法律、合规和隐私热点

私热点 Objectives Gartner法律、合规和隐私风险热点阐明了法律和合规领导者在未来24个月内应预期的主要风险趋势和机会。该报告可用于: 评估未来需求-将当前功能和结构与推动未来法律、合规和隐私需求的趋势进行比较。 教育董事会和高管-对审计委员会或董事会进行有关影响您的业务的趋势的教育，合规性和隐私影响将影响监督责任和组织绩效。 通知法律、合规和隐私规划-指导团队讨论，制定2024年和2025年计划，并针对最重大的风险分配资源。 评估关键风险- 使用该报告评估热点的影响如何影响您的风险状况，作为法律、合规性和隐私风险评估的输入。 执行摘要 为了帮助法律领导者了解当前环境中出现的风险和机遇，我们在本报告中确定了12个趋势为热点。该报告重点关注到2025年底这些趋势的影响，以及领导者需要采取的行动项目，以更好地准备法律、合规和隐私功能来应对。 尽管个别热点可能会或多或少地影响某些行业，市场或地区，但所有热点都广泛地应用于行业和公司运营模式。这12个热点构成了三个宏观趋势，这些趋势将在未来两年内对法律，合规性和隐私团队产生重大影响。 1.生成AI的到来 3.社会破裂对企业的影响 2.对公司透明度和公平性的需求不断增长 供应链可持续性，企业公民意识差，对关键基础设施脆弱性的担忧以及对反竞争力的担忧正在为公司在新领域收集和报告ESG指标提出新的要求。法律领导者必须在准备公司以满足未来几年的这些新要求方面发挥领导作用。 更大的社会两极分化以及由自由贸易规范和共同制度所支撑的基于规则的全球秩序的磨损给企业带来了更大的挑战。应对这些破裂的商业领袖被迫与“零和情况”作斗争，在这种情况下，来自不同社会和政府利益相关者的公司期望处于直接冲突中。 能力和可用性的提高促使公司广泛采用GenAI。但是，在开发AI法规的同时，不确定性和不可预见的风险比比皆是。企业将不得不应对这些挑战，以确保在道德和法律上使用这项强大的新技术。 … …的组织目前在生成人工智能的探索模式。1 ...美国人同意公司需要 披露更多关于他们的商业惯例和对社会的影响。2 ...全球范围内的个人说他们的国家更加分裂比过去。3 热点摘要 热点摘要 热点摘要 研究摘录：生成AI的到来 快速生成AI采用 GenAI工具的复杂性和可用性的快速发展将促使公司在未来几年内迅速广泛采用。OpenAI的Chat GPT 3.5于2022年11月推出。其简单的用户界面和令人印象深刻的响应用户提示构建自然语言文本的能力使其成为增长最快的应用程序永远。4用于视觉输出的DALL - E和用于语音音频的Voicebox等工具显示出同样令人印象深刻的结果。 驱动程序 •增加可达性和易用性： 虽然GenAI工具变得更加强大近年来，非技术专业人员在可用性和可访问性方面的巨大飞跃增加了采用率。 尽管许多AI工具适用于狭窄的应用程序，但GenAI能够响应简单的用户提示提供合成文本、音频或视频输出的能力可用于各种业务任务。Gartner的研究表明，72%的公司已经在使用GenAI，其中45%的公司在两个以上的业务职能中使用它。5 •GenAI产品的扩散：包括谷歌、微软和IBM在内的最大的企业软件提供商已经投资构建基础模型，目前正在将GenAI集成到他们的服务中。到2026年，超过70%的独立软件供应商将在其企业应用程序中嵌入GenAI功能。7 虽然这项技术的快速采用是有希望的，但它带来了新的 法律和隐私风险。GeAI输出是不完美的，通常会放大用于训练模型或输出捏造信息的数据集中存在的偏差。此外，输入个人数据或敏感信息的用户，特别是在公开可用的工具中，会使公司面临知识产权、隐私风险或网络攻击。虽然68%的公司已经拥有一个管理人工智能隐私、安全和/或风险的工作组，但法律领导者将需要引导这种治理，以更好地管理法律风险，并提高对GeAI使用的可见性，而不会对业务造成不必要的拖累或扼杀创新。