦公室（OMB）在聯邦機構使用人工智能的治理、創新和風險管理的政策副總統卡馬拉-哈里斯宣布了一項政府范圍內的政策，旨在降低人工智能的風險并利用其益處。這項政策是根據拜登總統人工智能行政令（請參閱下文）發布的，旨在加強人工智能的安全性和保障性，促進公平和保障公民權利，推動美國的人工智能領域的創新。新政策包含了針對聯邦機構使用可能影響美國人權利或安全的人工智能的具體保障措施。其目標是消除負責任的人工智能新的障礙，擴大

80、并提升人工智能人才隊伍的技能，并加強人工智能的治理。政府正在通過這一政策促進各聯邦機構利用人工智能的透明度、問責制以及對權利和安全的保護。這項旨在降低人工智能風險并利用其益處的政府政策的主要亮點如下：具體的人工智能保障措施：具體的人工智能保障措施：到2024年12月1日，聯邦機構在使用可能影響美國人權利或安全的人工智能時，必須實施具體的保障措施。這些保障措施包括評估、測試和監控人工智能對公眾的影響、降低算法歧視的風險，以及提高政府使用人工智能的透明度。2025 云安全聯盟大中華區版權所有39 醫療保健領域的人類監督：醫療保健領域的人類監督：在聯邦醫療系統中使用人工智能支持關鍵診斷決策時，由人類

81、來監督這一過程，以核實工具的結果，避免醫療服務的不平等。人類監督欺詐檢測：人類監督欺詐檢測：當人工智能被用于檢測政府服務中的欺詐行為時，由人類監督有影響的決策，受影響的個人也有機會尋求補救人工智能造成的傷害。人工智能使用的透明度：人工智能使用的透明度：聯邦機構被要求通過發布人工智能用例的年度擴大清單、報告敏感用例的指標、通知公眾人工智能豁免及理由、發布政府擁有的人工智能代碼、模型和數據，來提高其使用人工智能的公開透明度。負責任的人工智能創新：負責任的人工智能創新：該政策旨在消除聯邦機構在負責任的人工智能創新方面的障礙。它強調了人工智能在應對氣候危機、促進公共衛生和保護公共安全方面的應用實例。壯

82、大人工智能人才隊伍：壯大人工智能人才隊伍：政策指導各機構擴大人工智能人才隊伍并提高其技能。加強人工智能治理：加強人工智能治理：該政策要求聯邦機構指定首席人工智能官來協調各機構內部的人工智能使用，并成立人工智能管理委員會管理機構內的人工智能使用。停止使用人工智能：停止使用人工智能：如果某個機構不能采用規定的保障措施，就必須停止使用人工智能系統，除非機構領導層能說明為什么采用規定的保障措施會增加整體安全或權利的風險，或者會對機構的關鍵業務造成不可接受的障礙。2025 云安全聯盟大中華區版權所有402.4 拜登總統關于安全、可靠和負責任地開發和使用人工智能的行政令2.4 拜登總統關于安全、可靠和負責

83、任地開發和使用人工智能的行政令拜登總統于2023年10月發布的關于安全、可靠和負責任地開發和使用人工智能的行政令,是一項具有里程碑意義的努力，旨在解決社會關注的如何建立負責任的人工智能實踐的問題。該行政令的重點是確保安全、可靠和合乎倫理地開發和使用人工智能，包括數據隱私、倫理、勞動力發展和國際合作等關鍵領域。它概述了一項制定指導方針和最佳實踐的計劃，指導負責任地開發和部署人工智能技術。該計劃包括委派多個政府機構，如美國國家標準與技術研究所、美國國家科學基金會和美國商務部，開發與現有框架和主題相關的資源和最佳實踐，例如：算法的公平性和偏見 人工智能模型的可解釋性和可解讀性 標準化測試和評估方法雖

84、然具體的監管細節還未出臺，但該行政令標志著政府致力于構建一個可靠的人工智能框架。雖然拜登總統的行政令并沒有重新定義人工智能的法律和監管環境，但它強調了符合倫理和負責任使用的重要性，并解決了數據生命周期中的數據隱私、安全控制和網絡安全等問題。雖然還沒有制定具體的法規，但安全、可靠和負責任地開發和使用人工智能的行政令為負責任的人工智能開發和使用奠定了全面的基礎，通過關注數據隱私、倫理、勞動力發展和國際合作來解決社會問題。由聯邦政府層面制定和實施的人工智能相關法規和政策的缺失導致了一個復雜的局面，許多不同的州和地區正在頒布和實施各種法規。正如美國伯克利律師事務所發布的“美國各州人工智能立法快照”中所

85、強調的，這些法規的拼湊造成了一個關鍵的擔憂。2025 云安全聯盟大中華區版權所有413.非歧視與公平非歧視與公平生成式人工智能能夠產生新穎的內容并影響決策，這引起了人們對歧視和公平性的嚴重關切，并引發了法律和監管方面的審查。讓我們回顧一下反歧視法律法規如何影響生成式人工智能的設計、部署和使用。3.1 部分現行反歧視法律法規部分現行反歧視法律法規解決人工智能算法和決策過程中基于受保護特征的歧視問題的現行法律和擬議法律摘要：美國民權法案（美國民權法案（1964年）第七章：年）第七章：禁止基于種族、膚色、宗教、性別和國籍的就業歧視。如果在招聘、晉升或績效評估中使用的人工智能系統（包括生成式人工智能）

86、，長期存在對受保護群體的偏見，那么這些系統可能面臨民權法案第七章的審查。美國平等就業機會和民權法案及其執行機構：美國平等就業機會和民權法案及其執行機構：將第七章的保護范圍擴大到年齡和殘疾?；谶@些特征的算法偏見也是被禁止的。美國平等就業機會委員會(EEOC)發布的技術援助文件是其“人工智能與算法公平性倡議”的一部分，該倡議旨在確保在招聘和其他就業決策中使用的軟件（包括人工智能）符合 EEOC 執行的聯邦民權法律。此外，2008年頒布的遺傳信息反歧視法是一部聯邦法律，禁止在就業和醫療保險中基于遺傳信息的歧視。雖然它并不直接管理算法決策（包括人工智能系統做出的決策），但它禁止基于遺傳信息的就業歧視

87、。使用生成式人工智能系統的公司仍有責任確保其系統是公平、無偏見的，且不會基于任何敏感信息（包括遺傳信息）延續歧視性做法。美國的公平住房法：美國的公平住房法：禁止基于與第七章相同的受保護特征的住房歧視，用于租戶篩選或抵押貸款審批的人工智能驅動工具必須遵守這些保護規定。2025 云安全聯盟大中華區版權所有42 美國平等信貸機會法：美國平等信貸機會法：禁止基于種族、膚色、宗教、國籍、性別、婚姻狀況、年齡或殘疾的信貸歧視。該法案要求必須仔細評估人工智能驅動的信用評分模型是否會產生潛在的歧視性影響。多部聯邦民權法（如民權法案第六章、教育修正案第九章和康復法案第多部聯邦民權法（如民權法案第六章、教育修正案

88、第九章和康復法案第504節）：節）：禁止在教育環境中基于種族、膚色、國籍、性別、殘疾和年齡的歧視。學校和教育機構必須遵守這些法律，確保其實踐（包括涉及機器學習和人工智能等技術的實踐）不會基于上述受保護特征歧視學生。歐盟通用數據保護條例歐盟通用數據保護條例(GDPR)：賦予個人訪問、更正和刪除其個人數據的權利。這影響到生成式人工智能系統如何收集和使用個人信息，以避免出現歧視性結果。它要求數據控制者實施防止歧視性分析和自動決策的保障措施。此外，加州消費者隱私法案/加州隱私權法案還禁止組織歧視行使隱私權的消費者。算法問責法案（美國，算法問責法案（美國，2019-2020年）：年）：旨在建立聯邦偏見審

89、計標準，評估政府機構和企業使用的人工智能算法的公平性、責任性和透明度。歐盟人工智能法案歐盟人工智能法案(2024)：對高風險的人工智能應用提出具體要求，包括解決偏見和歧視問題。紐約市算法偏見法案（美國，紐約市算法偏見法案（美國，2021年）：年）：要求對城市機構使用的人工智能算法進行審計，以確定是否存在基于受保護特征的潛在偏見。加利福尼亞州自動化決策法案（加利福尼亞州自動化決策法案（2023年，美國）年，美國）/紐約自動化就業決策工具法案（紐約自動化就業決策工具法案（2023年，美國）：年，美國）：兩者都要求企業在使用對消費者有重大影響的自動化決策工具時，提供通知和解釋。加州消費者隱私法案加州

