人工智能治理十二项评估：加拿大西部机构的实用指南

您的组织几乎肯定已经引入了人工智能。无论是网站上的客服聊天机器人、人力资源部门的自动化筛选系统、能够根据需求动态调整价格的定价工具，还是员工自发使用的生成式人工智能助手，人工智能从试点项目到日常运营的转变速度远超多数领导团队的预想。如今的问题不是您的组织是否使用人工智能，而是是否有人监督人工智能的运用方式。 对于加拿大西部各地的机构来说，这个问题尤为关键。监管环境正在逐步演变。政府开始制定法律，打击利用人工智能对消费者和员工进行歧视的行为。隐私专员正积极调查人工智能如何……法院已裁决部分组织需对其人工智能工具的输出结果承担责任。此外，人工智能的实际应用与相关政策之间的差距正随着时间推移不断扩大。 本洞察旨在为那些意识到需要掌控人工智能治理但不知从何下手的组织提供一个实际的出发点。它围绕十二个要点展开——六个基础治理领域和六个直接风险领域——共同构成对贵组织人工智能治理的全面审视。这并非合规检查清单，而是一个框架，旨在帮助您在内部提出正确的问题，识别风险最高的领域，并着手构建能够使贵组织在不断变化的监管环境中保持优势的架构。最后，它提供一个健康检查，您的领导团队可以围绕这十二个要点共同完成。 即使没有全面的人工智能法律，人工智能治理为何此刻如此重要？ 加拿大目前尚无专门监管人工智能的全面联邦法规。作为C-27号法案一部分的《人工智能和数据法案》提案，在2025年1月议会休会期间未能继续推进。在正式立法缺失的情况下，加拿大发布了《高级生成式人工智能系统负责任开发和管理自愿行为准则》（以下简称“准则”）作为指导。2025年5月，联邦政府任命了加拿大首位负责人工智能和数字创新事务的部长，这表明人工智能政策仍是政府优先事项，新立法很可能即将出台。 然而，尽管尚无专门针对人工智能的法律，但这并不意味着人工智能不受监管。现有法律框架已对部署人工智能系统的机构施加了实质性义务，而加拿大西部地区的机构需遵守联邦和省级法律的综合规定，这些法律均明确适用于人工智能相关活动。 规范人工智能使用的主要法律是隐私法，尽管加拿大的联邦《竞争法》确实制定了与竞争对手之间的协议和垄断有关的一般市场框架法律，其中可能涉及如何收集和使用数据。 在阿尔伯塔省和不列颠哥伦比亚省，省级《个人信息保护法》(PIPA) 规范私营部门对个人信息的收集、使用和披露，并被认为与联邦《个人信息保护和电子文件法》(PIPEDA) “基本相同”。在萨斯喀彻温省和曼尼托巴省，PIPEDA 直接适用于私营部门的商业活动，因为这两个省份尚未颁布本省基本相同的私营部门隐私立法（曼尼托巴省此前曾试图通过第 200 号和第 207 号法案来制定类似立法，但均未成功）。无论适用哪项法规，任何处理个人信息的 AI 系统都会触发有关同意、目的限制、透明度和安全保障等方面的义务，您的组织必须立即履行这些义务。 阿尔伯塔省对《个人信息保护法》(PIPA) 的立法审查也值得密切关注。审查该法案的委员会于2025年初完成了报告，并建议进行实质性修订，包括建立基于处罚的执法机制，以及要求对去标识化和匿名化数据的处理制定明确的定义、标准和定期风险评估——所有这些都与处理海量信息的AI系统直接相关。 实际意义显而易见：在联邦人工智能法案出台前才建立内部治理机制，意味着要接受一段时期内不受现有法律约束的风险。而那些现在就开始行动的组织，则能在法律环境变化时更好地适应，而不是事后手忙脚乱地进行合规调整。 要点1-6：人工智能治理需要从哪里开始 人工智能治理的概念乍看之下似乎难以理解。人工智能评估的前六个要点着重于加拿大西部所有组织都必须建立的基础治理结构。这些结构是基石，缺少它们，几乎不可能应对随之而来的具体法律风险。 了解你拥有哪些人工智能。 任何人工智能治理项目中最重要的第一步，就是清晰了解组织实际使用的人工智能工具。这听起来简单，但实际上是常见的盲点之一。组织经常发现，各个部门的员工在没有IT监管或管理层批准的情况下，就已经在使用人工智能工具——例如生成式人工智能写作助手、转录服务、数据分析平台等。这种情况有时被称为“影子人工智能”，它代表着大量未经监控的数据泄露和合规风险。 