مع عشر سنوات من الخبرة القانونية في مجال التكنولوجيا، تشرح كريستين نبتون، المستشار الإداري الأول في Palo Alto Networks، سبب ضرورة مشاركة الشؤون القانونية في الأمن السيبراني بدءًا من تصميم المنتجات وحتى عقود العملاء، وكيفية كتابة بنود الذكاء الاصطناعي بأسنان حقيقية، ولماذا تعد الشفافية عملة الثقة الجديدة في القناة.
التقت كاس كوبر مع كريستين نبتون، مديرة المستشارين الكبار في شركة Palo Alto Networks، لمعرفة أين يتناسب النظام القانوني مع الأمن السيبراني الحديث. بدءًا من اللائحة العامة لحماية البيانات/CCPA، وإضافات حماية البيانات (DPAs)، وحوكمة الذكاء الاصطناعي إلى الحقائق العملية لعقود الشركاء، يرى نبتون أن القانون ليس عائقًا ولكنه الخيط الذي يربط بين الامتثال والمنتج والعلاقات مع العملاء.
لا يزال العديد من أصحاب المصلحة يتساءلون عن المكان الذي يتناسب فيه النظام القانوني مع الأمن السيبراني. ما هو دور القانون اليوم؟
كريستين نبتون: لم يعد الأمن السيبراني يقتصر على تكنولوجيا المعلومات فقط. إنه الامتثال والمخاطر القانونية واستمرارية الأعمال. هناك عقد قانوني على كل هذا. نحن نتفاوض بشأن الصفقات، ونشكل حواجز الحماية للمنتج مع مستشاري المنتج والخصوصية، ونضمن أن وعود العملاء دقيقة وقابلة للتنفيذ. من الناحية المثالية، قم بتضمين العملية القانونية بدءًا من فكرة المنتج ومرورًا بإدارة علاقات العملاء وحتى الاكتمال.
لقد ذكرت “السور”. ما هي الأشياء غير القابلة للتفاوض الآن؟
خصوصية البيانات وأمن البيانات. تعرف على التزاماتك بموجب القانون العام لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA) واستخدم ملحق حماية البيانات (DPA) الذي يشرح: ما هي البيانات التي تجمعها، ولماذا تجمعها، ومن هم المعالجون الفرعيون لديك، وكيف تتدفق البيانات. لا يهدف أي من هذا إلى خنق الابتكار. يتعلق الأمر بالشفافية ومنح العملاء خيارات، بما في ذلك القدرة على إلغاء الاشتراك عند الاقتضاء.
يقوم الشركاء بتجربة الذكاء الاصطناعي، لكن الكثير منهم لا يعرفون كيفية إضافة شريحة الذكاء الاصطناعي. أين يجب أن يبدأوا؟
ابدأ بجعل الذكاء الاصطناعي أولوية مؤسسية، وليس فكرة لاحقة. ثم اكتبها. يجب أن يقرأ قسم الذكاء الاصطناعي الخاص بك ما يلي:
- ما هي البيانات التي يتم جمعها للذكاء الاصطناعي والتعلم الآلي،
- كيفية استخدام المدخلات لتحسين النموذج
- ما لن يتم كشفه أو مشاركته مع أطراف ثالثة في الإخراج، و
- كيف يمكن للعملاء ممارسة الحقوق أو إلغاء الاشتراك، إن أمكن.
يعود هذا إلى DPA الخاص بك وشروط عملك. هنا تجري المحادثات، والوضوح يكسب الثقة.
ماذا عن الاستخدام الشخصي مقابل استخدام الشركات للذكاء الاصطناعي؟
هناك خط واضح. يمكن للأفراد استخدام أدوات الذكاء الاصطناعي في الحياة اليومية، لكن استخدام الشركات يجب أن يتوافق مع السياسة. توافق العديد من الشركات على منصة معينة وتحظر الأدوات غير المعتمدة لمحتوى العمل. إذا وافقت شركتك على منصة ما، فاستخدمها في تلك البيئة الخاضعة للرقابة. إذا لم تتم الموافقة على الجهاز، فلا تقم بربط معلومات الشركة أو العميل به. فقط اطرح أسئلة عامة. حماية المعرفات والمحتوى السري.
إذن، ألا نحتاج إلى إعادة اختراع الأمن السيبراني بسبب الذكاء الاصطناعي؟
قطعاً. قم بتوسيع نطاق الحوكمة التي تتمتع بها بالفعل – الخصوصية حسب التصميم، وأقل الامتيازات، والعناية الواجبة للمورد – إلى الذكاء الاصطناعي. لا تزال الشفافية والموافقة وتقليل البيانات والمعالجة الآمنة سارية. الذكاء الاصطناعي يثير المخاطر، لكن المبادئ مألوفة.
أحد الموارد التي توصي بها للقادة الذين يرغبون في البناء بشكل أكثر ذكاءً؟
بودكاست “كيف بنيته.” فهو يقدم دروسًا عملية حول كيفية دمج المنتجات والشركات معًا، بما في ذلك المركز الفوضوي الذي يعمل فيه معظمنا.
أربع خطوات عملية لشركاء القنوات
- قم بالشحن مع DPA، وليس فكرة لاحقة,
قم بإرفاق DPA واضح بكل اتفاقية. قم بإدراج فئات البيانات والأغراض والاحتفاظ والمعالجات الفرعية وخيارات العملاء. الاتساق في جميع الصفقات يقلل من وقت الدورة والمفاجآت. - نشر سياسة الذكاء الاصطناعي بلغة بسيطة.
الأدوات المعتمدة من الدولة، والاستخدامات المحظورة، وأنواع البيانات ذات الخطوط الحمراء، ومسارات التصعيد. تدريب الجميع. إجراء عمليات تدقيق ربع سنوية. إذا لم تتم الموافقة على الجهاز، فلن يستخدمه الموظفون لبيانات العمل، هذه الفترة. - اكتب شريحة الذكاء الاصطناعي التي يمكن للعملاء أن يقولوا نعم لها.
تغطية استخدام المدخلات، وضوابط الإخراج، والمشاركة مع طرف ثالث، وقيود تعديل النموذج، والالتزامات الأمنية وحقوق العملاء. قم بتضمين هذا القسم في سياستك الداخلية حتى تتوافق الوعود القانونية مع الواقع. - إشراك القانونية في إطلاق المنتج.
تعد الخصوصية والأمان حسب التصميم أسرع وأرخص من التعديل التحديثي. أضف الجوانب القانونية والخصوصية والأمان إلى خطة الأعمال المتراكمة بحيث تصبح المتطلبات ميزات وليست أدوات حظر.
