Este Código de Conducta Internacional del Proceso de Hiroshima para Organizaciones que Desarrollan Sistemas de IA Avanzada tiene como objetivo promover una IA segura, protegida y confiable a nivel mundial. Provee guías de acción para organizaciones que desarrollan los sistemas de IA más avanzados.
Los líderes del Grupo de los Siete (G7), destacaron las oportunidades innovadoras y el potencial transformador de los sistemas avanzados de Inteligencia Artificial (IA), en particular, los modelos básicos y la IA generativa. También reconocieron la necesidad de gestionar los riesgos y proteger a las personas, la sociedad y nuestros principios compartidos, incluido el estado de derecho y los valores democráticos, manteniendo a la humanidad en el centro. Afirmaron que para enfrentar esos desafíos es necesario configurar una gobernanza inclusiva para la inteligencia artificial.
Las organizaciones que pueden respaldar este Código de Conducta pueden incluir, entre otros, entidades académicas, de la sociedad civil, del sector privado y/o del sector público.
Esta lista no exhaustiva de acciones se discute y elabora como un documento vivo para ampliar los Principios de IA de la OCDE existentes en respuesta a los desarrollos recientes en sistemas de IA avanzada, y tiene como objetivo aprovechar los beneficios y abordar los riesgos y desafíos que presentan estas tecnologías. Las organizaciones deben aplicar estas acciones a todas las etapas del ciclo de vida para cubrir, cuando corresponda, el diseño, desarrollo, implementación y uso de los sistemas de IA avanzada.
Los líderes del G7 instan a las organizaciones, en consulta con otros actores relevantes, a seguir estas acciones, siguiendo un enfoque basado en el riesgo, mientras los gobiernos desarrollan enfoques de gobernanza y regulación más duraderos y/o detallados.
Además, alentan a las organizaciones a establecer estructuras de gobernanza interna de IA y políticas, incluyendo mecanismos de autoevaluación, para facilitar un enfoque responsable y responsable en la implementación de estas acciones y en el desarrollo de IA.
Si bien hay que aprovechar las oportunidades de innovación, las organizaciones deben respetar el estado de derecho, los derechos humanos, el debido proceso, la diversidad, la equidad y la no discriminación, la democracia y la orientación humana en el diseño, desarrollo e implementación de sistemas de IA avanzada.
Las organizaciones no deben desarrollar o implementar sistemas de IA avanzada de manera que socaven los valores democráticos, sean particularmente perjudiciales para individuos o comunidades, faciliten el terrorismo, promuevan el uso criminal o planteen riesgos sustanciales para la seguridad, la confiabilidad y los derechos humanos, y por lo tanto no sean aceptables.
Los Estados deben cumplir con sus obligaciones en virtud del derecho internacional de los derechos humanos para garantizar que los derechos humanos se respeten y protejan plenamente, mientras que las actividades del sector privado deben estar en línea con los marcos internacionales como los Principios Rectores de las Naciones Unidas sobre Empresas y Derechos Humanos y las Directrices de la OCDE para Empresas Multinacionales.
Se insta a las organizaciones a seguir estas acciones con un enfoque basado en riesgos.
1) Identificar, evaluar y mitigar riesgos en todas las etapas del ciclo de vida de la IA, incluyendo pruebas internas y externas exhaustivas.
- Las organizaciones deben tomar medidas a lo largo de todo el desarrollo de los sistemas de IA avanzada para identificar, evaluar y mitigar riesgos en todas las etapas del ciclo de vida de la IA.
- Esto incluye emplear diversas medidas de pruebas internas y externas independientes, como red teaming, y aplicar mitigaciones adecuadas para los riesgos identificados.
- Las pruebas y mitigaciones deben buscar garantizar la seguridad, confiabilidad y minimizar riesgos irrazonables.
- Se debe posibilitar la trazabilidad en relación a los datos, procesos y decisiones durante el desarrollo.
- Las medidas deben ser documentadas y actualizarse regularmente.
- Se debe prestar particular atención a riesgos como capacidades ofensivas de ciberseguridad, riesgos a la salud/seguridad, copias no autorizadas, etc.
- Se debe colaborar con otros actores para evaluar y adoptar mitigaciones a riesgos sistémicos.
2) Detectar vulnerabilidades y casos de uso indebido luego del despliegue, y tomar acciones de mitigación.
- Las organizaciones deben monitorear vulnerabilidades, incidentes, riesgos emergentes y usos indebidos de los sistemas de IA avanzada luego de su despliegue.
- Deben tomar acciones apropiadas para abordar estos problemas detectados.
- Se sugiere facilitar que terceros y usuarios reporten problemas y vulnerabilidades luego del despliegue, por ejemplo mediante sistemas de recompensas.
