从原则到实践：在动态监管环境下负责任的人工智能

微信扫码，打开到小程序

1 ©2025 云安全联盟大中华区版权所有 2 人工智能治理和合规工作组永久的官方网址是： https:/cloudsecurityalliance.org/research/working-groups/ai-governance-compliance © 2025 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查 看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文 只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改；(c)本文不得转发；(d)该商标、 版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文内 容，使用时请注明引用于云安全联盟大中华区。 ©2025 云安全联盟大中华区版权所有 3 ©2025 云安全联盟大中华区版权所有 4 致谢 报告中文版支持单位 北京数安行科技有限公司（简称：数安行）是一家数据安全厂商。公司主 营产品涵盖数据分类分级、数据安全沙箱、下一代数据泄露防护、数据安全检 查、数据安全风险态势感知、数据安全风险监测与风险评估、数据合规与隐私 保护、数据运营安全等，主要为政府、军队、企事业单位提供数据运营安全产 品和服务。数安行以DataSecOps为理念，以AI人工智能技术为核心驱动，将数 据安全左移，在数据处理的第一现场对数据采取安全措施，平衡业务与安全， 打造以数据运营为核心的数据安全生态体系，助力数字化转型，致力于让用户 的数据安全地创造价值。公司核心团队拥有20余年产研和市场服务经验，技术 积累雄厚，服务于能源、电力、金融、运营商、教育、高端制造、软件与信息 技术服务、互联网、医疗、政府、军队军工等各行业客户。 ©2025 云安全联盟大中华区版权所有 5 报告英文版编写专家 主要作者 Maria Schwenger Louis Pinault 参与编辑 Arpitha Kaushik Bhuvaneswari Selvadurai Joseph Martella 审稿人 Alan Curran MSc Udith Wickramasuriya Piradeepan Nagarajan Rakesh Sharma Gaetano Bisaz Hongtao Hao Jan Gerst AshishVashishtha Gaurav Singh Ken Huang Frederick Hänig Dirce Hernandez Tolgay Kizilelma, PhD Saurav Bhattacharya Michael Roza Gabriel Nwajiaku Vani Mittal Meghana Parwate Desmond Foo Lars Ruddigkeit Madhavi Najana CSA 全球工作人员 Ryan Gifford Stephen Lumpe ©2025 云安全联盟大中华区版权所有 6 目 录 安全声明 .......................................................... 8 前瞻性声明和人工智能的发展前景 .................................... 8 文档摘要 .......................................................... 9 执行摘要 ......................................................... 10 引 言 ............................................................ 11 范围和适用性 ..................................................... 12 1. 生成式人工智能法律和监管的重点领域 ............................ 14 1.1 数据隐私和安全 ............................................ 14 1.2 通用数据保护条例(GDPR）（欧盟） ........................... 14 1.3 《加州消费者隐私法案》/《加州隐私权法案》(CCPA/CPRA) ...... 17 1.4 欧盟人工智能法案(EU AI Act/EIAA) .......................... 