90、消費者隱私法案/加州隱私權法案加州隱私權法案禁止歧視行使隱私權的消費者。這可能會給在含有固有偏見的數據集上訓練的生成式人工智能模型帶來潛在挑戰。在 加州消費者隱私法案/加州隱私權法案下，減少此類偏差以確保非歧視性輸出變得至關重要。美國殘疾人法案：美國殘疾人法案：這是一套規定為殘疾人提供便利的標準和法規，與公眾互動的人工智能系統需要遵守美國殘疾人法關于無障礙的規定。2025 云安全聯盟大中華區版權所有43公平信用報告法：公平信用報告法：該法對如何收集和使用消費者信息做出了規定。金融行業中使用的人工智能模型（如用于貸款決策）需要確保符合公平信用報告法，以避免決策中出現不公平的偏差。最近的一些事例，

91、如美國的訴訟，指控有偏見的人工智能算法導致的歧視性招聘行為，以及基于歐盟 通用數據保護條例裁決而對基于人工智能的人臉識別系統執行更嚴格的審查，都凸顯了人們對潛在偏見、歧視性定性以及遵守反歧視法律的必要性。這些最近的例子凸顯了人工智能招聘中可能存在的偏見，用于選擇候選人的工具曾面臨歧視指控：新聞中的執法案例：新聞中的執法案例：2023年，EEOC首次針對通過人工智能進行的歧視提起訴訟：訴訟稱，麥琪教育科技因年齡原因未能聘用200多名55歲以上的合格申請人。起訴方稱，她用自己的真實出生日期申請，立即遭到拒絕，第二天又用更近的出生日期申請時則獲得了面試機會。因此，2023年1月，平等就業機會委員會發

92、布了戰略執法計劃草案（2023-2027），該草案表明平等就業機會委員會明確關注在整個就業生命周期中對人工智能的歧視性使用的問題，從招聘開始，包括員工績效管理。人工智能招聘中的歧視和偏見：人工智能招聘中的歧視和偏見：2023年案例：本案例研究是人工智能招聘中存在偏見的真實案例。一家銀行用于篩選求職者的人工智能工具被發現出了重要的法律問題，并強調了在招聘過程中使用人工智能工具時，對潛具有歧視性。該案例提在偏見保持警惕的重要性。使用人工智能監控員工信息，2024年：這篇文章重點介紹了大型企業如何利用人工智能服務監控員工信息。它不僅能分析情感，還能評估文本和圖片中的“欺凌、騷擾、歧視、不合規、色情、

93、裸露和其他行為”，甚至還能分析不同人群（如年齡組、地點）對公司舉措的反應。雖然采用了數據匿名化等隱私保護技術，但這些做法引起了人們對隱私權和言論自由的擔憂。有些人認為這是對隱私的侵犯，可能會阻礙公開交流，而另一些人則認為這是發現潛在問題和加強保護公司決策的一種方式。法律前景仍不明朗，這表明這種做法可能面臨監管和社會方面的障礙。2025 云安全聯盟大中華區版權所有443.2 監管方面的挑戰監管方面的挑戰目前的法律框架在處理生成式人工智能中的非歧視和公平問題時面臨著諸多限制：適用性缺口：適用性缺口：現有法律難以應對復雜的人工智能系統，并且在如何將“歧視”概念轉化為算法和數據方面缺乏明確性。難以證明

94、偏見：難以證明偏見：不透明的人工智能系統使得確定和證明歧視性的意圖或影響變得困難，這些系統的內部因素相互關聯，使得問題更加復雜化。執法挑戰：執法挑戰：有限的資源和專業知識阻礙了有效的調查和執法，再加上人工智能發展的全球性質又使之進一步復雜化。創新與監管：創新與監管：快速發展的人工智能能技術超越了當前的法律框架，造成了不確定性，需要在創新和倫理考量之間取得微妙的平衡。定義和實現公平：定義和實現公平：在人工智能中實現公平是多方面的。由于公平原則之間存在不同的解釋和潛在的沖突，準確的定義公平是非常復雜的。實施確保公平的措施往往會帶來重大的技術挑戰，并需要大量資源。解釋的復雜性：解釋的復雜性：人工智能

95、模型，尤其是深度學習模型，可能異常復雜。它們可能由數百萬個參數組成，因此很難理解輸入數據是如何轉化為輸出預測的。創建能準確反映這些轉換的解釋是一項非同小可的任務，需要大量的計算資源和時間。準確性和可解釋性之間的權衡：準確性和可解釋性之間的權衡：更精確的模型，如神經網絡，通?？山忉屝暂^低。另一方面，線性回歸或決策樹等更簡單、可解釋性更強，但模型在執行復雜任務中可能不如前者。如何權衡利弊，開發出既精確又可解釋的模型是一個極具挑戰性的過程。生成式人工智能就是用較低的可解釋性換取較高準確性的最佳范例。缺乏標準化技術：缺乏標準化技術：盡管存在一些解釋人工智能決策的技術（如局部可理解的與模型無關的解釋技術

96、【LIME】、Shap法【SHAP】等），但沒有一種通用的方法。適當的技術可能會根據模型類型和特定應用而有所不同，這意味著開發可解釋的人工智能通常需要定制化的解決方案。2025 云安全聯盟大中華區版權所有45 驗證解釋：驗證解釋：確認由可解釋人工智能技術生成的解釋是否準確反映了模型的決策過程，這本身就是一項復雜的任務。這一驗證過程可能既耗時又耗費計算資源。如今，現有的法律框架還不能很好地解決快速發展的生成式人工智能領域中的非歧視和公平問題。要填補這一缺口，需要公眾的理解、建立共識和制定適應性強的法規。3.3 監管重點和技術監管重點和技術生成式人工智能的監管框架應解決開發和部署生命周期各階段的偏

97、見和公平問題。下文列出了一些監管方面的考慮事項及其對應的解決偏見和公平問題的技術。數據去偏:監管重點：監管重點：可以利用數據隱私法規來確保負責任的數據收集和使用實踐。特定法規可能強制要求對敏感數據使用數據去偏技術處理，或者要求在數據處理管道中提供透明度。技術：技術：數據清理（例如，刪除有偏見的注釋，識別并糾正不一致之處）、數據擴 充（例如，生成合成數據以提高代表性）、數據加權（例如，為代表性不足群體的樣本分配更高的權重）。使用所謂的“安全”或“預處理”（一些專業人士更傾向于“預處理”或“去偏差”）的數據集可以作為起點，但企業應考慮到其局限性，如偏差緩解不徹底、范圍有限以及潛在的信息丟失。像IB

98、M等公司提供此類數據集，作為人工智能開發初始階段的墊腳石，也可根據需要在網上查找參考資料（如維基百科）。適用法規：適用法規：相關法規有：通用數據保護條例（歐盟）規定了數據處理的透明度和負責任的數據收集做法；加州消費者隱私法案(CCPA)規定個人有權訪問、刪除和拒絕出售其個人數據；可能管理用于訓練生成式人工智能模型和人工智能輸出的數據的使用；模型卡片文檔框架（Hugging Face）是一個標準化文檔框架，“尤其側重于偏差、風險和限制部分”。2025 云安全聯盟大中華區版權所有46 算法透明度:監管重點：透明度法規可要求開發人員對模型輸出提供解釋，特別是在影響較大的應用中，這可能涉及標準化的解釋

99、格式或獲取相關數據子集以進行獨立分析。技術：可解釋的人工智能(XAI)方法（如顯著圖、反事實），可解釋模型的決策過程。適用法規：與此相關的有歐盟的人工智能法案(EU AI Act)，該法案要求“高風險”人工智能系統必須透明且可解釋，并可能強制要求使用特定的可解釋人工智能技術；美國國家標準與技術研究院（NIST）的可解釋人工智能四原則（2021 年）；以及模型卡片文檔框架（谷歌研究），該框架倡導“共同理解人工智能模型的價值”。人類監督和反饋:監管重點：法規可能要求對關鍵決策或敏感領域建立特定的人類監督機制。這可能涉及對人類審查員的資格要求、規定的審查協議或已發現的偏見進行強制性報告。技術：人在循