- Se debe mantener documentación de los incidentes reportados y mitigar los riesgos y vulnerabilidades identificados, en colaboración con otros actores.
- Los mecanismos de reporte deben ser accesibles para diversos grupos de interés.
3) Reportar públicamente las capacidades, limitaciones y usos adecuados e inadecuados de los sistemas de IA avanzada.
- Las organizaciones deben publicar reportes de transparencia con información significativa sobre todos los nuevos lanzamientos importantes de sistemas de IA avanzada.
- Estos reportes, instrucciones de uso y documentación técnica relevante deben mantenerse actualizados.
- Deben incluir detalles de las evaluaciones de riesgos realizadas, capacidades y limitaciones del sistema, efectos y riesgos potenciales, y resultados de pruebas.
- La información debe ser suficientemente clara para que los usuarios puedan interpretar las salidas del sistema y utilizarlo de forma apropiada.
- Los reportes de transparencia deben estar respaldados por procesos sólidos de documentación técnica e instrucciones de uso.
4) Compartir información y reportar incidentes de forma responsable entre organizaciones y con gobiernos, sociedad civil y academia.
- Las organizaciones deben compartir información relevante de manera responsable, incluyendo reportes de evaluación, riesgos de seguridad y societal detectados, capacidades peligrosas, e intentos de evadir salvaguardas.
- Deben establecer o unirse a mecanismos para desarrollar, avanzar y adoptar estándares, herramientas y mejores prácticas compartidas para la seguridad y confiabilidad de los sistemas.
- Se debe asegurar documentación y transparencia adecuada a lo largo del ciclo de vida de la IA, en particular para sistemas de alto riesgo.
- Las organizaciones deben colaborar entre sí y con autoridades públicas para reportar información relevante que ayude a avanzar en la seguridad y confiabilidad de la IA avanzada.
- El intercambio de información debe salvaguardar los derechos de propiedad intelectual.
5) Desarrollar, implementar y divulgar políticas de gestión de riesgos y gobernanza de la IA.
- Las organizaciones deben establecer y divulgar mecanismos organizacionales para desarrollar, implementar y divulgar políticas de gestión de riesgos y gobernanza de la IA.
- Esto incluye procesos de responsabilidad y gobernanza para identificar, evaluar, prevenir y abordar riesgos a lo largo del ciclo de vida de la IA.
- También abarca la divulgación de políticas de privacidad, prompts para usuarios y resultados de sistemas de IA avanzada.
- Las políticas de gestión de riesgos deben aplicar un marco de gestión de riesgos en todas las etapas relevantes del ciclo de vida de la IA.
- Las políticas deben actualizarse regularmente y el personal debe ser capacitado en las prácticas de gestión de riesgos.
6) Implementar controles de seguridad física, ciberseguridad y protección contra amenazas internas.
- Realizar inversiones en controles de seguridad robustos, incluyendo seguridad física, ciberseguridad y salvaguardias contra amenazas internas a lo largo del ciclo de vida de la IA.
- Asegurar los pesos de los modelos, algoritmos, servidores y conjuntos de datos mediante medidas de seguridad operativa para la seguridad de la información y controles adecuados de acceso cibernético/físico.
- Realizar una evaluación de los riesgos de ciberseguridad e implementar políticas de ciberseguridad y soluciones técnicas e institucionales adecuadas para garantizar que la ciberseguridad de los sistemas de IA avanzada sea apropiada para las circunstancias relevantes y los riesgos involucrados.
- Establecer medidas para almacenar y trabajar con los pesos de los modelos de IA avanzada en un entorno seguro con acceso limitado para reducir el riesgo de divulgación no autorizada y acceso no autorizado.
- Comprometerse a tener un proceso de gestión de vulnerabilidades y revisar regularmente las medidas de seguridad para garantizar que se mantengan a un alto nivel y sean adecuadas para abordar los riesgos.
- Establecer un programa sólido de detección de amenazas internas en línea con las protecciones proporcionadas para su propiedad intelectual y secretos comerciales más valiosos, por ejemplo, limitando el acceso a los pesos de los modelos propietarios y no publicados.
7) Desarrollar mecanismos de autenticación de contenido y proveniencia cuando sea técnicamente viable.
- Desarrollar e implementar mecanismos confiables de autenticación de contenido y procedencia, cuando sea técnicamente factible, como marcas de agua u otras técnicas que permitan a los usuarios identificar contenido generado por IA.
- Esto incluye, cuando sea apropiado y técnicamente factible, mecanismos de autenticación de contenido y procedencia para el contenido creado con el sistema de IA avanzada de una organización. Los datos de procedencia deben incluir un identificador del servicio o modelo que creó el contenido, pero no necesariamente deben incluir información del usuario. Las organizaciones también deben esforzarse por desarrollar herramientas o interfaces de programación de aplicaciones (API) que permitan a los usuarios determinar si un contenido en particular fue creado con su sistema de IA avanzada, como a través de marcas de agua. Las organizaciones deben colaborar e invertir en investigación, según corresponda, para avanzar en el estado del campo.
