10 دقیقه
خلاصه
شُروع شد. بیسر و صدا. بخش فناوری اطلاعات پارلمان اروپا قابلیتهای مرتبط با هوش مصنوعی را روی دستگاههای کاری نمایندگان غیرفعال کرده است و دلیل آن خطرات آشکار و غیرقابل اغماض در زمینه امنیت و حریم خصوصی ذکر شده است. این اقدام نه بهصورت یک فرمان جنجالی، بلکه بهعنوان یک راهنمای عملی اعلام شد: "اسناد داخلی را در سرویسهای خارجی هوش مصنوعی آپلود نکنید."
علت نگرانی: افشای دادهها از طریق چتباتها
مسئله ساده و پافشاریکننده است. زمانی که یک کارمند متنی محرمانه را در یک چتبات تجاری میگذارد، آن داده اغلب روی سرورهای شخص ثالث قرار میگیرد. شرکتهایی که مدلهایی مانند ChatGPT از OpenAI، Copilot از مایکروسافت یا Claude از Anthropic را اجرا میکنند، معمولاً ورودیهای کاربران را برای بهبود و آموزش سیستمهای خود استفاده میکنند. این مسیر آموزشی میتواند متن حساس را در معرض دید گستردهتر، قوانین نگهداری داده یا سیاستهایی قرار دهد که خارج از کنترل پارلمان است.
پیام داخلی و ارزیابی ریسک
وبسایت Politico به یک ایمیل داخلی از بخش IT پارلمان دست یافته است که در آن استدلالهای فنی و مدیریتی توضیح داده شدهاند. پیام هشدار داده است که مؤسسه نمیتواند امنیت محتواهایی را که به سرورهای فروشندگان هوش مصنوعی آپلود میشود تضمین کند. از آنجا که دامنه اطلاعاتی که تاکنون با این شرکتها به اشتراک گذاشته شده هنوز در حال ارزیابی است، محتاطترین مسیر این است که قابلیتهای مبتنی بر هوش مصنوعی روی ماشینهای رسمی خاموش بمانند.
مشکل حوزه قضایی و تسلط قوانین خارجی
یک پیچیدگی دیگر نیز وجود دارد: حوزه قضایی (جوریزدیکشن). دادههایی که توسط بسیاری از ارائهدهندگان هوش مصنوعی مستقر در ایالات متحده میزبانی میشوند ممکن است در اختیار مقامات آمریکایی قرار گیرند. در هفتههای اخیر، وزارت امنیت داخلی آمریکا و دیگر سازمانها صدها احضاریه و درخواست اطلاعات به پلتفرمهای بزرگ فناوری ارسال کردهاند. گزارشها حاکی است برخی شرکتها به این درخواستها پاسخ دادهاند، حتی زمانی که آن درخواستها فوراً پشتیبانی قضایی کامل نداشتهاند. این واقعیت باعث میشود بروکسل در اتکا به خدمات ادارهشده در خارج برای امور داخلی خود محتاط باشد.
پیامدهای عملیِ حوزه قضایی
چند نکته فنی و حقوقی که در این زمینه باید در نظر گرفته شوند:
- قوانین کشور میزبان سرور: دادههایی که جغرافیایی روی سرورهای خاص ذخیره میشوند معمولاً تحت قوانین همان کشور قرار میگیرند.
- مکانیسمهای درخواست اطلاعات: احضاریهها، سفارشات قضایی و درخواستهای اداری میتوانند شرکتها را به افشای اطلاعات موظف کنند، حتی اگر مشتری در قاره دیگری مستقر باشد.
- قراردادها و سیاست نگهداری داده: بسیاری از ارائهدهندگان ابر (cloud providers) یا شرکتهای هوش مصنوعی دارای سیاستهای نگهداری و استفاده از داده هستند که میتواند شامل استفاده برای آموزش مدل نیز باشد.
زمینه قانونی اروپا: تعادل بین نوآوری و حفاظت داده
برای سالها اروپا برخی از سختگیرانهترین قوانین حفاظت از داده در جهان را اجرا کرده است، از جمله مقررات عمومی حفاظت از داده (GDPR). در عین حال، کمیسیون اروپا پیشنهادهایی را نیز مطرح کرده است که ممکن است برخی موانع را برای آموزش مدلهای هوش مصنوعی بر روی مجموعهدادههای اروپایی کاهش دهد. حامیان این رویکرد استدلال میکنند که تسهیل دسترسی به دادهها میتواند نوآوری محلی را تقویت کند و رقابت در توسعه هوش مصنوعی را حفظ کند. منتقدان این پیامد را امتیازی به غولهای سیلیکونولی میدانند و خطراتی برای حریم خصوصی شهروندان مطرح میکنند.