100、環系統中、具有人類反饋循環的主動學習、數據主體的明確同意和人類審查模型輸出。適用法規：美國食品藥品監督管理局（2021）提出的產品全生命周期(Total Product Life Cycle,TPLC)方法提倡人類監督，像“監控人工智能/機器學習設備，并在算法變更的開發、驗證和執行過程中納入風險管理方法以及決定何時為現有設備的軟件變更提交510(k)指導文件18中概述的其他方法?！比斯ぶ悄馨l展中的多樣性、公平性和包容性(DE&I):監管重點：平等和非歧視法律可用于確保人工智能團隊內部的公平招聘和開發實踐。法規可規定開發團隊的多樣性指標，或要求在部署前執行偏見影響評估。技術：在開發團隊中培養多元

101、化思維，將多元化、公平、公正和包容原則納入設計和測試階段，并執行偏見審計和影響評估。2025 云安全聯盟大中華區版權所有47 適用法規：雖然針對人工智能的具體DE&I法規仍在制定中，但企業必須主動采用倫理標準來確保其人工智能系統公平公正，并利用這一機會“將 DEI 嵌入公司的人工智能戰略”（哈佛商業評論，2024年）。行業指南強調，“人工智能的方法必須合乎倫理和公平，以確保它能賦予社區權力并造福社會”（世界經濟論壇，2022年），避免偏見和歧視。算法的透明度和可解釋性算法的透明度和可解釋性:確定對人工智能決策透明度和可解釋性的要求（如可解釋的人工智能倡議），尤其是在高風險情況下。探索要求人工智

102、能決策可解釋性的法規，特別是在高風險應用中，以及這些法規如何影響組織的做法。一些相關文件包括：算法問責法，2021-2022年：這些法案在多個州提出，旨在建立透明度，確保審計用于關鍵決策的人工智能系統，以減少差異影響，“應對人工智能和自動化系統已經造成的問題”。算法問責法案，2023-2024年：算法問責法案（2023年9月）目前處于初步階段，旨在建立一個負責任地開發和使用人工智能系統的框架。雖然具體細節仍在制定中，以下是可能關注的一些領域：透明度和可解釋性：透明度和可解釋性：要求開發人員解釋人工智能系統是如何做出決策的，以提高公眾的理解和信任。數據隱私與安全：數據隱私與安全：建立保障措施，保

103、護用于訓練和部署人工智能系統的個人數據。算法公平性和偏見：算法公平性和偏見：通過解決數據和算法中的偏見，減少可能出現的歧視性結果。風險評估與緩解：風險評估與緩解：識別并解決與人工智能相關的潛在風險，如安全、安全保障和公平問題。隨著該法案在立法程序中的推進，有關治理人工智能和生成式人工智能的具體規定將會更加清晰。2025 云安全聯盟大中華區版權所有483.4 新興監管框架、標準和指南3.4 新興監管框架、標準和指南2023 年人工智能權利法案（白宮藍圖）：這套非約束性的指導方針強調了公平、無歧視地使用人工智能系統的必要性。它建議采取保障措施，防止算法歧視和有害偏見的發生。聯合國關于人工智能的全球

104、決議：聯合國關于支持安全、可信和以人為本的人工智能的決議呼吁成員國促進開發和使用安全、可信、以人為本和透明的人工智能。決議還強調，必須確保使用人工智能是以尊重人權和基本自由為前提，且不帶偏見和歧視。此外，決議還鼓勵成員國共同努力，為開發和使用人工智能制定國際規范和標準。聯合國關于人工智能決議的一些關鍵點包括：鼓勵成員國促進開發和使用安全、可信和以人為本的人工智能。強調在使用人工智能時必須尊重人權和基本自由，同時做到透明，不帶偏見和歧視。呼吁各成員國相互合作，制定開發和使用人工智能的國際規范和標準。鼓勵成員國分享開發和使用人工智能的最佳實踐和經驗，以幫助確保人工智能造福整個社會。呼吁與包括政府、

105、民間社會和行業在內的各部門利益相關者繼續對話和互動，以引導社會以負責任和合乎倫理的方式開發和使用人工智能。美國國家標準與技術研究院（NIST）人工智能風險管理框架：該框架旨在幫助組織識別、管理和減輕與人工智能系統相關的風險，包括與偏見和歧視相關的風險。它鼓勵在人工智能開發中納入多樣性、平等性和包容性等考慮因素。有關該框架的更多細節，請參閱人工智能風險管理框架（人工智能 RMF 1.0）。有效的人工智能法規應促進標準化、問責制和國際合作三個關鍵方面：標準化：標準化：包括建立檢測、預防和減少偏見的通用方法，例如采用ACM圖書館2019年論文中提出的“模型卡片”的標準化格式。問責制：問責制：需要明確

106、的責任和問責框架來激勵負責任地開發和部署人工智能。國際合作：國際合作：通過國際合作實現跨邊界的協調一致和有效地人工智能監管方法。2025 云安全聯盟大中華區版權所有49現有的框架、指南和資源可用于鼓勵以合乎倫理、透明和可信的方式設計、開發、部署和運行人工智能。例如：國際內部審計師協會（IIA）的人工智能審計框架提供了一種全面的方法評估人工智能系統的可信度。它側重于四個關鍵領域：治理、倫理、控制和人的因素。更多關于三個總體組成部分（人工智能戰略、治理和人的因素）以及七個要素（網絡韌性、人工智能能力、數據質量、數據架構和基礎設施、績效衡量、倫理、黑盒）的詳細信息可以在框架文檔中找到。IBM 的“可

107、信賴的人工智能”道德規范提供了確保人工智能的設計、開發、部署和運營符合倫理規范并具有透明度的指導方針。微軟的“負責任的人工智能實踐”是值得信賴的人工智能開發和使用的指南和原則。AWS 的“負責任的人工智能核心要素”是安全、負責任地開發人工智能的指導方針和原則，采取以人為本的方法，優先考慮教育、科學和用戶。谷歌的“負責任的人工智能實踐和原則”旨在采用以人為本的設計方法，以負責任的方式指導人工智能的開發和使用。艾倫-圖靈研究所的“理解人工智能倫理與安全”指南是有關人工智能倫理、潛在益處、挑戰和案例研究的入門資源，突出強調了人工智能倫理問題的案例研究。人工智能伙伴關系的人工智能事故數據庫是一個收集人

108、工智能系統造成意外傷害的真實案例的資料庫，而由電氣和電子工程師協會（IEEE）制定的“倫理協調設計”準則為設計符合倫理、透明和可信的人工智能系統提供了建議和框架。這些資源為促進人工智能合乎倫理的使用提供了建議，同時對用戶保持透明。這些資源還涵蓋了人工智能的潛在益處、實施人工智能所面臨的挑戰以及與人工智能系統造成意外傷害的倫理問題和事件相關的案例研究等主題。OWASP 大型語言模型應用程序10大漏洞項目是一項旨在教育開發人員、設計人員、架構師、管理人員和組織有關部署和管理大型語言模型時潛在安全風險的倡議。該項目提供了大型語言模型應用程序中經常出現的10大最關鍵漏洞的綜合列表，突出強調了這些漏洞的

109、潛在影響、利用的難易程度以及在實際應用中的普遍性。漏洞包括提示注入、敏感信息泄露（數據泄漏）、不安全的插件設計以及未經授權的2025 云安全聯盟大中華區版權所有50代碼執行/模式竊取等。該項目的最終目標是提高人們對這些漏洞的認識，提出補救策略，改善大型語言模型應用程序的安全狀況。同樣，OWASP 機器學習十大風險項目（目前正在起草）全面概述了機器學習系統的十大安全問題。該項目旨在讓開發人員、設計人員、架構師、管理人員和組織了解在開發和部署機器學習系統時可能存在的安全風險。該項目提供了一份機器學習系統中經常出現的關鍵漏洞的綜合清單，突出強調了這些漏洞的潛在影響、利用的難易程度以及在實際應用中的普

110、遍性。這些漏洞包括對抗性攻擊、數據中毒和模型竊取等。該項目的最終目標是提高人們對這些漏洞的認識，提出補救策略，改善機器學習系統的安全狀況。為支持負責任的人工智能實踐，ISO專門制定了幾項關鍵標準。下面是一些例子：ISO/IEC 42001:2023 是一項為人工智能系統提供管理體系框架的標準。該標準概述了管理人工智能系統生命周期（包括其開發、部署和維護）的系統方法。它有助于組織建立和實施一個運作良好的將風險、倫理、社會和法律因素考慮在內的人工智能系統管理系統。該標準強調了開發透明和負責任的人工智能系統的要考慮到各利益相關方的需求。它還鼓勵組織實施負責任的人工智能能實踐和治理，堅持倫理原則，包括