6 •提高生产力的愿望：GenAI承诺自动化一些工作流，同时增强个人的工作速度和质量。到2026年，超过80％的公司将在生产环境中使用GenAI API，模型和/或部署支持GenAI的应用程序。8 快速生成AI采用(续) 快速生成AI采用 法律、合规性和隐私影响 对新风险的可见性有限 对AI治理的投资需求日益增长 •易于采用，在整个业务中的广泛适用性以及GenAI工具对不同任务的灵活性意味着高风险用途可以轻松地在保证合作伙伴的雷达下飞行。 •随着GenAI工具变得越来越普遍，对负面结果的问责不力可能会导致滥用，进而导致不可接受的法律和隐私风险。 •检测和管理这些风险的新流程将需要时间来开发和推出，从而使业务在过渡期间面临风险。同样，限制风险的净新义务将给员工带来额外的负担，可能会限制员工的吸收并降低其有效性。•相反，法律领导者应该调整现有的、完善的和广泛分布的风险监测和管理实践，以有效地管理这些风险。 •However, for most companies, governance of AI will not fit neatly into existing functional organizationalstructures. Whateless, the expertise necessary to effectively governance GenAI usage may bespreaded through the company or may not exist at all.•法律领导者必须明确记录GenAI批准、政策管理、风险管理和培训的角色和责任。 员工对可接受使用的缺乏清晰度 扩大重复性法律任务的新机遇 •GenAI产生自然语言输出的能力适用于法律团队的多个部门用途。这有可能最大限度地减少律师在低价值工作上花费的时间。•法律部门将能够利用GenAI工具执行耗时且重复性的任务，例如进行法律研究，起草合同和制作立法摘要。但是，由于GenAI输出通常包含错误，因此法律领导者必须确保对输出进行准确性审查。•法律领导者应将工作流程解构为单独的任务，并测试GenAI自动化或增强重复性，耗时的任务，涉及书面可交付成果的生产。 •大部分员工滥用GenAI不会是故意的，而是由于对公司使用GenAI的规则不熟悉。 •为了解决这个问题，法律领导者可能会倾向于采取保守的方法。过度限制的政策或彻底的禁令会激励员工在个人设备上“影子使用”这些工具。•相反，法律领导者必须与高层领导合作，以“必须避免结果”，禁止用例或建立控制措施，以最大程度地减少这些结果的可能性，并在政策和指南中支持可接受的用例。 受限分布 快速生成AI采用 行动步骤 关键利益相关者的问题 颜色编码为与前一页上的含义对齐 主板和C - Suite 修改隐私影响评估的数据清单和处理活动(ROPA)记录，以跟踪GenAI的使用情况。建立跨职能指导委员会，或修改现有委员会的任务，以调整与AI治理相关的角色和责任。对GenAI输出进行强制人工审查，禁止将企业IP或个人信息输入ChatGPT等公共工具，并要求在任何面向公众的输出上明确说明GenAI的来源。在政策指南中包括禁止和可接受的GenAI用法的真实示例。当政策中更新禁止使用的列表时，提醒员工。将弹出窗口直接嵌入到GenAI工具中，要求员工证明他们没有将这些工具用于特定的受限用途。定期更新受限用例列表。为法律团队制定内部试点计划，以使用GenAI工具执行低风险或内部项目的法律研究和合同起草等任务。 •GenAI的使用如何符合我们未来五年的战略？•作为一家公司，我们愿意通过使用GenAI承担多大的风险？•在使用GenAI时，我们必须避免哪些负面的声誉、法律和道德结果？ IT或数据和分析 •您的团队在多大程度上跟踪公司内部的GenAI使用情况？•我们现有的GenAI工具原生开发指南是什么，我们有哪些控制措施来降低风险？