پرسشهای کلیدی سیاستگذاری
در مرکز بحث چند پرسش سیاستی قرار دارد که برای تصمیمگیران اروپایی مهم است:
- چگونه میتوان حفاظت از دادههای شخصی و حساس را تضمین کرد در حالی که تحقیقات و توسعه هوش مصنوعی تداوم یابد؟
- آیا لازم است زیرساختهای ملی و اروپایی برای پردازش امن دادهها تقویت شوند؟
- چه مکانیزمهای کنترلی و حسابرسی برای استفاده قانونی و اخلاقی از دادهها مورد نیاز است؟
آنچه عملاً تغییر کرده است
از منظر عملی، قابلیتهایی که اجازه میداد کارکنان مستقیماً با دستیارهای ابری تعامل کنند روی دستگاههای رسمی غیرفعال میشوند. هدف جلوگیری از آپلودهای بدون بازبینی اسناد و مکاتبات—موادی که میتواند مذاکرات، مشاوره حقوقی یا مواضع سیاسی حساس را آشکار کند—در سیستمهایی است که پارلمان کنترل آنها را ندارد.
دامنه اجرا و محدودیتها
این اقدام شامل چند سطح عملیاتی است:
- غیرفعالسازی افزونهها و امکاناتی که یکپارچگی مستقیم با مدلهای ابری را فراهم میکنند.
- اعمال سیاستهای فنی بر روی شبکه و دستگاهها (مثل فیلترینگ خروجیها یا جلوگیری از آپلود فایلها به سرورهای مشخص).
- آموزش پرسنل درباره ریسکهای امنیتی و دستورالعملهای جدید در مورد نحوه استفاده از ابزارهای هوش مصنوعی.
آیا این یک ممنوعیت کامل هوش مصنوعی است؟
خیر. نمیتوان این اقدام را بهمعنای تحریم کامل هوش مصنوعی تفسیر کرد. این بیشتر یک اقدام کنترل و مهار ریسک است. پارلمان همچنان به منافع خودکارسازی و ابزارهای کمکی نیاز دارد، اما میخواهد کنترل کند دادهها کجا و چگونه پردازش میشوند. تشبیهی مناسب این است که درِ ورودی را قفل کردهاند در حالی که دربارهٔ توزیع کلیدها تردید میکنند.
راهکارهای جایگزین و کنترلشده
چند رویکرد فنی و سازمانی وجود دارد که سازمانها میتوانند برای بهرهبرداری از هوش مصنوعی بدون افزایش ریسک به کار ببرند:
- استفاده از مدلهای میزبانیشده داخلی (on-premise) یا روی ابرهای مورد اعتماد با قراردادهای سختگیرانه.
- فناوریهای «حریممحور» (privacy-preserving) مانند یادگیری فدراسیون (federated learning) یا همسانسازی تفاضلی (differential privacy) برای کاهش نشت داده در زمان آموزش مدل.
- پیادهسازی دروازههای امنیتی (data gateways) که ورودیها را اسکن و حساسیتسنجی میکنند پیش از ارسال به هر مدل بیرونی.
- قراردادهای واضح با فروشندگان دربارهٔ عدم استفاده از دادههای مشتریان برای آموزش عمومی مدل یا تعهد به حذف دادهها پس از پردازش.
پیامدهای گستردهتر: تعارض بین بهرهوری و حاکمیت داده
این رخداد نمادی از یک تنش بزرگتر است: دولتها میخواهند ازهوش مصنوعی استفاده کنند، اما همزمان باید از دادههای شهروندان و حاکمیت نهادی محافظت کنند. نحوهٔ مدیریت این تعارض مشخص خواهد کرد که سیاستهای مرتبط با هوش مصنوعی در بروکسل و فراتر از آن چگونه شکل میگیرند. برای لحظهای، قانونگذاران اروپایی احتیاط را بر سهولت ترجیح دادهاند و این انتخاب ممکن است در نحوهٔ پذیرش هوش مصنوعی مولد (generative AI) در نهادهای عمومی سراسر جهان تأثیرگذار باشد.