111、尊重人權和隱私。ISO/IEC 23053:2022 是一項為使用機器學習開發、部署和管理人工智能系統提供框架的標準，該標準制定了一個流程模型，概述了開發和部署人工智能系統的數據收集和處理、模型訓練和驗證、系統部署以及持續監控和維護等關鍵活動。該標準強調了以符合倫理和負責任的方式開發和部署人工智能的重要性。它為風險評估和風險管理提供了指導，包括識別潛在風險和降低風險。該標準還涉及與人工智能系統的信任、透明度和問責制有關的問題，強調人工智能輸出結果需要具有可解釋性和可解讀性。如需進一步了解特定行業的人工智能治理與合規情況，請參閱云安全聯盟的人工智能韌性：一項革命性的人工智能安全基準模型文件。20

112、25 云安全聯盟大中華區版權所有513.5 安全、責任和問責3.5 安全、責任和問責生成式人工智能發展迅速，能夠自主生成從創意文本到非常逼真的圖像和視頻等輸出結果，這無疑開創了一個技術奇跡的新時代。然而，這一進步也迫使我們解決有關安全、責任和問責的關鍵問題。最近的一些例子，如Gemini生成帶有偏見的視覺效果（谷歌博客，2024年2月）和加拿大航空公司機器人提供錯誤的退款信息（紐約郵報，2024年2月），凸顯了人工智能不當行為的真實后果。這不得不引起我們的關注：當事情出錯時，誰該負責，誰將首當其沖地承擔生成式人工智能導致的不當甚至危險結果？我們目前是否有必要的立法管理和有效框架保證負責任地使用

113、這一強大的技術？政策制定者和行業領導者如何合作制定負責任地使用生成式人工智能的國際標準？我們可以采取哪些技術保障措施限制惡意使用生成式人工智能的可能性？要降低與生成式人工智能相關的潛在風險，就必須采取多管齊下的方法，包括：行業標準：行業標準：為生成式人工智能的開發、部署和使用制定明確、全面的指導方針。這些指導方針必須優先考慮公平性、減少偏見和負責任的數據處理。法律框架：法律框架：仔細考慮如何平衡責任歸屬與促進負責任的創新，制定能解決人工智能生成內容造成傷害時的復雜責任歸屬問題法律框架。組織風險管理戰略：組織風險管理戰略：為組織配備工具和知識，實施強有力的保障措施和負責任的使用策略，使其能夠有效

114、地評估和管理使用生成式人工智能帶來的風險。3.5.1 生成式人工智能的責任、風險和安全考慮因素生成式人工智能的責任、風險和安全考慮因素盡管生成式人工智能有潛在的好處，但也存在固有的風險。以下是幾個主要的關鍵領域。2025 云安全聯盟大中華區版權所有523.5.1.1 生成式人工智能故障帶來的法律責任風險生成式人工智能故障帶來的法律責任風險 偏見和歧視：偏見和歧視：用有偏見的數據訓練的生成式人工智能模型可能會在生成的內容中延續有害的刻板印象，從而導致歧視性結果。此類法律問題可能涉及不公平的住房、就業/招聘行為、產品推薦或貸款申請/批準等方面。隱私侵犯：隱私侵犯：生成式人工智能系統通常需要訪問大量

115、數據，這引發了對用戶隱私和敏感信息濫用的擔憂。它們可能會無意間泄漏訓練數據中使用的敏感信息，從而導致隱私泄露和法律后果。信息安全和人身安全問題：信息安全和人身安全問題：在醫療保健或自動駕駛汽車等關鍵領域，生成式人工智能的故障可能導致安全隱患、事故責任歸屬問題，甚至人身傷害。虛假信息和惡意使用：虛假信息和惡意使用：生成式人工智能可被用于生成深度偽造內容、操縱內容、生成假新聞、傳播虛假信息等，從而對公眾信任和民主討論構成威脅。這可能會引發誹謗和欺詐性的法律問題。3.3.1.2 責任分配的法律框架責任分配的法律框架確定和分配人工智能系統（尤其是生成式人工智能）所造成損害的責任是一項復雜的法律挑戰?，F

116、有的法律框架往往難以應對人工智能的獨特性，從而導致不確定性。雖然傳統的法律原則，如產品責任法、過失法和數據隱私法可能適用于某些情況和管轄范圍，但人工智能技術的動態性質要求制定新的法律框架。如專門針對人工智能立法算法透明度的新法律，正在不同地區開始出現。這些框架旨在應對人工智能系統帶來的獨特挑戰，重點關注與偏見、問責制、透明度和公平性相關的問題。然而，這些法規的實施和范圍在不同的管轄范圍，甚至不同的使用案例之間都可能存在很大差異。國際倡議，如經濟合作與發展組織（OECD）的人工智能原則，為全球范圍內促進負責任的人工智能發展和部署提供了指導。這些原則倡導人工智能系統內的透明度、問責制和包容性等基本

117、價值觀，為合乎倫理的和可持續的人工智能創新奠定2025 云安全聯盟大中華區版權所有53了基礎。雖然這些原則不具有約束力，但它們構成了制定未來人工智能政策和法規的基礎框架。盡管做出了這些努力，但駕馭圍繞人工智能能責任的法律環境仍然十分復雜。法律解釋和適用性高度依賴于具體情況，需要對每個案例和其所屬的管轄范圍進行透徹分析。因此，在確保合規性和降低人工智能相關風險方面，尋求人工智能法律專家的專業指導至關重要。建立清晰、可預測的法律框架對于促進創新，同時確保用戶安全和社會福祉至關重要。3.5.1.3 保險保險可以通過專門的人工智能責任保險政策，減輕人工智能帶來的風險，分擔人工智能系統造成的潛在傷害的經

118、濟負擔。3.5.2 對生成式人工智能幻覺的保險3.5.2 對生成式人工智能幻覺的保險幻覺保險是隨著生成式人工智能日益融入我們生活和業務的各個方面而出現的一個新概念。顧名思義，該保險旨在減輕“幻覺”-即生成式人工智能系統輸出中的錯誤信息、偏見或事實性錯誤所造成的經濟和聲譽損失。該保險試圖為生成式人工智能幻覺可能帶來的后果提供財務保護，包括：經濟損失：經濟損失：包括糾正錯誤的成本、法律費用、聲譽損失，以及因不準確或誤導性輸出而造成的商機損失。監管罰款費用：監管罰款費用：當人工智能生成的輸出違反法規或倫理準則時，保險有可能幫助支付監管機構施加的罰款或處罰。網絡安全漏洞：網絡安全漏洞：如果生成式人工智

119、能系統遭受攻擊或暴露敏感信息，保險可協助進行補救并承擔潛在的法律后果。以下因素促成了幻覺保險的出現：2025 云安全聯盟大中華區版權所有54 對生成式人工智能的依賴日益增加：對生成式人工智能的依賴日益增加：隨著各行各業越來越多地使用生成式人工智能，對風險管理策略的需求就變得更加迫切。潛在的代價高昂的后果：潛在的代價高昂的后果：人工智能的幻覺有可能造成重大的經濟和聲譽損失，因此保險成為風險管理的重要工具。不斷變化的監管環境：不斷變化的監管環境：隨著有關人工智能使用的法規不斷發展，保險可以確保合規性并降低法律風險。雖然幻覺保險仍處于早期階段，但預計其功能將與其他類型的保險運作類似。企業或個人將支付

120、保費以換取針對特定風險的保障，具體的覆蓋風險以及側重于財務補償還是風險管理策略會根據生成式人工智能的應用和投保人的需求而有所不同。雖然幻覺保險的具體形式和結構仍在確定之中，但隨著生成式人工智能應用的不斷增加，預計這種保險類型將成為保險業的一個新亮點。一些專家認為，幻覺保險有可能成為類似于其他形式的責任保險或網絡保險一樣標準的企業必需品，尤其是對于那些嚴重依賴生成式人工智能的公司而言。從技術角度來看，幻覺保險并非靈丹妙藥。負責任地開發和部署生成式人工智能系統，以及提高用戶意識和批判性思維、人類監督仍然是最小化風險的關鍵因素。盡管如此，這種新穎的保險產品仍有可能為涉足人工智能領域的企業提供急需的保

