監管的影響已經滲透到政府科技(govtech)供應商的日常運營中,不再只是遙遠的政策討論。從英國《2018年數據保護法》(DPA)到歐盟《人工智慧法案》,再到NIS2等網路安全框架,合規要求已從邊緣走向企業商業戰略的核心位置。
對於部分人士而言,這標誌著這個承載著敏感公民數據與關鍵基礎設施的市場終於走向成熟。但也有聲音認為,這一趨勢正在將競爭格局逐漸收窄,只有資金最雄厚、法務團隊最強大的供應商才能生存下去。在規則仍在演變的當下,整個市場正處於深度調整之中。
合規門檻與競爭格局
Axiologik首席架構師文斯·杜赫(Vince Dooher)認為,儘管算法透明度記錄標準(ATRS)對於建立信任不可或缺,但隨之而來的行政負擔卻對大型供應商更為有利。
"合規護城河正在不斷加深,"他表示,"ATRS對於建立信任至關重要,但完成相關工作所需的行政開銷,加上如今要求的嚴格AI TRiSM遙測,明顯更有利於擁有龐大法務和負責任AI團隊的大型供應商。"
他解釋說,規模較小的供應商往往構建的是更加透明的"玻璃盒"系統,但難以承受長達一年的合規認證周期來證明其符合DPA及相關要求。DPA和AI法案等法規所附帶的年度合規成本,往往讓創新型初創企業在正式獲得認證之前,就已被公共部門市場拒之門外。
Domino Data Lab公共部門集團副總裁克里斯·埃爾辛斯(Chris Elsins)向Computer Weekly表示,當前的AI與數字化法規"在無意間為那些能夠負擔合規成本的企業提供了特權"。
他指出,在實踐中,能夠承擔審計、文檔整理和漫長審查流程的能力,越來越被視為可靠性的證明,儘管"企業法務或風控團隊的規模,並不等同於其技術的質量、安全性或有效性"。
杜赫認為,這一趨勢的累積效應是行業整合。科技巨頭提供基礎框架,而小型供應商則被推向"邊緣地帶"。定價能力逐漸向那些能夠在龐大產品組合中分攤合規成本的企業集中。
創新陷入監管悖論
政府頻繁呼籲引入前沿AI與自動化技術來改善公共服務,但與此同時,採購和合規框架卻往往體現出"零容錯"的心態。
杜赫描述了一個悖論:AI系統本質上是概率性的,但合規模型卻是二元的——一個系統要麼合規,要麼不合規。他表示,歐盟AI法案可能要求在項目啟動之前就達到"百分之百的事前確定性"。
當試點項目面臨與全國推廣同等嚴格的合規要求時,實驗空間便大幅壓縮。最終的結果是從"追求前沿"轉變為"追求安全",創新被局限於低風險任務,而非核心轉型領域。
埃爾辛斯也持類似觀點。他表示,一些頗具潛力的AI能力遭到了拖延,"不是因為它們被證明不安全,而是因為在獲得有意義的試點數據之前,就已全面套用了監管框架"。某些防護措施是圍繞假設性風險而非實際觀察到的風險所制定的,這反而阻礙了負責任的探索實驗。
問題不在於是否監管,而在於如何設計既支持疊代又不會在系統充分發揮價值之前就將其鎖死的監管機制。
Harbr Data工程負責人湯姆·皮爾森-韋伯(Tom Peirson-Webber)解釋說,項目往往不會被直接叫停,而是"在降低風險的過程中逐漸變得毫無意義"。各部門對《通用數據保護條例》(GDPR)解讀不一致,阻礙了數據集AI化的推進工作。他表示,當法務和採購團隊還在爭論某事物是否屬於高風險AI時,"政策窗口往往已經關閉"。
在這種背景下,創新往往發生在採購之前和競爭性演示階段。而一旦系統進入生產環節,每次更新都可能觸發新一輪審查與重新認證。埃爾辛斯指出,變更管控流程會在快速演進的AI領域放緩疊代節奏,無意間使系統傾向於追求穩定性而非持續改進。
然而,並非所有人都認為監管必然阻礙進步。SolarWinds公共部門與國防業務主管里奇·吉布林(Rich Giblin)表示,創新在系統通過監管審查之後"不應停止",而應進入"持續改進的循環,以保持服務的有效性、安全性,並與最新威脅保持同步"。
因此,真正的挑戰不在於是否進行監管,而在於如何設計出既能支持疊代、又不會在系統充分兌現價值之前就將其鎖死的監管機制。
監管是否真正改善了公民體驗?
一個核心問題始終懸而未決:當前的監管框架是否能夠切實改善公民服務體驗?