您的AI资产清单应涵盖所有正在使用的AI系统，包括您组织已获得许可的现有软件平台中嵌入的工具（例如内置的AI写作助手和视频会议平台中的自动会议摘要）。对于每款工具，您的组织都应该能够回答以下基本问题： 它处理哪些数据？ 这些数据存储在哪里？ 该供应商是否使用客户数据来训练或改进其模型？ 数据存储在加拿大境内还是传输到其他司法管辖区的服务器？ 如果没有这份基准清单，治理就无从谈起，因为你无法管理你没有识别出来的东西。 建立可接受的使用界限 了解组织正在使用哪些人工智能工具后，下一步是制定清晰的内部规则，明确人工智能在组织内部的使用规范。人工智能可接受使用政策无需冗长或复杂，但必须以书面形式制定，并传达给所有员工，以及（如适用）其他人员，例如承包商。 至少，一套可接受的使用政策应明确规定哪些类别的信息可以输入人工智能工具，哪些类别的信息不可以输入（尤其要关注个人信息、商业机密数据和受法律保护的材料）；哪些人工智能工具获准使用，哪些未经批准；在依赖或对外共享人工智能生成的输出结果之前，需要进行哪些人工审核和监督；以及组织内部由谁负责审批新的人工智能工具或用例。政策还可以包括员工培训指南、知识产权方面的考虑（例如人工智能生成输出结果的所有权），以及员工是否必须向客户或其他利益相关者披露工作成果中使用了人工智能技术。 未能设定这些界限的组织往往会发现，他们的员工正在做出个人冒险决定，而如果问领导层的意见，没有人会批准这些决定。 正面应对隐私义务 对于大多数加拿大西部地区的组织而言，隐私法是人工智能领域最具约束力的监管框架。人工智能系统本身就是数据密集型的。它们会收集、处理个人信息并生成输出，而这些方式很容易超出组织已获得的同意范围，或者与最初收集信息的目的不符。 部署人工智能系统的组织应该问自己，他们是否拥有对其人工智能工具处理的个人信息的权限，他们的隐私声明和同意机制是否足以涵盖与人工智能相关的个人信息使用，他们是否已经对人工智能驱动的系统进行或更新了隐私影响评估，以及他们的数据保留和去标识化做法是否考虑到了人工智能系统存储和重用信息的方式。 联邦隐私专员一直积极通过调查、指导文件和公开声明来填补监管空白，强调人工智能相关数据使用的必要性、比例性和透明度。各省隐私专员也同样表达了更高的期望。例如，阿尔伯塔省信息与隐私专员办公室已经发布了关于医疗保健行业使用的人工智能记录工具必须进行隐私影响评估的指导意见。那些在采用人工智能时将隐私合规视为次要考虑因素的机构，将面临根据现有法律采取的执法行动。 明确内部责任 当人工智能治理缺乏统一的责任主体时，它就会失效。在许多组织中，人工智能的采用是由各个部门（市场部、人力资源部、运营部、财务部等）各自为政、独立部署工具，缺乏协调。其结果是，组织内部的人工智能应用呈现出碎片化的状态，没有任何个人或团队能够全面了解组织的整体人工智能应用情况。 有效的AI治理需要有人负责。这并不一定意味着要设立新的职位或聘请AI专家。而是要指定一个人或一个小型跨职能团队，负责维护AI资产清单、监督合理使用政策、就合规问题与法律顾问协调，并在出现AI相关问题时作为联络人。 对于加拿大西部许多中型企业而言，这项职责可能自然而然地由现有的隐私官、合规主管或总法律顾问承担。关键在于问责机制必须明确、有据可查，并得到领导层的支持。 培训董事会和员工 人工智能治理方案的有效性取决于执行该方案的人员素质。这正是加拿大西部许多机构存在显著缺陷的地方：他们或许已经采用了人工智能工具，甚至制定了可接受使用政策，但却没有投入足够的资源，确保董事会、高层领导和一线员工真正理解这些工具带来的风险以及机构所承担的义务。 董事会层面的AI素养至关重要。董事负有信托责任，必须监督风险，而AI引入了诸多风险类别——算法偏差、隐私泄露、AI生成结果造成的声誉损害以及监管不合规——许多董事会目前尚不具备评估这些风险的能力。董事会成员无需成为技术专家，但他们需要充分了解AI系统的工作原理，以便提出有见地的问题、评估管理层的风险报告并进行有效的监督。如果董事会无法实质性地参与应对与AI相关的风险，则说明其未能履行治理职责。 对于员工而言，培训必须实用且与岗位相关。使用人工智能聊天机器人的客服团队需要了解该工具的局限性以及何时需要升级处理。使用生成式人工智能撰写内容的营销团队需要了解其中涉及的知识产权和准确性风险。