121、護，促進信任并降低這一強大技術帶來的潛在風險。3.6 知識產權3.6 知識產權生成式人工智能引發了有關所有權、版權和責任歸屬的復雜知識產權討論，而目前這些討論缺乏明確的法律框架。面臨包括所有權不明確、訓練數據可能導致版權侵權以及輸出責任不明確等挑戰。機遇在于制定未來法規、促進創新和探索新的知識產權模式。隨時了解立法更新和法院裁決對于駕馭這一快速演變的環境并做出明智決策至關重要。2020年聯合國人工智能活動報告明確概述了“人工智能技術對知識產權的大量需求”，其依據是2025 云安全聯盟大中華區版權所有55世界知識產權組織（WIPO）研究（2019年）中分析的“自20世紀50年代以來，超過34萬項

122、與人工智能相關專利申請和160萬篇科學論文等相關內容。下文將介紹當前的知識產權框架如何嘗試處理人工智能生成的模型、算法和數據問題，并強調了許可和保護方面的注意事項。3.6.1 著作權、發明權和所有權3.6.1 著作權、發明權和所有權現有的知識產權框架，包括專利、版權和商業秘密，都是以人類創造者為中心建立的。例如，美國版權局拒絕為完全由人工智能創作的作品授予版權。不過，如果存在實質性的人類參與的人工智能輔助創作的作品可以被授予版權。這一概念存在灰色地帶，因為需要多少人類創造力才能獲得版權保護仍然不明確，這可能會在法庭案件中爭論不休。從版權局可以看出，美國的重點仍然是人類的貢獻。法院和立法者很可能

123、需要尋找“足夠的人類作者身份”的證據，比如在訓練數據、提示、設計選擇或創造性元素的選擇等方面。這種不斷發展的環境需要新的框架認可，特別是在人類和人工智能合作創造的共同發明者身份方面。3.6.1.1保護生成式人工智能組件保護生成式人工智能組件 算法與模型：算法與模型：這些通常被視為商業機密，只要保密并且提供了競爭優勢就可以受到保護。保護獨特的算法是一種選擇，但隨著模型的復雜性增加，特別是其內部決策過程和數據依賴性的增加，保密工作變得具有挑戰性。一些關于神經網絡逆向工程和模型盜用的出版物討論了這些挑戰，強調了復雜模型保密的難度。在為模型申請專利方面，大語言模型處理和生成文本或其他輸出的統計方法的核

124、心概念和基本數學原理的屬于抽象概念或自然現象而不能申請專利。但是，如果大語言模型如獨特的架構或訓練算法的具體實現方式符合新穎性和非顯而易見性的標準，則可以申請專利。此外，將大語言模型與特定應用結合（如為醫療診斷量身定制的大語言模型）也可以申請專利，因為這種結合本身就創造了一種獨特的創造性解決方2025 云安全聯盟大中華區版權所有56案。簡而言之，雖然為整個模型申請專利可能比較困難，但如果符合新穎性和非顯而易見性的標準，其中的具體技術特征和特定的實現方式是可以申請專利的。數據數據:所有權取決于來源和用途。公共數據可以自由使用，而授權數據則需要遵守特定條款。人工智能訓練數據的所有權可能很復雜，尤其

125、是在數據是從多方獲取的情況下。2022至2023年期間，使用全球互聯網數據訓練模型不考慮知識產權問題嚴重，導致2023年出現了多起相關訴訟，所以適用數據隱私法規和適當的許可協議是至關重要。3.4.2 版權保護3.4.2 版權保護現行版權法保護原創性表達。人工智能生成的作品提出了作者身份和原創性問題?，F行法律保護人類創作的作品，這對算法生成的作品提出了挑戰。截至本文發表之日，美國版權局拒絕為純人工智能生成的作品提供保護，這引發了國際辯論。一個懸而未決的問題依然存在：人工智能生成的藝術作品（如詩歌或音樂）能否達到原創性保護標準，尤其是在嚴重依賴受版權保護的訓練數據的情況下？當今的立法強調人類在數據

126、選擇、提示、輸出內容的編輯以及訓練數據的合理使用原則中的作用。合理使用原則（美國版權局，2023年）允許在未經版權所有人許可的情況下有限度地使用受版權保護的材料，這種使用方式是對版權材料的轉化性使用，即以版權材料原本未被預期的方式使用。例如，谷歌成功地辯稱，轉化性使用允許其從書籍中抓取文本以創建其搜索引擎，并且目前，這一決定仍然是有先例的。生成式人工智能系統可能在其創造過程中使用網絡抓取數據，也屬于同一類別。3.6.3 專利保護3.6.3 專利保護專利保護新穎和非顯而易見的發明。如果人工智能模型中的算法符合這些標準，就可以申請專利。與版權類似，專利也需要有一個人類發明者。雖然人工智能輔助發明已

127、經存在，但將發明權歸屬于算法的問題仍未解決。2024年，美國專利和商標局提供了一些指導，指出識別人工智能生成發明的非顯性和發明權的歸屬認定可能2025 云安全聯盟大中華區版權所有57具有挑戰性?？紤]的重點應放在技術方面，突出生成式人工智能提供的進步和解決方案，而不僅僅是產出。其中一個關鍵要素是在專利申請中適當（透明）地披露人工智能功能，以避免未來出現異議。3.6.4 商業秘密3.6.4 商業秘密商業機密是提供競爭優勢的機密信息。企業必須以最謹慎的態度保護其商業機密，以免未經授權的實體獲取此類商業機密。雖然根據現行法律人工智能/機器學習的算法、模型和訓練數據可能符合商業機密的標準，但所有管轄范圍

128、的法院尚未對此做出明確裁決。商業秘密保護的要求可能各不相同，因此尋求具體的法律建議是必要的。對于復雜的人工智能/機器學習系統來說，保密可能很具挑戰性，尤其是在開源開發的情況下，重要的是，商業秘密只能提供針對未經授權獲取的有限的保護，而不能防止類似技術的獨立開發。所有利益相關者都必須采取強有力的措施保護其人工智能模型和訓練數據的機密性。3.6.5 許可和保護策略3.6.5 許可和保護策略 開開源模型源模型/共享資源許可：共享資源許可：公開共享人工智能模型可以加速開發，但這是一種“復雜的方法”（Semantic Scholar.org，2021 年），可能會引發對基礎訓練數據的濫用和侵權潛在版權的

129、擔憂。雖然“創作共享”許可可用于人工智能生成的作品，但慎重選擇適當的許可類型至關重要，因為有些許可比其他許可允許更廣泛的商業使用。建議咨詢熟悉開源許可的法律顧問。商業許可：商業許可：開發和部署生成式人工智能模型的公司需要精心設計許可證保護其知識產權，同時允許商業使用。與合作者和用戶簽訂的合同協議應明確界定所有權、使用權和責任。數據許可：獲取用于訓練和微調人工智能模型的數據的適當許可是避免侵犯版權和違反隱私的關鍵。值得注意的是，根據使用的具體數據類型，還可能引發2025 云安全聯盟大中華區版權所有58其他法律問題，例如商業秘密的不當使用或特定于某些數據類型的隱私法律（例如，健康數據）。3.6.6

130、 商標3.6.6 商標商標是指聯邦注冊的符號、單詞或短語，用于識別和區分商品或服務的來源。與商業秘密不同，商標為如徽標、口號或特定的產品設計等標志性的品牌元素提供法律保護。這在人工智能生成圖像領域尤為重要，因為獨特的視覺輸出可以成為寶貴的品牌資產。雖然版權可以保護用于生成人工智能圖像的特定代碼或流程，但生成的圖像本身可能根據其獨特性和商業用途而受到商標保護。圍繞人工智能生成商標的法律環境仍在不斷演變，以下是幾個關鍵的考慮因素：獨特性：獨特性：為了獲得商標保護，人工智能生成的圖像必須具有其本身的獨特性，即不能僅僅是描述性或通用性的。如果人工智能生成的圖像通用或與現有商標相似，就很難獲得保護。作者

131、身份：作者身份：當前的商標法律環境通常要求有人類作者，這就讓了人工智能的發展因創意角色演變而更加復雜。品牌使用：品牌使用：圖像的使用方式必須能夠識別產品或服務的來源。例如，在包裝或營銷材料中持續使用人工智能生成的視覺效果可以加強商標聲明。商標保護不是自動的，需要采取積極主動的措施強制執行。組織有責任注冊并監控未經授權的使用。這可能涉及：商標注冊：商標注冊：在相關商標局注冊人工智能生成的商標可以在出現侵權時加強法律地位。積極監控：積極監控：定期檢查在線市場和競爭對手的活動是否存在潛在的商標侵權行為。執法行動：執法行動：如果發現侵權行為，可能需要咨詢法律顧問，并對未經授權的用戶采取適當行動。企業應

