监管的影响已经渗透到政府科技(govtech)供应商的日常运营中,不再只是遥远的政策讨论。从英国《2018年数据保护法》(DPA)到欧盟《人工智能法案》,再到NIS2等网络安全框架,合规要求已从边缘走向企业商业战略的核心位置。
对于部分人士而言,这标志着这个承载着敏感公民数据与关键基础设施的市场终于走向成熟。但也有声音认为,这一趋势正在将竞争格局逐渐收窄,只有资金最雄厚、法务团队最强大的供应商才能生存下去。在规则仍在演变的当下,整个市场正处于深度调整之中。
合规门槛与竞争格局
Axiologik首席架构师文斯·杜赫(Vince Dooher)认为,尽管算法透明度记录标准(ATRS)对于建立信任不可或缺,但随之而来的行政负担却对大型供应商更为有利。
"合规护城河正在不断加深,"他表示,"ATRS对于建立信任至关重要,但完成相关工作所需的行政开销,加上如今要求的严格AI TRiSM遥测,明显更有利于拥有庞大法务和负责任AI团队的大型供应商。"
他解释说,规模较小的供应商往往构建的是更加透明的"玻璃盒"系统,但难以承受长达一年的合规认证周期来证明其符合DPA及相关要求。DPA和AI法案等法规所附带的年度合规成本,往往让创新型初创企业在正式获得认证之前,就已被公共部门市场拒之门外。
Domino Data Lab公共部门集团副总裁克里斯·埃尔辛斯(Chris Elsins)向Computer Weekly表示,当前的AI与数字化法规"在无意间为那些能够负担合规成本的企业提供了特权"。
他指出,在实践中,能够承担审计、文档整理和漫长审查流程的能力,越来越被视为可靠性的证明,尽管"企业法务或风控团队的规模,并不等同于其技术的质量、安全性或有效性"。
杜赫认为,这一趋势的累积效应是行业整合。科技巨头提供基础框架,而小型供应商则被推向"边缘地带"。定价能力逐渐向那些能够在庞大产品组合中分摊合规成本的企业集中。
创新陷入监管悖论
政府频繁呼吁引入前沿AI与自动化技术来改善公共服务,但与此同时,采购和合规框架却往往体现出"零容错"的心态。
杜赫描述了一个悖论:AI系统本质上是概率性的,但合规模型却是二元的——一个系统要么合规,要么不合规。他表示,欧盟AI法案可能要求在项目启动之前就达到"百分之百的事前确定性"。
当试点项目面临与全国推广同等严格的合规要求时,实验空间便大幅压缩。最终的结果是从"追求前沿"转变为"追求安全",创新被局限于低风险任务,而非核心转型领域。
埃尔辛斯也持类似观点。他表示,一些颇具潜力的AI能力遭到了拖延,"不是因为它们被证明不安全,而是因为在获得有意义的试点数据之前,就已全面套用了监管框架"。某些防护措施是围绕假设性风险而非实际观察到的风险所制定的,这反而阻碍了负责任的探索实验。
问题不在于是否监管,而在于如何设计既支持迭代又不会在系统充分发挥价值之前就将其锁死的监管机制。
Harbr Data工程负责人汤姆·皮尔森-韦伯(Tom Peirson-Webber)解释说,项目往往不会被直接叫停,而是"在降低风险的过程中逐渐变得毫无意义"。各部门对《通用数据保护条例》(GDPR)解读不一致,阻碍了数据集AI化的推进工作。他表示,当法务和采购团队还在争论某事物是否属于高风险AI时,"政策窗口往往已经关闭"。
在这种背景下,创新往往发生在采购之前和竞争性演示阶段。而一旦系统进入生产环节,每次更新都可能触发新一轮审查与重新认证。埃尔辛斯指出,变更管控流程会在快速演进的AI领域放缓迭代节奏,无意间使系统倾向于追求稳定性而非持续改进。
然而,并非所有人都认为监管必然阻碍进步。SolarWinds公共部门与国防业务主管里奇·吉布林(Rich Giblin)表示,创新在系统通过监管审查之后"不应停止",而应进入"持续改进的循环,以保持服务的有效性、安全性,并与最新威胁保持同步"。
因此,真正的挑战不在于是否进行监管,而在于如何设计出既能支持迭代、又不会在系统充分兑现价值之前就将其锁死的监管机制。
监管是否真正改善了公民体验?
一个核心问题始终悬而未决:当前的监管框架是否能够切实改善公民服务体验?
