Chris Tozzi | Tháng Hai 21
Chris Tozzi là một nhà văn tự do, cố vấn nghiên cứu và giáo sư về CNTT và xã hội, trước đây từng làm nhà báo và quản trị viên hệ thống Linux.
Quy định và tuân thủ AI là một chủ đề phức tạp và phát triển nhanh chóng, đặc biệt là do có sự khác biệt trong các quy tắc tuân thủ AI giữa các ngành và khu vực pháp lý khác nhau. Không ai có thể dự đoán các quy định về AI có thể thay đổi như thế nào trong tương lai và việc tìm ra những quy định nào áp dụng cho AI ngày nay có thể là một thách thức thực sự đối với các doanh nghiệp mong muốn triển khai và quản lý hệ thống AI.
Mặc dù các nhiệm vụ tuân thủ mạnh mẽ tập trung vào AI có thể chưa tồn tại nhưng các khu vực pháp lý như Trung Quốc và Liên minh Châu Âu đang bắt đầu thiết kế các quy định dành riêng cho AI. Ngoài ra, một số luật đã có sẵn có các điều khoản mà các cơ quan quản lý hiện đang giải thích cho AI.
Với các quy tắc khác nhau và đôi khi mơ hồ, rõ ràng rằng quy định và tuân thủ AI là một lĩnh vực chưa được khám phá. Tuy nhiên, vẫn có thể xác định được các xu hướng tổng thể. AI và kỹ sư học máycũng như các doanh nghiệp đang tìm cách sử dụng AI, có thể triển khai các biện pháp như quyền riêng tư và tính minh bạch của dữ liệu ngay hôm nay để giúp đảm bảo tuân thủ AI trong tương lai.
Quy tắc tuân thủ AI hiện tại
Các quy định và yêu cầu tuân thủ ảnh hưởng đến AI có thể được chia thành hai loại: những quy định tập trung cụ thể vào AI và những quy định ảnh hưởng đến AI nhưng không được thiết kế riêng cho nó.
Quy định tập trung vào AI
Tính đến đầu năm 2024, rất ít luật tuân thủ được thiết kế dành riêng cho AI có hiệu lực. Có lẽ chuyên ngành duy nhất ví dụ là Các biện pháp tạm thời của Trung Quốc để quản lý các dịch vụ AI sáng tạo, quy định cách sử dụng AI sáng tạo ở nước này.
Tuy nhiên, các biện pháp tạm thời của Trung Quốc tương đối chung chung và phi kỹ thuật. Họ khuyến khích các nhà phát triển AI đảm bảo rằng nội dung do AI tạo ra là “tích cực, lành mạnh, truyền cảm hứng và lành mạnh về mặt đạo đức”, theo Lexis China’s dịchnhưng họ không cố gắng chi phối thiết kế hoặc hoạt động cụ thể của các mô hình AI tổng quát.
Trong khi đó, các nhà lập pháp EU đang nỗ lực hướng tới quy định mang tính bước ngoặt về AI dưới dạng Đạo luật AI. được giới thiệu vào năm 2021 nhưng vẫn chưa có hiệu lực. Luật này sẽ cấm sử dụng AI ở EU cho một số mục đích nhất định, chẳng hạn như nhận dạng khuôn mặt của người dân ở nơi công cộng và áp đặt các yêu cầu về bảo mật và quyền riêng tư đối với các ứng dụng dựa trên AI trong các bối cảnh khác.
Hoa Kỳ hiện thiếu bất cứ thứ gì tương tự như khuôn khổ tuân thủ AI quốc gia, ngay cả ở dạng dự thảo. Tuy nhiên, vào tháng 10 năm 2022, chính phủ liên bang Hoa Kỳ được phát hành Kế hoạch chi tiết cho Tuyên ngôn về Quyền của AI, trong đó đưa ra các nguyên tắc được thiết kế để bảo vệ các cá nhân khỏi việc lạm dụng AI. Mặc dù hướng dẫn này có thể ảnh hưởng đến luật AI trong tương lai ở Hoa Kỳ nhưng hiện tại nó không áp đặt bất kỳ yêu cầu cụ thể nào liên quan đến AI.
Các quy định và luật tuân thủ ảnh hưởng đến AI
Hầu hết các quy định pháp lý hiện hành ảnh hưởng đến AI đều xuất phát từ các luật, mặc dù ban đầu không được thiết kế cho AI, nhưng đều có ý nghĩa đối với cách sử dụng AI.
Một luật quan trọng là của EU GDPRcó hiệu lực từ năm 2018 và áp đặt nhiều yêu cầu khác nhau liên quan đến quyền riêng tư và bảo mật dữ liệu. Vì các mô hình AI phụ thuộc nhiều vào dữ liệu cho mục đích đào tạo và vận hành nên GDPR có những tác động quan trọng đối với AI.
Ví dụ: GDPR bao gồm một điều khoản cấp cho các cá nhân quyền quyền được lãng quên bằng cách tiết lộ dữ liệu cá nhân của họ. Do đó, doanh nghiệp sử dụng dữ liệu cá nhân của khách hàng để đào tạo các mô hình AI của mình sẽ cần đảm bảo rằng doanh nghiệp có thể xóa dữ liệu liên quan đến khách hàng cụ thể theo yêu cầu.