132、采取積極措施，將人工智能生成的圖像作為商標加以保護，確保消費者將獨特的視覺效果與其品牌聯系起來從而維護其競爭優勢。2025 云安全聯盟大中華區版權所有59商標法非常復雜，不同管轄范圍的具體規定可能有所不同。建議咨詢專業的知識產權律師，以獲得通過商標保護人工智能生成圖像的具體指導。3.6.7 變化的形勢:3.6.7 變化的形勢:國際差異：國際差異：目前，各國有關生成式人工智能的知識產權法律不盡相同，這給全球企業帶來了挑戰，需要進行協調才能實現人工智能的國際合作和商業化。雖然在歐盟還沒有明確的指令，但一些國家，如英國，現有的版權立法（1988年版權設計和專利法）已經涵蓋了“計算機生成的作品”。該文

133、件第9(3)條規定“在文學、戲劇、音樂或藝術作品由計算機生成的情況下，作者應被視為為創作該作品而操作計算機的自然人。持續的政策討論：持續的政策討論：關于調整知識產權框架以更好地應對生成式人工智能的獨特挑戰的討論仍在進行中。為人工智能生成的作品提供新的特殊保護（如“訓練人工智能模型的特殊權利”），以及對版權和專利等現有類別進行修訂等事宜也正在進行。展望未來，政策制定者和法律專家正在積極探索應對人工智能產生的知識產權問題的解決方案，我們可以期待持續的辯論和即將到來的立法變革。標準化的許可模式和更清晰的所有權歸屬對于促進負責任和可持續的人工智能發展是迫切需要的。此外，還需要制定更多針對倫理考量的法規

134、，例如訓練數據中的偏見和人工智能生成內容的潛在濫用問題，這些問題需要立法關注。3.6.8 相關立法3.6.8 相關立法 拜登總統在2023年10月發布的關于人工智能的行政令專注于確保人工智能的安全、可靠和可信發展與使用，并涉及數據隱私、倫理、勞動力發展和國際合作等方面。雖然該命令沒有為人工智能生成的成果建立新的知識產權權利，但它承認了圍繞人工智能和知識產權的復雜性，并指出“現有的知識產權法律框架可能并不完全適合解決人工智能所帶來的獨特挑戰”。該行政令認識到需要“清晰且一致的指導”，2025 云安全聯盟大中華區版權所有60并指示包括美國專利商標局（USPTO,2024）和版權局在內的幾個機構，在

135、一年內制定解決與人工智能相關的知識產權問題的推薦方案。世界知識產權組織舉辦了一個“多方利益相關者論壇，以促進對整個經濟和社 會發展中人工智能應用所涉及的知識產權問題及其對經濟和文化產品與服務的創造、生產和分配的重大影響的理解”。世界知識產權組織大會的幾屆會議已經審議了人工智能對知識產權政策的影響。4.負責任人工智能的技術戰略、標準和最佳實踐負責任人工智能的技術戰略、標準和最佳實踐本節總結了我們已經討論過的一些實施負責任人工智能技術的標準和最佳實踐，并提供了一個簡短的案例研究展示成功的實施方法。組織經常面臨的一個共同問題是，如何利用成熟的技術標準，在使用人工智能的過程中展示透明度、問責制和倫理實

136、踐。技術標準可以有多種分類方式。我們采用了簡化的分類方法，以便將來根據需要擴展。4.1 公平與透明度4.1 公平與透明度 數據公平性:數據集的多樣數據集的多樣性：性：積極策劃具有代表性和多樣性的數據集，最大限度地減少輸出中的意外偏差。數據集審計：數據集審計：定期審計生成式人工智能模型的訓練數據集，識別潛在的偏差和不足。采用數據擴充或合成數據生成等技術提高多樣性和包容性。數據透明：數據透明：公布用于訓練生成式人工智能模型的數據集信息，包括其組成、來源和必要的預處理步驟。這樣可以執行外部審查，有助于識別數據中潛在的偏差或差異。定期評估偏差：定期評估偏差：主動實施工具和流程來識別并減輕數據集和生成式

137、人工智能模型中的偏差。定期測試和驗證，檢查是否存在歧視性輸出。減少偏見：減少偏見：在開發和部署階段，積極使用和開發公平性指標和偏差緩解技術，檢測和解決生成式人工智能模型中的偏差。2025 云安全聯盟大中華區版權所有61 算法透明度:文檔：文檔：詳細記錄生成式人工智能模型的設計、架構和決策過程并以可訪問的格式向利益相關者分享這些信息，以促進理解和審查。模型的可解釋性：模型的可解釋性：采用可解釋人工智能技術如局部可解釋模型無關解釋(LIME)或夏普利加性解釋(SHAP)，通過深入了解生成式人工智能模型是如何得出特定結果，來識別潛在的偏差。模型卡片：模型卡片：創建“模型卡片”，以透明的方式概述模型的

138、預期用例、訓練數據、性能指標、局限性和潛在偏差。模型卡片作為機器學習模型的透明文檔，應該詳細說明模型的訓練數據、局限性和預期用途。為了促進責任的人工智能，公司可以利用Hugging Face,TensorFlow Model Garden或Papers With Code等展示的模型卡片，其中包括數據來源、組成和預處理步驟等信息。這樣既能增進信任，又能讓用戶了解人工智能系統的潛在偏差和局限性。開源模型：開源模型：盡可能地貢獻到開源生成式人工智能模型中，以便于更廣泛的審查和協作改進?？山忉屝?可解釋的模型：可解釋的模型：盡可能優先使用具有內在可解釋性的生成式人工智能模型，提供對決策過程的深入了解

139、?？山忉尩娜斯ぶ悄埽嚎山忉尩娜斯ぶ悄埽航Y合使用技術來解釋生成式人工智能模型是如何做出決策或產生輸出的。利用可解釋人工智能技術生成解釋，即使對于黑盒模型也是如此，突出影響輸出的因素。這為用戶和利益相關者提供了推理過程的見解，并促進了對模型功能的理解?？山忉尩慕缑妫嚎山忉尩慕缑妫涸谟脩艚缑嫣峁┣逦慕忉尯屠碛蓙碇С稚墒饺斯ぶ悄艿妮敵?，從而培養信任和理解。4.2 安全與隱私4.2 安全與隱私數據安全：加密：加密：對靜態、傳輸和使用中的敏感數據加密。2025 云安全聯盟大中華區版權所有62 驗證協議：驗證協議：采用強大的身份驗證協議，如多因素身份驗證和零信任安全模式，確保只有經過身份驗證和授權的用戶

140、才能訪問敏感信息和人工智能功能，從而降低未經授權的訪問風險。定期審計：定期審計：定期執行安全審計和漏洞評估，識別和降低潛在的安全風險。隱私保護技術：將融入設計：將隱私原則（如數據最小化、同意、安全性）直接納入生成式人工智能系統的開發和實施中。隱私增強技術：探索保護敏感用戶數據的技術：差分隱私：可以向數據集中添加計算噪聲來匿名化信息，同時保持統計屬性，使得在保護個人隱私的同時能夠分析。聯邦學習：在多個設備或服務器的分散數據上訓練生成式人工智能模型，避免將敏感數據聚集在一個中心位置。同態加密：在不解密的情況下對加密數據執行計算。這樣就可以在不泄露基礎數據的情況下安全地分析敏感信息。防御對抗性攻擊：

141、對抗性魯棒性工具集對抗性魯棒性工具集(ART)：使用對抗性示例訓練生成式人工智能模型，以提高其對故意操縱的抵御能力。雖然ART在某些情況下被證明是有效的，但一些研究人員基于計算成本和易受訓練分布之外的對抗性攻擊等考慮因素，對ART的實際局限性提出了擔憂。安全測試：安全測試：定期執行對抗性攻擊模擬，識別漏洞并改進模型的防御能力。4.3 魯棒性、可控性和合乎倫理的人工智能實踐4.3 魯棒性、可控性和合乎倫理的人工智能實踐 安全性和可靠性：風險評估：風險評估：進行徹底的風險評估，評估生成式人工智能系統的潛在危害和意外后果，并實施緩解措施和保障措施。2025 云安全聯盟大中華區版權所有63 測試與驗證