22 1.5 《医疗电子交换法案(HIPAA)》 ............................... 31 2. 如何应对生成式人工智能的幻觉对数据隐私、安全和伦理的影响 ...... 36 2.1 国土安全部政策声明139-07对生成式人工智能的影响 ............ 37 2.2 联邦贸易委员会政策宣传与研究指导: ......................... 37 2.3 美国白宫管理和预算办公室（OMB）在联邦机构使用人工智能的治理、 创新和风险管理的政策 .......................................... 38 2.4 拜登总统关于安全、可靠和负责任地开发和使用人工智能的行政令 40 3. 非歧视与公平 .................................................. 41 3.1 部分现行反歧视法律法规 .................................... 41 3.2 监管方面的挑战 ............................................ 44 3.3 监管重点和技术 ............................................ 45 3.4 新兴监管框架、标准和指南 .................................. 48 3.5 安全、责任和问责 .......................................... 51 3.6 知识产权 .................................................. 54 4. 负责任人工智能的技术战略、标准和最佳实践 ...................... 60 4.1 公平与透明度 .............................................. 60 ©2025 云安全联盟大中华区版权所有 7 4.2 安全与隐私 ................................................ 61 4.3 鲁棒性、可控性和合乎伦理的人工智能实践 .................... 62 4.4 组织如何利用这些标准 ...................................... 63 4.5 负责任的生成式人工智能的技术保障（数据管理） .............. 64 4.6 案例研究--在实践中展示透明度和问责制 ...................... 66 5. 持续监测与合规 ................................................ 68 6. 管理生成式人工智能的法律与伦理考量 ............................ 69 7. 结论：填补人工智能治理空白，实现负责任的未来 .................. 69 ©2025 云安全联盟大中华区版权所有 8 安全声明 本文仅供参考，不构成法律建议。 本研究文件由云安全联盟编写，探讨了当前围绕人工智能的监管治理情况。 虽然本文涉及各种法律和监管框架，但必须强调的是，所提供的信息不适用于 任何特定情况的法律指导。 人工智能的监管环境正在迅速演变，法律法规的解释和应用会因各种因素 而存在很大差异，这些因素包括： ● 管辖范围（国家或地区） ● 具体的情景（如行业、应用场景等） ● 具体的人工智能技术或应用 因此，云安全联盟和本文作者强烈建议，如果有任何与人工智能开发、部 署或使用相关的法律层面的问题或疑虑，应单独寻求法律顾问的意见。 前瞻性声明和人工智能的发展前景 本文包含了一些可能具有前瞻性的陈述。为确定其适用性，我们鼓励向相 关的国家监管机构和法律顾问寻求指导。需要注意的是，这些陈述是作者和云 安全联盟基于当前的知识和预期所做，受固有风险、不确定性和假设的影响， 部分陈述可能与实际结果存在差异。 以下是可能影响人工智能领域未来发展和相关监管环境的一些重要因素， 也是可能影响本文件中前瞻性陈述准确性的因素所在： ● 技术的快速进步：人工智能领域不断发展，新的技术和应用层出不穷， 很难预测这些技术进步的确切轨迹及其对人工智能监管各方面的影响。 ● 监管框架的不确定性：对人工智能的监管方法仍在开发，不同管辖范 围内对人工智能开发、部署和使用的具体规定可能存在较大差异，并可能随着 时间的推移而发生变化。 ©2025 云安全联盟大中华区版权所有 9 ● 新兴的伦理考量：随着人工智能应用变得越来越复杂，可能会出现新 的伦理考量，促使更多有关负责任的开发和使用这些技术的法规或指导原则出 台。 ● 经济和社会因素：整体经济环境和对人工智能的社会态度，可能会影 响新技术的开发、采用及监管环境。 这些关于前瞻性的陈述仅反映作者和云安全联盟本文件发布之日的观点， 作者和云安全联盟不承担更新或修改本文档中任何前瞻性陈述以反映未来事 件或情况的任何责任。请读者不要过度依赖这些陈述。 文档摘要 本文围绕人工智能和生成式人工智能（GenAI）的法律和监管环境论述。 主要强调了生成式人工智能在复杂多变的环境中面临的挑战，这些挑战源于生 成式人工智能自身的多样化应用、全球监管机构采取的不同监管方法，以及对 现有规定的延迟适应。 本文旨在为各组织提供基本知识，帮助其从根本上了解自身的现状，并为 他们在快速变化的负责任、合规地使用人工智能方面的需求提供指导。本文探 讨了部分现行法规，并阐述了在地区、国家和国际层面开发和部署负责任的人 工智能的注意事项和最佳实践。 本文高度概括了当前人工智能（包括生成式人工智能（GenAI））的法律 和监管情况。虽然内容并非详尽无遗，但对于组织来说，这是一个了解自身现 状并确定负责任和合规的使用生成式人工智能应该考虑哪些关键因素的起点。 由于技术的不断进步以及法律和政策环境的演变，提供一份完整的概述是 具有挑战性的。因此，我们建议将这些信息作为了解不断演变的人工智能法规 和监管机构的基础。重要的是要意识到，人工智能法规来自全球各级政府和司 法管辖区。此外，尽管数据隐私和反歧视法规等法律不是专门为人工智能设计， 但这些法律将决定人工智能的使用范围和方式。例如，在美国，人工智能将受 到城市、州和联邦法律、政府行为、行政令、自愿行业协议甚至普通法的监管。 ©2025 云安全联盟大中华区版权所有 10 在准备人工智能项目时，需要考虑到人工智能法规的起源并不总是直观的，因 此需要细致分析。首个具有深远影响的法律框架是欧盟《人工智能法案》，因 为它保障了个人和企业的安全及基本权利。如果某些人工智能应用干扰或威胁 到公民权利，则会遭到禁止。如大语言模型等高风险人工智能系统可能会对健 康、安全、基本权利、环境、民主和法治造成重大损害，预计将出台相关法规 加以监管。 执行摘要 人工智能正在迅速改变我们的世界，并且具有重塑社会基本结构的巨大潜 力。然而，这种变革力量也带来一个严峻的挑战：当前的法律和监管环境很难 跟上人工智能，尤其是生成式人工智能爆炸性增长的步伐。本文旨在提供现有 法律法规及其对人工智能开发、部署和使用影响的高层次概览。我们的目标是 确定立法滞后的领域，并寻求实际的方法部署负责任的人工智能。当前的环境 缺乏完善的立法，在解决日益复杂的人工智能功能的潜在风险方面存在差距。 这导致现有规定，如《通用数据保护条例(GDPR)》和《加州消费者隐私法案(CCPA) 》/《加州隐私权法案(CPRA)》，虽然为数据隐私提供了基础保障，但并未针 对人工智能开发的独特挑战提供具体的指导，而且不足以满足例外情况下的需 求。随着大型科技巨头计划向人工智能投资数千亿，预计技术创新的步伐不会 放缓，技术革新的快速步伐已经超出了立法适应的能力。 一个令人担忧的缺口正在出现：生成式人工智能的广泛使用，无论是个人 还是专业用途，都伴随着治理缺失的问题。恶意行为者已经开始利用生成式人 工智能执行复杂的攻击，公司也将生成式人工智能视为一种竞争优势，从而进 一步加快了生成式人工智能的应用。 尽管这种快速应用令人兴奋，但需要伴随着负责任的人工智能开发实践， 而这些实践不能抑制创新。理想的解决方案是营造一个鼓励负责任的、透明和 可解释的人工智能使用的全球环境，并辅以清晰实用的指导原则做支持。为了 ©2025 云安全联盟大中华区版权所有 11 弥合人工智能的无限潜力与负责任开发需求之间的差距，我们需要一种三管齐 下的合作方法：所有科技公司对负责任的人工智能做出承诺，政策制定者提供 明确的指导，立法机构制定有效的法规。 本文以立法和法规为重点，开启了关于人工智能治理的重要论述。它为涉 足人工智能领域的从业者和企业提供了对当前人工智能治理环境及其不足之 处的基础理解。旨在通过强调这些不足，促进一场关于负责任人工智能开发和 应用所需法律框架的公开讨论。 引 言 人工智能领域的迅速扩展，需要法律和监管环境的不断演变，以确保在保 护个人和社会的同时，负责任地发展、部署和创新。 了解人工智能的道德和法律框架有助于组织实现三个关键目标： ● 建立信任和品牌声誉：通过展示透明、负责任的人工智能实践，与利 益相关者建立信任，并提升品牌声誉。 ● 降低风险：积极采用这些框架并利用基于风险的方法，有助于降低与 不负责任的人工智能使用相关的潜在的法律、声誉和财务风险，从而保护组织 和个人。 ● 促进负责任的创新：通过坚持最佳实践、保持透明度、问责制和建立 强大的治理结构，组织可以培育一种负责任的和安全的人工智能创新文化，确 保人工智能在发展的同时对社会产生积极影响。通过多样化的团队、全面的文 档记录和人类监督，负责任的人工智能将通过减轻偏见、及早发现问题以及与 现实世界保持一致，增强模型表现。 ©2025 云安全联盟大中华区版权所有 12 范围和适用性 由于人工智能，更具体地说是生成式人工智能（GenAI）本身具有多样性， 如何应对复杂的法律环境就成为了一个巨大的挑战。本文深入探讨了围绕人工 智能的监管环境，涵盖了诸如生成逼真文本格式（代码、脚本、文章）的深度 学习模型、处理视觉内容（面部识别、深度伪造）的计算机视觉应用、稳定扩 散（文本到图像模型）以及在自主系统（自动驾驶汽车、机器人）中使用的强 化学习算法等多样化系统。更广泛的类别，如生成式对抗网络和大语言模型等， 是众多生成式人工智能应用的基础，要求在监管中将其纳入考虑。由于现行立 法在适应这一动态环境方面面临挑战，因此有必要采取细致入微的方法管理这 一广泛、快速发展的系统。由于竞争压力，快速发展的技术渗透到我们的生活 和商业实践中，但与此同时，法律框架却不完善且适应缓慢，造成了一种严峻 的局面。本文将探讨： ● 最广泛使用的现有法规如何参与解决生成式人工智能的特定领域问题。 ● 制定新法规面临的一些挑战和机遇。 ● 使用可解释的人工智能技术制定负责任的人工智能原则的高级建议和 最佳实践。 本文采用阶段性的方法分析人工智能治理，重点关注以下几个方面。 ©2025 云安全联盟大中华区版权所有 13 表1：治理领域范围 现行文件 未来考虑因素 国家最高级别的政府机构或联邦政府的立法： ●美国： ○ 行政令 （例如，维持美国在人工智能领域的领导 地位，以及关于安全、可靠和值得信赖的开发 与部署人工智能技术的行政令） ○ 国会法案 （例如，2023年算法责任法案（提案） ● 欧盟: ○ 欧盟委员会政策文件 （例如，《可信人工智能伦理指南》） ○ 法规 （例如，《人工智能法案》） 国家层面: ● 亚太地区的一些规定： 中国（已颁布）（科学技术部）、日本（内阁 府）、韩国（科学技术信息通信部）、新加坡 、印度的国家政策是“全民人工智能” ● 其他正在制定人工智能政策的国家（加拿 大、英国、澳大利亚） 主要地区性法规: ● 《 加州消费者隐私法案(CCPA)》 ，由《加州 隐私权法案(CPRA)》修订 ● 《通用数据保护条例(GDPR)》 国际组织：正在探索框架的有： ● 经济合作与发展组织（关于人工智能的建 议） ● 联合国教科文组织（关于人工智能伦理的 建议）。 ● 全球人工智能合作伙伴关系（GPAI） 汇 集来自科学界、产业界、民间社会、政府、 国际组织和学术界的专长，以促进国际合作 。 ● ISO/IEC 42001:2023 (人工智能管理系统 标准) ● OWASP大语言模型应用的10大安全风险 ©2025 云安全联盟大中华区版权所有 14 1. 生成式人工智能法律和监管的重点领域 1.1 数据隐私和安全 生成式人工智能在数据隐私和安全领域存在独特的挑战，能够从大量数 据中学习，从而引发了人们对在整个人工智能开发和部署生命周期中如何收 集、存储、使用、共享和传输个人信息的关注。包括《通用数据保护条例(GDPR)》 、《加州消费者隐私法案(CCPA)》、《加州隐私权法案(CPRA)》和《医疗电 子交换法案(HIPAA)》在内的多项现行法律法规，旨在保护个人隐私和数据 安全，具体如下： 1.2 通用数据保护条例(GDPR）（欧盟） ● 适用范围：《通用数据保护条例》适用于在欧洲经济区(EEA)内处 理个人数据的任何组织。 ● 主要条款: ○ 处理的合法依据、公平性和透明度：组织处理个人数据必须有 合法依据（如用户同意、正当利益等）。它要求向个人明确提供关于数据收 集和处理目的的具体的信息。 ○ 数据最小化：将个人数据的收集和保留限制在所述目的所规定 的范围内。 ○ 数据主体的权利：授予个人对其个人数据的各种权利，包括访 问、更正、删除和限制处理的权利。 ○ 安全措施：要求组织采取适当的技术和措施来保护个人数据免 遭未经授权的访问、披露、更改或破坏。 ○ 自动化个体决策制定，包括画像：对于包括画像的自动化决策 制定，必须征得数据主体的明确同意（《通用数据保护条例》第22条）。 ● 生成式人工智能的《通用数据保护条例》合规性： ©2025 云安全联盟大中华区版权所有 15 欧盟《通用数据保护条例》 要求在处理个人数据（包括用于人工智能 系统的数据）时必须征得数据主体同意。此外，数据保护的要求意味着系统 必须遵守《通用数据保护条例》原则，如合法性、公平性、透明度、目的限 制、数据最小化、准确性、存储限制、完整性和保密性。 1.2.1