使用人工智能辅助筛选工具的人力资源团队需要了解自动化决策对人权的影响。通用的、全公司范围的意识提升培训固然重要，但它们无法替代将人工智能风险与员工日常实际工作联系起来的针对性培训。 培训也应该是持续性的，而不是一次性的。贵组织使用的AI工具会不断变化，监管要求也会不断演变，风险也会随之改变。至少每年一次的培训更新，可以确保员工的理解能力与贵组织的AI应用保持同步。 密切关注监管动态 加拿大的人工智能监管环境并非一成不变。如果机构脱离监管发展而孤立地构建治理方案，则可能构建出与法律发展方向不符的架构。在联邦层面，AIDA 和《人工智能发展法典》的核心概念——基于风险的人工智能系统分类、人工监督要求和问责义务——持续影响着监管思路，并有望为后续立法提供指导。 在省级层面，立法审查和监管指导正在加速推进。联邦《自动化决策指令》适用于政府对人工智能的使用，同时也为寻求评估自身治理实践的私营企业提供了一个有用的参考模型。竞争局也一直在研究人工智能与竞争法的交叉领域，包括算法定价和人工智能驱动的欺骗性营销行为等问题。此外，省级人权立法适用于导致歧视性结果的人工智能驱动决策，无论这种歧视是否出于故意。 组织无需准确预测下一项立法的具体内容。它们需要的是足够灵活的治理结构，以便随着需求的变化而调整，而不是需要从头开始重建的僵化框架。 第7-12点：贵组织应密切关注的六个风险领域 在完善治理基础之后，人工智能检查的第二部分将转向加拿大西部企业最有可能立即面临的具体法律风险领域。这些问题将检验您的治理结构是否真正有效。 你对人工智能所说的话负有责任。 如果您的组织使用聊天机器人、虚拟助手或任何与客户沟通的自动化系统，您需要明白，即使系统出现错误，您也需要对其所说的话负责。例如，在 Moffatt 诉加拿大航空一案（2024 BCCRT 149）中，加拿大航空因其客户服务聊天机器人提供的错误信息而被判承担责任。该聊天机器人建议客户可以追溯申请丧葬优惠票价，这与加拿大航空的标准流程相悖。客户基于对聊天机器人陈述的信赖，成功获得了赔偿。 这符合既定的原则，即实体对其工具（包括预编程和自动化系统）的行为负责。对于部署面向客户的AI工具的加拿大西部企业而言，实际经验教训显而易见：做好尽职调查，定期审核AI工具的准确性，确保其提供的信息符合您当前的政策和实践，并审查您的服务条款和免责声明是否充分。记录您对AI工具进行的任何审核和测试活动，并确保使用这些工具的员工了解他们有责任独立验证任何AI生成的输出。 知识产权风险并非理论上的。 如果您的组织使用生成式人工智能来创建内容、营销材料、报告或其他工作成果，那么您将面临一系列尚未解决的知识产权问题，这些问题现在就会造成真正的商业风险。 首要问题是，您的机构能否拥有其利用人工智能（AI）创作的作品的版权。根据《版权法》，版权仅存在于“作者”创作的原创作品中，而加拿大法律历来将作者身份理解为需要一位运用“技能和判断力”的人类创作者。加拿大知识产权局已注册至少一项作品，将人工智能列为共同作者，但该注册正受到萨缪尔森-格鲁什科加拿大互联网政策与公共利益诊所的挑战，该诊所认为，在加拿大，人工智能不能作为版权意义上的作者。此案尚未作出裁决，挑战的结果或许能让我们更深入地了解加拿大对人工智能所有权的态度。加拿大政府就生成式人工智能时代的版权问题开展的咨询证实，利益相关者普遍支持将人类作者身份作为版权保护的核心。如果生成式人工智能在极少人类创意投入的情况下生成内容，那么该作品是否享有版权保护仍存在疑问——这意味着您的机构可能无法保护其付费创作的作品。 第二个问题是人工智能训练数据带来的侵权风险。大型语言模型和图像生成器使用庞大的数据集进行训练，其中可能包含受版权保护的材料。加拿大新闻出版商联盟已对 OpenAI 提起诉讼，指控其未经许可使用其内容训练 ChatGPT。该诉讼已通过管辖权挑战，将在安大略省继续进行。此外，加拿大各地的联邦和省级法院也已提起多起集体诉讼。如果您的组织在其产品、营销或面向客户的工作中使用生成式人工智能输出，而这些输出包含或高度复制了训练数据集中的受版权保护的材料，则您可能面临后续的法律风险。 第三个问题可以说是所谓的“黑箱”问题。生成式人工智能系统在生成内容时可能不会公开其所依赖的