142、：測試與驗證：在各種場景和邊緣情況下嚴格測試生成式人工智能模型，以確保其在不同情況下的可靠性和魯棒性。最小化傷害：最小化傷害：設計具有保障措施的生成式人工智能系統，最大限度地減少潛在傷害。這可能涉及到“安全開關”或根據應用和所涉及的風險設計限制。人類監督：人類監督：人類干預：人類干預：在關鍵決策過程中保持必要的人類參與，特別是對于高風險應用。允許人類干預，以便在必要時覆蓋或調整生成式人工智能的輸出。故障安全機制：故障安全機制：建立明確的升級路徑和故障安全機制，以應對意外或有害的模型行為，特別是當這些行為被外部用戶報告時。問責制：所有權和責任：所有權和責任：為人工智能系統的開發、部署和監控指定明

143、確的角色和責任，確保個人對技術的影響負責，從而高效地解決問題和改進工作。審計跟蹤：審計跟蹤：保存完整的模型開發、訓練和使用日志。這些審計跟蹤對于調查意外行為或倫理問題非常有價值。報告機制：報告機制：創建開放渠道供內部和外部的利益相關者報告關于生成式人工智能系統的擔憂或潛在問題。這將促進積極反饋并允許迅速采取糾正措施。事件響應：事件響應：建立明確的事件響應計劃和報告機制，以防出現意外結果或與人工智能相關的傷害。倫理審查委員會：倫理審查委員會：建立倫理委員會或審查委員會評估生成式人工智能應用的潛在影響，并確保其符合公司價值觀。偏見和公平性審計：偏見和公平性審計：定期執行審計，以識別并減少生成式人工

144、智能系統的數據集、算法和結果中可能存在的偏差。4.4 組織如何利用這些標準4.4 組織如何利用這些標準有效采用這些技術標準并不僅僅是簡單的理解。組織必須將倫理標準轉化為實際行動，將最佳實踐嵌入開發流程，從而切實確保人工智能得到負責任和合乎倫理的應用。例如:2025 云安全聯盟大中華區版權所有64 制定明確的內部政策：制定明確的內部政策：將這些標準納入內部開發指南和組織政策。在從開發到生產的所有階段，對負責任的人工智能提出明確的期望。文檔記錄和報告：文檔記錄和報告：定期發布有關數據使用、模型性能、偏差評估以及所采取的任何糾正措施的報告。這有助于提高對外部利益相關者的透明度?；锇殛P系與合作：伙伴關

145、系與合作：你并不是孤軍奮戰！與行業團體和合乎倫理的人工智能研究社區合作，為制定最佳實踐做出貢獻，并積極引導有關負責任生成式人工智能的討論。需要注意的是，技術標準只是起點，并不是普遍使用的-其實施應根據具體組織的需求和用例量身定制。采用合乎倫理的人工智能實踐是一個持續的過程（而不是一次性的解決方案），組織需要隨著技術、法規和社會期望的發展不斷調整和更新其流程。4.5 負責任的生成式人工智能的技術保障（數據管理）4.5 負責任的生成式人工智能的技術保障（數據管理）表2概述了一些構建符合最常見數據管理規定的人工智能系統的關鍵技術和最佳實踐。表 2：構建“負責任的”人工智能系統的一些關鍵技術和最佳實踐

146、數據處理數據處理技術技術說明說明數據預處理數據匿名化或偽名化涉及從訓練數據中移除或替換個人可識別信息（PII）以最小化隱私風險。如果訓練中使用了個人可識別信息，則需要仔細清洗輸出。數據過濾選擇和篩選與生成模型特定目的相關的訓練數據，避免不必要的數據收集或數據擴充。數據選擇謹慎選擇訓練數據，以符合預期目的并避免偏差。這包括過濾掉不相關或有害的信息。2025 云安全聯盟大中華區版權所有65數據整理數據擴充添加噪音或生成合成數據等技術可以增加訓練數據的多樣性，從而建立更穩健、更少偏差的模型。模型設計、訓練和優化聯邦學習在分散的數據集上訓練模型，將數據保存在單個設備上，而不傳輸到集中的服務器上。差分隱

147、私在訓練數據中引入隨機噪音 這種噪聲有助于保護個人隱私，因為確切的數據被掩蓋了。不過，如果數據集足夠大，在不識別任何單個數據點的情況下，仍然可以觀察到實際趨勢和模式，因為噪音會在大量人群中產生平均效應，從而加強隱私保護。模型的可解釋性開發模型，使人們了解模型是如何產生結果的，從而更容易識別和減少潛在的偏差或錯誤定期監測和再訓練定期監測模型的性能，并利用更新或整理的數據對其進行再訓練，以解決潛在的問題，如偏離偏差或生成不準確的輸出。超參數調優微調模型的超參數（控制其學習過程）可以影響輸出結果，并有可能減輕意外后果。持續監測和評估定期審計和評估模型使用的數據確保數據符合預期目的，不保留不必要的數據

148、監控模型的輸出結果，防止出現潛在偏差或意外后果實施保障措施，解決任何發現的問題。人在回路技術人類監督將人類監督納入流程，在部署或使用前由人工審核和驗證人工智能的輸出結果。交互式生成設計交互式系統，用戶可以指導人工智能的生成過程，以實現預期結果。2025 云安全聯盟大中華區版權所有66可解釋性和透明度可解釋的人工智能技術采用 LIME、SHAP、Mimic 或 Permutation FeatureImportance 等技術了解模型的推理，并識別潛在的偏差或局限性。開發和部署的透明度對與人工智能/機器學習及其應用相關的局限性、偏差和潛在風險保持透明。4.6 案例研究-在實踐中展示透明度和問責制

149、4.6 案例研究-在實踐中展示透明度和問責制本案例研究展示了企業將人工智能倫理原則轉化為具體開發實踐的實用方法。案例中，這家公司實施了生成式人工智能模型來生成圖像。本案例展示了如何將透明、負責任的人工智能的具體策略和技術標準直接納入其開發和業務流程。其中包括幾個主要步驟：公布模型卡片，概述模型的訓練數據集、局限性和預期用途：公布模型卡片，概述模型的訓練數據集、局限性和預期用途：收集的訓練數據來源清楚，并就具體用途和意圖征得適當同意。數據集具有代表性和多樣性-結合了獲取的客戶數據、公開數據、合成數據以及數據增強-所有這些都是為了最大限度地減少生成的輸出結果出現意外偏差的可能。公司定期審核訓練數據

150、集以及時發現潛在的偏差或代表性不足。該公司公布了用于訓練生成式人工智能模型的數據集的相關信息，包括數據集的組成、來源以及內部使用的預處理步驟。實用方法：實用方法：與Hugging Face上托管的模型卡片類似，該公司提供了基于TensorFlow Modern Garden的詳細模型卡片，概述了生成式人工智能模型的訓練數據。該模型卡片包括有關數據來源（如客戶數據、公開可用的數據集）、組成（如文本、圖像）和預處理步驟的信息。這種透明度使用戶能夠了解模型的潛在偏差和局限性。采用可解釋人工智能技術，采用可解釋人工智能技術，在生成圖像的同時提供人類可理解的解釋，闡明影響輸出的因素。這些解釋突出了促成圖

151、像輸出的關鍵因素，使用戶能夠：2025 云安全聯盟大中華區版權所有67 理解生成圖像背后的原理：理解生成圖像背后的原理：通過使生成式人工智能模型的決策過程透明化，讓用戶深入了解模型生成特定圖像的原因。這將促進信任，并在理解模型推理的基礎上做出明智的決策。識別潛在的偏見：識別潛在的偏見：可解釋人工智能技術解釋可暴露訓練數據或模型本身的潛在偏差。這使用 戶能夠客觀評估輸出結果，并確定是否存在任何歧視或不公平因素。調試和改進模型：調試和改進模型：通過分析解釋并了解特定因素如何影響輸出，開發人員可以找出模型的潛在缺陷，并努力提高其準確性和公平性。建立人類審核流程和執行偏差驗證是每個測試周期的一部分：建

152、立人類審核流程和執行偏差驗證是每個測試周期的一部分：該流程專為敏感/高風險用例設計，有幾個關鍵方面需要考慮：標記標準：標記標準：制定清晰明確的標準，結合人類審查。這包括模型行為中被視為意外（可能有害）變化的特定輸出，或模型可信度低于特定閾值的情況。審核團隊的組成：審核團隊的組成：組建一個由業務利益相關者與技術所有者和數據科學家密切合作組成的多元化、高素質的人類審核團隊。該團隊擁有必要的專業知識，能夠理解模型的目的、潛在偏差及其輸出結果的倫理影響。審查程序：審查程序：為審查標記輸出結果制定明確的標準化程序。這包括評估潛在的偏差，確保與倫理準則保持一致，并確定適當的行動，如模型重新校準或數據清理。