埃尔辛斯表示,支持广泛性、预防性AI监管的证据基础仍在形成之中。在隐私保护和偏见缓解等高风险领域,设置防护措施显然有其必要性。但在很多情况下,全面的监管框架在缺乏纵向数据的前提下便已付诸实施,尚无充分证据证明其能够改善服务交付质量或提升公众信任。
最终的结果可能是他所描述的"预防性姿态"——虽然缓解了理论上的风险,但却延迟了加快资格认定、减少行政负担等切实利益的落地。
杜赫举出了监管发挥积极作用的具体案例。AI安全研究所在医疗技术试点项目中发现了可能导致误诊的模型漂移问题。然而他也指出,大量立法精力被用于规范推测性风险,而公民在基本公共服务上仍面临漫长等待和高昂运营成本。
皮尔森-韦伯承认,监管"几乎可以肯定防止了一些我们永远不会看到的负面结果"。GDPR推动的数据最小化原则确实改善了隐私保护,尽管落地执行仍参差不齐。真正的难题在于,如何用可能滞后于创新步伐的规则,去监管一项快速演进的技术。
Opengear首席技术官道格拉斯·瓦德金斯(Douglas Wadkins)强调,部分风险是真实存在的。关键基础设施中物联网(IoT)设备引发的安全事件数量激增,造成的漏洞代价巨大。NIS2等框架正是对真实威胁的回应。他认为,问题在于监管往往聚焦于流程合规,而非可量化的韧性成果。
吉布林补充道,监管应该发挥"安全基线的作用,而非成为决策的阻碍"。虽然监管有时被援引为放慢发展步伐的理由,但真正的检验标准是相关顾虑是否具体、是否有据可查。
如何区分真正的安全防护与机构性的规避心态并不容易。多位受访者观察到,监管有时会成为回避风险或棘手取舍的便利借口。在快速推进的AI项目中,组织文化的准备程度可能与正式合规同样重要。
未来市场走向:巨头、初创与架构解法
如果监管趋势延续,五年后政府科技市场将呈现怎样的面貌?
杜赫警告,市场有向少数巨头集中的风险,初创企业将沦为大型生态系统中的功能模块。埃尔辛斯同样认为,若合规成本持续攀升,投标方数量减少、价格竞争削弱将难以避免。
皮尔森-韦伯指出,采购机制有利于已在多个部门获得批准的供应商。大型成熟供应商在第一天就能证明合规性,而小型供应商可能需要在赢得合同之前便投入大量工程资源,这给产品优先级决策带来了两难困境。
监管是必要的,鲜有人主张将其彻底废除,争论的焦点在于如何精准校准。
然而,并非所有人都认为整合不可避免。吉布林认为,创新仍将继续源自初创企业,但规模化落地将由成熟企业来完成。他表示,随着AI普及程度的提升,这一动态有望进一步加速。
瓦德金斯认为,架构层面的解法可以在一定程度上弥合差距。从基础架构设计之初便将安全性与可审计性内嵌其中,而非事后补充合规措施,有助于小型供应商在无需庞大合规团队的情况下证明自身的合规能力。他表示,采购团队应关注的核心问题是架构如何满足韧性要求,而不是供应商法务团队的规模。
综合各方观点,一个共同主题清晰浮现:监管是必要的,鲜有人主张将其彻底废除,争论的焦点在于如何精准校准。皮尔森-韦伯认为,好的监管应设定防护边界并落实问责机制,而糟糕的监管则试图彻底消除风险。
对于政府科技供应商而言,实际启示已经明确:合规工作不能再孤立于法务团队之中,而必须贯穿产品路线图与市场进入策略。对于公共采购方而言,挑战在于设计出能够激励切实安全保障与可量化成果的采购流程。
监管究竟会成为束缚创新的繁文缛节,还是负责任技术的坚实基石,最终取决于规则如何被解读与落地,而非规则本身的存在与否。在这个负责任地管理关键服务与敏感数据的领域,这一平衡短期内恐怕难以尘埃落定。
Q&A
Q1:欧盟AI法案对小型政府科技供应商有哪些具体影响?
A:欧盟AI法案要求在项目启动前就达到极高的合规确定性,并对高风险AI系统设置严格门槛。这对小型供应商而言意味着高昂的年度合规成本,可能在正式获得认证之前就被市场淘汰。与大型企业相比,小型供应商缺乏专门的法务和负责任AI团队来承担这些开销,导致其竞争力被大幅削弱,最终可能不得不以大型生态系统的功能模块形式生存。
Q2:GDPR不一致的解读如何阻碍了政府AI项目的推进?
A:各部门对GDPR的解读存在明显差异,导致数据集AI化工作受阻。当法务和采购团队还在反复讨论某一场景是否构成高风险AI时,实际可执行的政策窗口往往已经关闭。此外,GDPR的数据最小化原则虽改善了隐私保护,但落地执行参差不齐,整体上拉长了项目周期,增加了合规不确定性。
Q3:NIS2框架对关键基础设施的网络安全有哪些实际作用?
A:NIS2是针对关键基础设施面临的真实安全威胁所制定的监管回应,特别是针对物联网设备引发的安全事件激增问题。该框架通过设定基准要求来强化整体安全防护。但批评者指出,NIS2目前更多聚焦于流程合规,而非可量化的实际韧性成果,两者之间仍存在一定差距,监管效果有待进一步评估。
热门跟贴