•我们的法律和/或合规团队如何从设计阶段为GenAI工具的开发提供最佳支持，以最大程度地减少负面影响或施加附加控制的需要？ 业务合作伙伴、职能合作伙伴和员工 关键风险指标 •贵公司的员工使用GenAI的情况如何？•在接下来的六个月到两年里，你有什么计划在你的公司里利用GenAI？•我们制定的政策在多大程度上回答了您关于适当使用GenAI的问题？•关于在您的角色中适当使用GenAI的问题，您与谁联系？ •ROPA或个人数据清单中列出的GenAI项目数量•在企业级战略或功能计划中采用GenAI的拟议时间表的长度•在发布或使用之前经过人工审查的AI输出的百分比•经过影响评估的GenAI使用百分比•公司内使用高风险GenAI的数量 受限分布 生成AI对IP保护的威胁 GenAI从现有材料中输出合成内容的能力引发了围绕知识产权保护和版权法的新问题。 驱动程序 现行法律没有充分规定由GenAI模型创建的内容的所有权，并且鉴于该技术的新颖性，版权和知识产权法的应用仍不清楚。9虽然目前正在出现和不断发展的AI模型培训和内容认证标准，但这些标准还不包括识别受版权保护材料的标准。10截至2023年9月，所有权上的这种模糊性已经在用于训练AI模型的原始材料的所有权上引发了争议。11 •算法训练方法：GenAI利用大量通常未区分的数据这使得识别哪些数据可能属于IP保护非常耗时和困难。 •“公平”使用解释中的歧义：在美国，如果在原始作品中添加“新的表达，含义或信息”，则知识产权法律将保护版权内容的“变革性”使用视为合理使用。但是，目前尚不清楚AI输出在多大程度上表现出这些品质，AI生成的内容在创建后可以在多大程度上受到保护，或者法院将采用哪些标准来判断。 这种模糊性加剧了企业的知识产权和信息访问风险。随着GeAI工具变得越来越普遍，企业IP或敏感信息可能会被纳入用于训练模型的数据集中。因此，此IP可能出现在这些模型的输出中。同样，合理使用标准的模糊性使公司对员工侵犯版权或滥用知识产权承担责任。然而，用于训练GeAI模型的大量信息，以及难以在公司内部生成GeAI使用的全面可见性，这意味着法律领导者必须开发可扩展的方法来限制。 •GenAI采用的速度与法律程序的不匹配：易用性和 GenAI的广泛应用迅速加快了采用时间表。判例法和使用法律标准的演变未能跟上步伐。 无论法律标准如何演变，风险都是如此。 生成AI对IP保护的威胁 GenAI对知识产权和版权保护的威胁 法律、合规性和隐私影响 第三方数据滥用的风险增加 意外版权和专利侵权的风险增加 •提供GenAI解决方案的供应商将管理从用户输入收集的大量数据。在某些情况下，这些数据可能包括敏感信息、知识产权或商业秘密。•随着GenAI嵌入到更多的企业工具中，法律领导者将需要对在其公司内部实施GenAI的第三方进行广泛的尽职调查。•具体来说，他们必须评估数据处理程序，数据保护和隐私流程，以及用于存储数据的系统的网络安全。他们还必须确保对敏感数据使用的特定限制，包括对培训数据使用的限制，以及合同的特定控制义务。•法律和隐私领导者必须与高风险的第三方设定期望，要求在必要时提供最新的控制文件和定期审计。 •GenAI在整个公司的广泛使用增加了专利或版权侵权的可能性。但是，法律团队既没有带宽也没有可见性来监视使用以包含他人的IP。•发布具有禁止和高风险的GenAI输出用例的指南可以帮助法律团队对审查进行分类，以产生最大的影响。法律领导者应集中审查GenAI输出对核心产品至关重要或以面向公众的方式使用的用例。•声明GenAI生产的内容的来源可以保护企业免受故意侵犯专利的指控。 监测和调整知识产权风险管理流程的需求增加 扩大重复性法律任务的新机遇 •虽然GenAI可用于自动生成公司可能希望对其应用IP保护的产品功能，广告系列或其他材料，但围绕AI生成的输出的IP所有权的规则仍在变化。•法律领导者必须跟踪判例法，并根据需要修改其风险评估流程