153、將偏差驗證納入測試周期：將偏差驗證納入測試周期：偏差驗證不應是一次性事件，而是貫穿 生成式人工智能模型開發和部署生命周期的持續過程。在公司層面采用了以下策略：采用不同的數據集進行測試，采用不同的數據集進行測試，以幫助診斷訓練數據中存在的潛在風險。利用公平性指標：利用公平性指標：在整個開發過程中實施并監控公平性指標，這有助于識別和量化模型輸出中的潛在偏差。定期對模型輸出執行偏見審核，以發現并減少潛在的歧視行為：定期對模型輸出執行偏見審核，以發現并減少潛在的歧視行為：這些審核涉及人類專家、數據科學家和業務利益相關者的合作，分析模型的輸出是否存在意外偏差，例如在圖像生成時偏向特定的人口統計或延續有害

154、的刻板印象。一旦發現問題，就會實施適當的緩解策略（例如，使用增強數據集重新訓練模型、調整模型算法等）。2025 云安全聯盟大中華區版權所有68組織應該通過借鑒這些行業標準和最佳實踐，采取積極措施確保以合乎倫理和負責任的方式使用其生成式人工智能模型，并與消費者建立信任。5.持續監測與合規持續監測與合規隨著生成式人工智能日益融入我們的生活和商業實踐，確保安全和合乎倫理地使用生成式人工智能至關重要。持續監測和合規成為生成式人工智能有效治理的關鍵環節，使我們能夠持續評估潛在風險并堅持負責任地使用生成式人工智能。合規不僅僅是跟上不斷發展的法律步伐。要確保負責任地使用生成式人工智能，需要對其生命周期的每個

155、階段進行仔細評估，同時積極規劃持續合規性。這可能是一項復雜的工作，通常需要雙管齊下：1.建立健全的監測流程：建立健全的監測流程：這包括持續監測生成的內容和整個開發過程。這包括檢測數據、模型和輸出中的偏差，同時驗證數據隱私法規和道德處理的遵守情況。這種積極主動的方法可以促進公平性和包容性，同時防止生成的內容被濫用，如 深度偽造和有害內容。持續監測有助于解決兩個關鍵問題：它可以主動識別和消除訓練數據和算法中的偏差，促進公平性和包容性；其次，它有助于識別生成內容的潛在濫用，使公司能夠遵守倫理準則，防止錯誤信息的傳播。2.制定全面的合規計劃：制定全面的合規計劃：該計劃應概述識別和降低與生成式人工智能活

156、動相關的潛在合規風險的程序。主要考慮因素包括：數據安全和隱私：數據安全和隱私：根據適用法規，實施強有力的保障措施，在數據收集、存儲和處理過程中保護敏感信息至關重要。偏見與公平：偏見與公平：定期評估并減少訓練數據和模型輸出中的潛在偏差，以確保公平性和非歧視性。透明度和可解釋性：透明度和可解釋性：確保用戶了解生成式人工智能工具如何工作及其輸出結果背后的原理，對于建立信任和問責至關重要。2025 云安全聯盟大中華區版權所有69通過積極監測合規性并實施適當的保障措施，組織可確保負責任和合乎倫理地使用生成式人工智能，從而增強用戶和利益相關者的信任。6.管理生成式人工智能的法律與倫理考量管理生成式人工智能

157、的法律與倫理考量要有效管理生成式人工智能，就必須駕馭法律和倫理因素之間復雜的相互作用。合法性側重于遵守既定的法律和法規，而這些法律和法規往往落后于生成式人工智能的快速技術進步。這就造成了灰色地帶，為倫理框架提供了指導其發展和部署的空間。在法律上，重點是遵守知識產權、數據隱私和非歧視等現行法律。這就需要建立相關框架，確保負責任的開發、透明的數據使用，以及對生成式人工智能產出可能造成的傷害承擔明確責任。如前所述，人工智能生成的內容可能會侵犯版權，而數據隱私法規則涉及如何使用用戶信息訓練和運行這些系統。此外，確保公平和減少人工智能產出中的偏見對于避免社會不平等現象的長期存在也至關重要。倫理方面的考慮

158、不僅僅是遵守法律。它們包括更廣泛的社會價值觀和原則，以確保負責任地使用生成式人工智能并使其受益。圍繞偏見、透明度、問責制和技術的潛在濫用等關鍵問題都屬于倫理范疇。要解決這些問題，需要開發人員、決策者和公眾之間不斷對話與合作，為生成式人工智能融入生活的各個方面制定倫理準則和最佳實踐。隨著生成式人工智能的日益普及，出現了幾個熱門話題。人們擔心人工智能自動化會導致工作崗位流失、深度偽造可能會操縱公共言論，以及使用生成式人工智能創建有偏見的內容，這些都是需要認真關注的領域。要解決這些問題，需要政策制定者、開發者、企業利益相關者和公眾共同努力，制定一個全面的治理框架，平衡創新與社會福祉。7.結論：填補人

159、工智能治理空白，實現負責任的未來結論：填補人工智能治理空白，實現負責任的未來人工智能治理的現狀揭示了一個復雜的格局，其中有幾個關鍵的挑戰，需要全世界的政策制定者和監管機構立即予以關注。一方面，雖然現有法規間接涉及人工2025 云安全聯盟大中華區版權所有70智能，但缺乏必要的針對性，無法有效應對這一不斷發展的技術所帶來的獨特挑戰。相反，生成式人工智能 技術的迅速擴散，以及它們與日常生活各個方面的融合，凸顯了對全面立法的迫切需求。這一差距要求制定新的法規，為負責任地開發、部署和使用人工智能系統（包括生成式人工智能）確立明確的指導方針。此外，人工智能治理領域缺乏國際合作，導致法律環境碎片化，這可能會

160、阻礙創新，并引發對未來差異和跨管轄范圍的潛在不一致性的擔憂。這種協調不足可能造成漏洞，并對追究人工智能相關傷害行為者的責任帶來挑戰。隨著生成式人工智能的迅速普及及其日益融入我們的日常生活，應對這些挑戰的緊迫性也隨之增強。公司將人工智能視為一種競爭優勢，即使在缺乏健全法規的情況下，也推動了人工智能的快速應用。生成式人工智能在各行各業的應用日益廣泛，使其有可能成為創新和顛覆的有力工具。與生成式人工智能造成的損害有關的訴訟的出現清楚地提醒我們，解決監管漏洞和防范潛在負面影響迫在眉睫。為了邁向負責任的未來，我們應該采取多層面的方法：1.加快制定人工智能法律法規：加快制定人工智能法律法規：立法者必須優先

161、考慮制定全面、適應性強的人工智能法規，同時考慮到與生成式人工智能相關的具體需求和潛在風險。這需要政府、行業專家和民間組織合作，建立有效的倫理框架。2.國際合作與協調：國際合作與協調：促進人工智能治理方面的國際合作對于解決各管轄區之間的分散和不一致問題至關重要。建立國際框架和標準，同時尊重國家和地區的特殊性，將促進負責任的創新，并確保有效的跨管轄范圍問責制。3.技術標準和負責任的發展：技術標準和負責任的發展：制定和實施強有力的技術標準和最佳做法，對于在所有部門進行負責任的人工智能開發和管理至關重要。這些全面的指導方針將使公司、開發者和決策者能夠建立符合倫理考量的人工智能系統，優先考慮公平性和透明

162、度，并最終為社會做出積極貢獻。盡管缺乏全面的法規，但如今企業在人工智能系統設計方面面臨著越來越嚴格的審查。人們越來越需要明確的指導，以正確地將人工智能集成到產品和服務中，如“內置”或“設計”。本文以實用的方法強調了正確應用技術標準的重要性，并對這些標準如何在當前立法環境下支持負責任的人工智能發展提供了初步或有限的理解。2025 云安全聯盟大中華區版權所有71展望未來，實現生成式人工智能的有效治理需要迅速采取行動。政策制定者必須優先考慮制定和實施兼顧創新與維護社會利益的法規。國際合作對于建立統一標準和防止相互沖突的監管框架至關重要。適當的立法將減輕公司的負擔，因為它們面臨越來越嚴格的審查，以確保其人工智能產品嚴格減少偏見和歧視，并遵守安全部署的最佳實踐。這強調了所有利益相關者日益認識到合乎倫理和負責任的人工智能發展的重要性，突出了監管支持在指導行業實踐中的關鍵作用。2024云安全聯盟大中華區版權所有35