在 Incyber 2025论坛,欧洲网络安全和技术调节会议,圆桌会议 在紧急情况下生成AI 汇集了法律,网络安全和数据治理的专家,围绕一个核心问题: 我们可以建立一种通用语言来大规模监督生成AI吗?
答案是在三个监管和规范支柱上出现的: GDPR,l’AI行为,于2024年3月通过 ISO 42001,首先要在组织内部构建AI的治理。
“您必须摆脱GDPR的市场后逻辑。AIACT施加了设计。»»»»»»
– 夏洛特·鲍罗(Charlotte Barreau),CNIL的专家IA。
三个文本,三个逻辑…相同的目标
这 GDPR自2018年以来有效,已定义了保护个人数据的第一原则:最小化,同意,透明度,访问权。但这不是针对特定技术的。本质上是不可知论的。
L’AI行为另一方面,引入了另一种逻辑:根据AI系统的风险水平(最小,有限,高,不可接受)对AI系统进行分类,并在部署前施加合规义务。他将AI视为 产品在营销之前要确保。
最后,标准 ISO 42001,于2023年底出版,提供了 运营IA治理框架,与风险管理的主要原则保持一致。它不能取代法律,而是结构实施。
“ ISO 42001是意图的证明。它正式列出了创新,安全和责任之间的仲裁。»»»»»
– 朱利安·理查德(Julien Richard),英国标准机构(BSI)。
风险方法,而不是通过工具
人工智能法案的主要贡献之一是提出一个新的方程式:不是有问题的技术,而是它们的影响。医疗聊天机器人或算法评分人力资源工具具有与电子商务网站上推荐引擎相同的含义。
“ AI ACT将逻辑转换为AI AI AI AI ALAGIC或医疗设备。»»»»
– 夏洛特·鲍罗(Charlotte Barreau),CNIL。
另一个休息时间: 举证责任 现在是设计师的责任。记录数据集,确保模型的鲁棒性,绘制迭代,解释决策逻辑。
标准化:实施工具,不容易合规
ISO 42001标准不会造成法律义务,而是有助于遵守文本。它允许公司结构:
-
- 他们的治理IA(角色,责任,过程)
- 特定于模型的风险分析
- 生命周期的监测
- 与欧洲监管要求保持一致
“我们摆脱了冻结的标准。我们现在正在谈论生活,共同建设,可互操作的标准。»»»»
– 朱利安·理查德(Julien Richard),BSI。
这对于想要的公司特别有用 预计审核,将其AI政策与CSR目标或敏感部门的B2B客户(健康,金融,国防)保持一致。
从个人权利到系统责任
GDPR仍然专注于个人的权利:同意,健忘,便携性。 AI ACT和ISO 42001引入了一个新层: 集体责任面临系统性风险(偏见,不透明,歧视,内容操纵)。
“ GDPR问一个问题:数据属于谁?AI法案问:我们该怎么办?»»»»
– Incyber 2025论坛上CNIL / BSI交叉干预的摘要。
合规性=转换杆
长期以来被认为是约束,合规性成为结构的机会。 Ciso de Zalando的Florence Moutet通过解释她的业务如何将监管用作治理引擎来回忆起:
“为AI法案做准备使我们能够正式化所有团队共有的方法。»»»
Zalando通过框架用途,确保创新,避免使用不受控制的用途(Shadow AI),并为公司做好准备,为环境做准备 可追溯性,鲁棒性和透明度 将变得不可谈判。
正在建设的普通语法
这三个文本 – GDPR,AI ACT,ISO 42001-没有相同的法规,也没有相同的周围。但是他们汇聚一点: 面对人工智能,要求组织更具战略性的成熟。
“法律不能实时遵循技术。但是他可以解决游戏规则。”
– 夏洛特·鲍罗(Charlotte Barreau),CNIL。
合规性成为律师,工程师,经理,产品设计师之间共享的语言。它使您可以超越孤岛,协调专业知识,并每条代码的锚定责任。