埃爾辛斯表示,支持廣泛性、預防性AI監管的證據基礎仍在形成之中。在隱私保護和偏見緩解等高風險領域,設置防護措施顯然有其必要性。但在很多情況下,全面的監管框架在缺乏縱向數據的前提下便已付諸實施,尚無充分證據證明其能夠改善服務交付質量或提升公眾信任。
最終的結果可能是他所描述的"預防性姿態"——雖然緩解了理論上的風險,但卻延遲了加快資格認定、減少行政負擔等切實利益的落地。
杜赫舉出了監管發揮積極作用的具體案例。AI安全研究所在醫療技術試點項目中發現了可能導致誤診的模型漂移問題。然而他也指出,大量立法精力被用於規範推測性風險,而公民在基本公共服務上仍面臨漫長等待和高昂運營成本。
皮爾森-韋伯承認,監管"幾乎可以肯定防止了一些我們永遠不會看到的負面結果"。GDPR推動的數據最小化原則確實改善了隱私保護,儘管落地執行仍參差不齊。真正的難題在於,如何用可能滯後於創新步伐的規則,去監管一項快速演進的技術。
Opengear首席技術官道格拉斯·瓦德金斯(Douglas Wadkins)強調,部分風險是真實存在的。關鍵基礎設施中物聯網(IoT)設備引發的安全事件數量激增,造成的漏洞代價巨大。NIS2等框架正是對真實威脅的回應。他認為,問題在於監管往往聚焦於流程合規,而非可量化的韌性成果。
吉布林補充道,監管應該發揮"安全基線的作用,而非成為決策的阻礙"。雖然監管有時被援引為放慢發展步伐的理由,但真正的檢驗標準是相關顧慮是否具體、是否有據可查。
如何區分真正的安全防護與機構性的規避心態並不容易。多位受訪者觀察到,監管有時會成為迴避風險或棘手取捨的便利藉口。在快速推進的AI項目中,組織文化的準備程度可能與正式合規同樣重要。
未來市場走向:巨頭、初創與架構解法
如果監管趨勢延續,五年後政府科技市場將呈現怎樣的面貌?
杜赫警告,市場有向少數巨頭集中的風險,初創企業將淪為大型生態系統中的功能模組。埃爾辛斯同樣認為,若合規成本持續攀升,投標方數量減少、價格競爭削弱將難以避免。
皮爾森-韋伯指出,採購機制有利於已在多個部門獲得批准的供應商。大型成熟供應商在第一天就能證明合規性,而小型供應商可能需要在贏得合同之前便投入大量工程資源,這給產品優先級決策帶來了兩難困境。
監管是必要的,鮮有人主張將其徹底廢除,爭論的焦點在於如何精準校準。
然而,並非所有人都認為整合不可避免。吉布林認為,創新仍將繼續源自初創企業,但規模化落地將由成熟企業來完成。他表示,隨著AI普及程度的提升,這一動態有望進一步加速。
瓦德金斯認為,架構層面的解法可以在一定程度上彌合差距。從基礎架構設計之初便將安全性與可審計性內嵌其中,而非事後補充合規措施,有助於小型供應商在無需龐大合規團隊的情況下證明自身的合規能力。他表示,採購團隊應關注的核心問題是架構如何滿足韌性要求,而不是供應商法務團隊的規模。
綜合各方觀點,一個共同主題清晰浮現:監管是必要的,鮮有人主張將其徹底廢除,爭論的焦點在於如何精準校準。皮爾森-韋伯認為,好的監管應設定防護邊界並落實問責機制,而糟糕的監管則試圖徹底消除風險。
對於政府科技供應商而言,實際啟示已經明確:合規工作不能再孤立於法務團隊之中,而必須貫穿產品路線圖與市場進入策略。對於公共採購方而言,挑戰在於設計出能夠激勵切實安全保障與可量化成果的採購流程。
監管究竟會成為束縛創新的繁文縟節,還是負責任技術的堅實基石,最終取決於規則如何被解讀與落地,而非規則本身的存在與否。在這個負責任地管理關鍵服務與敏感數據的領域,這一平衡短期內恐怕難以塵埃落定。
Q&A
Q1:歐盟AI法案對小型政府科技供應商有哪些具體影響?
A:歐盟AI法案要求在項目啟動前就達到極高的合規確定性,並對高風險AI系統設置嚴格門檻。這對小型供應商而言意味著高昂的年度合規成本,可能在正式獲得認證之前就被市場淘汰。與大型企業相比,小型供應商缺乏專門的法務和負責任AI團隊來承擔這些開銷,導致其競爭力被大幅削弱,最終可能不得不以大型生態系統的功能模組形式生存。
Q2:GDPR不一致的解讀如何阻礙了政府AI項目的推進?
A:各部門對GDPR的解讀存在明顯差異,導致數據集AI化工作受阻。當法務和採購團隊還在反覆討論某一場景是否構成高風險AI時,實際可執行的政策窗口往往已經關閉。此外,GDPR的數據最小化原則雖改善了隱私保護,但落地執行參差不齊,整體上拉長了項目周期,增加了合規不確定性。
Q3:NIS2框架對關鍵基礎設施的網路安全有哪些實際作用?
A:NIS2是針對關鍵基礎設施面臨的真實安全威脅所制定的監管回應,特別是針對物聯網設備引發的安全事件激增問題。該框架通過設定基準要求來強化整體安全防護。但批評者指出,NIS2目前更多聚焦於流程合規,而非可量化的實際韌性成果,兩者之間仍存在一定差距,監管效果有待進一步評估。