پیامدها برای سایر نهادها و دولتها
چند اثر محتمل وجود دارد که میتواند فراتر از پارلمان اروپا گسترش یابد:
- سازمانهای دولتی دیگر ممکن است از رویکرد مشابهی پیروی کنند و دسترسی مستقیم به سرویسهای تجاری هوش مصنوعی را محدود کنند.
- افزایش تقاضا برای پلتفرمهای هوش مصنوعی اروپایی یا محلی که مطابق با مقررات GDPR و استانداردهای حاکمیت اروپایی طراحی شدهاند.
- ترغیب به سرمایهگذاری در زیرساختهای امن داده و ظرفیت محاسباتی داخلی برای کاهش وابستگی به ارائهدهندگان غیراروپایی.
نکات فنی و مدیریتی برای نهادها
اگر یک سازمان دولتی یا عمومی در نظر دارد سیاست مشابهی اتخاذ کند، باید مجموعهای از اقدامات همزمان انجام شود تا توازن بین امنیت و بهرهوری حفظ شود:
- تهیه یک سیاست استفاده از هوش مصنوعی که شامل تعریف دادههای حساس، قواعد دسترسی و کانالهای مجاز پردازش باشد.
- اجرای کنترلهای فنی مانند رمزنگاری داده در حالت استراحت و در حال انتقال، مدیریت کلیدها و لاگینگ مفصل برای ایجاد قابلیت حسابرسی.
- ارزیابی ریسک فنی برای هر سرویس یا ادغام جدید هوش مصنوعی و انجام تستهای نفوذ و بررسی تأمینکننده (vendor due diligence).
- آموزش کارکنان دربارهٔ ریسکهای حریم خصوصی، پیامدهای حقوقی و شیوههای ایمن کار با ابزارهای هوش مصنوعی.
تحلیل فنی: مسیرهای نشت داده در مدلهای تجاری
از منظر فنی، سه مسیر عمده میتواند منجر به نشت یا دسترسی غیرمجاز به دادهها شود:
- استفاده داخلی برای آموزش: ورودیهای کاربران ممکن است در دیتاستهای آموزشی بعدی شرکت کنند، و بنابراین متن حساس ممکن است به صورت ضمنی در خروجیهای مدل ظاهر شود.
- نگهداری لاگها و متادیتا: شرکتها برای بهبود سرویس ممکن است لاگهای مکالمات و متادیتا را نگهداری کنند که اگر محافظت نشوند، هدف درخواستهای قانونی یا سوءاستفاده قرار میگیرند.
- دسترسیهای ادمین و پیمانکاران: افرادی که در شرکتهای ارائهدهنده خدمات به لاگها و زیرساختها دسترسی دارند ممکن است به دادههای حساس دسترسی یابند.
جمعبندی و توصیهها
اقدام پارلمان اروپا در خاموشسازی قابلیتهای هوش مصنوعی روی دستگاههای کاری نمایندگان، نمونهای از رویکرد محافظهکارانه برای مدیریت ریسکِ داده است. این اقدام نشان میدهد که حتی نهادهای پیشرو در تنظیم مقررات نیز در برابر پیامدهای عملی فناوریهای نوین محتاط هستند. در عین حال، این وضعیت فرصتی برای توسعه زیرساختها و سیاستهایی است که امکان استفاده امن و مسئولانه از هوش مصنوعی را فراهم کند.
توصیههای کلیدی برای سازمانها و سیاستگذاران:
- تعریف دقیق دادههای حساس و تدوین سیاستهای دسترسی؛
- سرمایهگذاری در راهکارهای محلی یا تحت قراردادهای سختگیرانه با تأمینکنندگان؛
- استفاده از فناوریهایی که حریم خصوصی را در سطح الگوریتمی تضمین میکنند؛
- ایجاد شفافیت در قراردادها و سیاستهای نگهداری داده برای اطمینان از حاکمیت داده.
در نهایت، تعادل میان بهرهوری هوش مصنوعی و حفاظت از داده یک چالش مستمر است. تصمیم پارلمان اروپا نه رد کامل تکنولوژی، بلکه یک دعوت برای طراحی سازوکارهای امن، شفاف و منطبق با ارزشهای دموکراتیک است تا هوش مصنوعی بتواند در خدمت سیاستگذاری و مدیریت عمومی قرار گیرد بدون آنکه هویت و حریم شهروندان در معرض خطر قرار گیرد.
منبع: smarti
ارسال نظر