- Además, se alienta a las organizaciones a implementar otros mecanismos, como etiquetas o avisos legales, para permitir a los usuarios, cuando sea posible y apropiado, saber cuándo están interactuando con un sistema de IA.
8) Priorizar investigación para mitigar riesgos sociales, de seguridad y sociedad.
- Priorizar la investigación para mitigar los riesgos sociales, de seguridad y de seguridad y priorizar la inversión en medidas efectivas de mitigación.
- Esto incluye llevar a cabo, colaborar e invertir en investigación que respalde el avance de la seguridad, la confianza y la confiabilidad de la IA, y abordar los riesgos clave, así como invertir en el desarrollo de herramientas adecuadas de mitigación.
- Las organizaciones se comprometen a llevar a cabo, colaborar e invertir en investigación que respalde el avance de la seguridad, la confianza, la confiabilidad y la protección de la IA, y abordar los riesgos clave, como dar prioridad a la investigación para defender los valores democráticos, respetar los derechos humanos, proteger a los niños y grupos vulnerables, salvaguardar los derechos de propiedad intelectual y la privacidad, y evitar sesgos perjudiciales, desinformación y manipulación de la información. Las organizaciones también se comprometen a invertir en el desarrollo de herramientas de mitigación adecuadas y trabajar para gestionar de manera proactiva los riesgos de los sistemas de IA avanzada, incluyendo los impactos ambientales y climáticos, para lograr que sus beneficios se hagan realidad.
- Se alienta a las organizaciones a compartir investigaciones y mejores prácticas sobre la mitigación de riesgos.
9) Priorizar el desarrollo de IA para retos globales como crisis climática, salud y educación.
- Priorizar el desarrollo de sistemas de IA avanzada para abordar los mayores desafíos del mundo, en particular, pero no limitado a la crisis climática, la salud global y la educación.
- Estos esfuerzos se realizan en apoyo del progreso de los Objetivos de Desarrollo Sostenible de las Naciones Unidas y para fomentar el desarrollo de IA en beneficio global.
- Las organizaciones deben priorizar la administración responsable de IA confiable y centrada en el ser humano, y también apoyar iniciativas de alfabetización digital que promuevan la educación y formación del público, incluidos estudiantes y trabajadores, para que puedan beneficiarse del uso de sistemas de IA avanzada y ayudar a las personas y comunidades a comprender mejor la naturaleza, capacidades, limitaciones e impacto de estas tecnologías.
- Las organizaciones deben trabajar con la sociedad civil y grupos comunitarios para identificar desafíos prioritarios y desarrollar soluciones innovadoras para abordar los mayores desafíos del mundo.
10) Adoptar estándares técnicos internacionales cuando sea apropiado.
- Se alienta a las organizaciones a contribuir al desarrollo y, cuando sea apropiado, utilizar estándares técnicos internacionales y mejores prácticas, incluyendo para marcas de agua, y trabajar con Organizaciones de Desarrollo de Estándares (SDOs, por sus siglas en inglés), también al desarrollar metodologías de prueba de las organizaciones, mecanismos de autenticación y procedencia de contenido, políticas de ciberseguridad, informes públicos y otras medidas.
- En particular, se alienta a las organizaciones a trabajar en el desarrollo de estándares y marcos técnicos internacionales interoperables para ayudar a los usuarios a distinguir el contenido generado por IA del contenido no generado por IA.
11) Implementar medidas de protección de datos personales y propiedad intelectual.
- Implementar medidas y protecciones adecuadas para los datos de entrada, incluyendo datos personales y propiedad intelectual.
- Se alienta a las organizaciones a tomar medidas apropiadas para gestionar la calidad de los datos, incluyendo los datos de entrenamiento y la recopilación de datos, para mitigar los sesgos perjudiciales.
- Las medidas adecuadas podrían incluir transparencia, técnicas de entrenamiento que preserven la privacidad y/o pruebas y ajustes para garantizar que los sistemas no divulguen datos confidenciales o sensibles.
- Se alienta a las organizaciones a implementar salvaguardias adecuadas y respetar los derechos relacionados con la privacidad y la propiedad intelectual, incluyendo contenido protegido por derechos de autor.
- Las organizaciones también deben cumplir con los marcos legales aplicables.
El código busca un desarrollo ético de la IA avanzada, instando a colaboración entre sectores. Se actualizará conforme evolucione la tecnología.
Con información del Ministerio de Asuntos Exteriores de Japón.
Artículo redactado con asistencia de diversas inteligencias artificiales generativas con supervisión humana (redacción AD).