Một ví dụ khác là Đạo luật về quyền riêng tư của California (CPRA), có hiệu lực đầy đủ vào năm 2023. CPRA bao gồm nội dung yêu cầu một số doanh nghiệp nhất định tiết lộ thời điểm họ sử dụng thuật toán để đưa ra quyết định tự động về con người. Các cơ quan quản lý CPRA hiện đang thảo luận về cách giải thích và thực thi quy tắc đó khi áp dụng cho AI và học máy. Ở mức tối thiểu, có vẻ như các doanh nghiệp tuân theo CPRA sẽ cần nêu rõ bất cứ khi nào họ sử dụng AI để đưa ra quyết định ảnh hưởng đến con người.
Các chủ đề mới nổi trong quy định về AI
Bởi vì hiện nay có rất ít quy định về AI có hiệu lực – và hầu hết vẫn còn phải được giải thích – nên còn quá sớm để nói chính xác việc tuân thủ AI sẽ ảnh hưởng đến doanh nghiệp như thế nào trên quy mô lớn. Tuy nhiên, các quy định hiện hành và dự thảo luật cho thấy một số chủ đề chính sẽ chiếm ưu thế.
Tiết lộ là chìa khóa
Cho dù công ty sử dụng AI như thế nào, chỉ cần nói rằng công nghệ AI đang được sử dụng có thể sẽ là một thành phần quan trọng của quy định AI. Mặc dù các quy định như GDPR và CPRA không áp đặt các yêu cầu cụ thể về cách sử dụng AI nhưng chúng yêu cầu các công ty phải nêu rõ rằng họ đang sử dụng nó, ít nhất là khi nó ảnh hưởng đến các cá nhân.
Mức độ rủi ro AI ảnh hưởng đến các quy định
Một số khung pháp lý về AI, chẳng hạn như Đạo luật AI của EUáp dụng cách tiếp cận dựa trên rủi ro đối với quy định. Các trường hợp sử dụng AI mà cơ quan quản lý cho là có rủi ro cao, chẳng hạn như những trường hợp ảnh hưởng đến chăm sóc sức khỏe hoặc quyền riêng tư cá nhân, phải tuân theo các quy định chặt chẽ hơn so với việc triển khai AI ở mức độ thấp hơn, chẳng hạn như đề xuất sản phẩm được cá nhân hóa trên trang web bán lẻ. Điều này có nghĩa là các cơ quan quản lý có thể yêu cầu các biện pháp bảo vệ khác nhau cho các hệ thống AI khác nhau, tùy thuộc vào trường hợp sử dụng mà hệ thống hỗ trợ.
Luật AI thiếu tính đặc thù kỹ thuật
Cho đến nay, không có khung pháp lý hoặc quy tắc dự thảo AI chính nào cố gắng xác định các thông số kỹ thuật để thiết kế hệ thống AI. Ví dụ: không có quy định bắt buộc tuân thủ nào về loại mô hình AI nào được chấp nhận hoặc khuôn khổ nào mà các kỹ sư AI và máy học có thể sử dụng. Dựa trên các khuôn khổ hiện tại, các quy định trong tương lai dường như có thể cho phép mọi phương pháp tiếp cận kỹ thuật nếu nó phù hợp với các yêu cầu về quyền riêng tư và bảo mật cấp cao.
Quy định không phân biệt các loại AI
Tương tự, hầu như không có luật hiện hành nào phân biệt giữa các loại AI khác nhau, chẳng hạn như AI tổng hợp và AI dự đoán; Các yêu cầu của Trung Quốc về AI có thể tạo ra là một ngoại lệ. Thay vào đó, hầu hết các quy định đều nhằm mục đích áp dụng các quy tắc giống nhau cho tất cả các loại AI, điều đó có nghĩa là loại hệ thống AI mà công ty chọn không có khả năng ảnh hưởng đến các quy định AI mà công ty cần tuân thủ.
Việc thực thi vẫn chưa rõ ràng
Nhiều quy định về AI quy định mức phạt tối đa; chẳng hạn, các công ty vi phạm Đạo luật AI của EU có thể phải đối mặt với mức phạt lên tới 35 triệu euro. Nhưng cụm từ chính ở đây là “tối đa” và vẫn chưa rõ các cơ quan quản lý sẽ kiện những người vi phạm và thi hành các hình phạt mạnh mẽ đến mức nào. Một số nhà quan sát có phàn nàn về việc thực thi lỏng lẻo các luật như GDPR và có thể các quy định tập trung vào AI cũng sẽ áp đặt các quy tắc tương tự được hỗ trợ bởi hành động hạn chế.
Điểm mấu chốt về quy định AI
Đối với các công ty đang tìm cách tận dụng AI, vẫn chưa rõ AI sẽ được quản lý chính xác như thế nào. Tình hình có thể sẽ rất khác trong một hoặc hai năm kể từ bây giờ, vì ngày càng có nhiều luật tuân thủ có hiệu lực và việc thực thi sớm các luật đó sẽ tạo ra tiền lệ.
Hiện tại, có vẻ như đây là một sự đặt cược an toàn rằng doanh nghiệp sẽ cần ưu tiên bảo mật dữ liệu và tính minh bạch, đặc biệt trong trường hợp họ sử dụng dữ liệu cá nhân để giúp đào tạo các mô hình AI hoặc thúc đẩy việc ra quyết định tự động. Ngoài ra, do các trường hợp sử dụng AI khác nhau có thể phải tuân theo các mức quy định khác nhau dựa trên rủi ro, nên các doanh nghiệp hoạt động trong các ngành mà cơ quan quản lý coi là có rủi ro cao – chẳng hạn như tài chính và chăm sóc sức khỏe – có thể sẽ phải đối mặt với các yêu cầu khắt khe hơn những ngành khác.
