全球各地都在不断推出新的监管进展,以加强人工智能(AI)模型和软件的网络安全。这些措施旨在加强数字系统对黑客和破坏行为的防御,推动各行业对AI的信任,这种信任正是当前亟需的。
事实上,考虑到网络犯罪的成本预计到2028年将达到13.82万亿美元,并且随着新一代网络犯罪分子能够访问越来越复杂的AI,犯罪成本可能会以更高的速度增长,因此对技术的信任显然开始减弱。
虽然这些新措施代表了应对当前网络安全挑战的重大进展,但关于监管框架的未来适应性和有效性,尤其是在开发者社区中,仍然存在诸多问题和担忧。
事实上,在最近一次针对英美国开发者的调查中,72%的受访者表示,旨在保护隐私的法规并未为未来做好准备,其中56%的受访者认为,动态的监管结构,这些结构本应适应技术进步,可能构成实际威胁。一个特别令人担忧的方面是,AI系统需要庞大的数据集进行训练,而这些数据集通常包含敏感的个人信息。考虑到这一点,变化或不一致的法规可能会在如何保护这些敏感数据方面产生漏洞或空白,从而增加数据泄露或滥用的风险。
随着法规的演变,确保AI训练中使用的个人信息的安全和隐私将变得越来越困难,这可能会导致个人和组织面临严重后果。
同一项调查还显示,30%的开发者认为,监管机构普遍缺乏对所监管技术的理解,并未具备足够的技能来理解他们负责监管的技术。
如何设计灵活且有效的监管框架
随着技能和知识的缺乏,再加上快速发展的AI和网络安全威胁,监管者在创建既灵活又有效的监管框架时,究竟应当牢记哪些关键点?
我的观点是,首先,监管者应当了解所有可能的隐私增强技术(PETs)。虽然一些PETs已经被用来最小化数据泄露的风险,但还有其他一些技术在我撰写本文时正在发展,这些技术在保障敏感数据和保护隐私方面具有巨大的潜力。了解每种技术的优缺点,有助于制定灵活的采用策略,而不是试图创建一套统一的政策来一次性涵盖所有情况。例如:
认证技术:多因素认证(MFA),开发者通常将其集成到认证系统中,提供额外的安全层,广泛用于从在线银行到企业软件等应用程序中。生物识别认证是另一种先进且安全的方法,利用独特的生物特征,如指纹或面部识别。另外,展望未来,采用联合身份机制,如FIDO(快速身份认证)或OpenID Connect,前景广阔。这些机制不仅增强了安全性,还简化了跨多个平台的用户认证过程,为身份管理提供了统一且安全的方式。
端到端加密(E2EE):这种技术通过确保数据从发送者到接收者之间加密,防止未经授权的访问,即使是服务提供商也无法访问。然而,实现E2EE可能比较复杂且需要大量资源,通常需要强大的计算能力和复杂的密钥管理。由于E2EE防止服务提供商访问数据,它也可能妨碍服务提供商帮助恢复数据或遵守法律信息请求,这在刑事调查或数据恢复的情况下可能是一个问题。
全同态加密(FHE):尽管FHE仍被认为处于完全实现的早期阶段,但近年来已经取得了显著进展。这种加密类型支持在无需解密的情况下对数据进行处理,是AI与数据安全的完美结合,因为它允许组织在不妥协用户隐私期望的情况下使用技术。例如,金融机构可以使用FHE在不暴露任何个人数据的情况下,在银行之间保密地训练欺诈检测AI模型,而医疗提供者可以在不暴露患者隐私的情况下执行预测诊断。
多方计算(MPC):这项技术通过提供给最终用户解密加密数据的能力,来补充FHE,前提是用户被验证有权访问这些数据。MPC允许指定实体的一个法定人数参与协作协议,并在重新加密数据之前,就如何控制访问达成共识,从而授权最终用户访问明文数据。协议中的每个实体仅拥有私密解密密钥的一部分,因此无法单独解密任何数据。此外,明文数据仅对最终用户可见。
合作的重要性,持续评估与适应
一旦监管者对PETs有了充分且最新的了解,而这些技术远不止上述几种,下一步是政策制定者确保监管措施既不抑制技术进步,又能有效防御网络威胁。
为了制定能够随着技术进步而演变的细致且有效的隐私政策,必须记住,它们并非在真空中运作。并没有期望它们单独负责这一工作。相反,政策制定者应该与技术创造者共同合作,而技术创造者也应该在设计技术时考虑现有的监管框架,而不是指望新的框架适应他们。
此外,将持续学习纳入组织内的文化也是至关重要的,同时要允许员工参加行业活动和会议,跟上最新的技术发展,并与专家们进行交流。可能的话,我们应该与行业进行合作,例如,邀请技术公司代表来举办内部讲座或演示。
我坚信,在将越来越复杂的系统,如AI、物联网(IoT)和先进数据分析,融入到我们的日常生活,并且随着网络威胁的潜力增长时,以上所有因素都应当被考虑进去。
通过面向未来的法规,我们可以确保我们不会不断追赶网络罪犯,而是积极保护我们的数字基础设施。通过采用动态和适应性强的监管框架,我们可以更好地保护敏感数据、保障用户隐私,并保持公众对数字技术的信任。
