ISO/IEC 38507:2022
Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations
資訊技術—資訊技術治理—組織使用人工智慧的治理衍生效應
導言
該標準目的係供正在使用或考慮使用人工智慧 (AI) 的組織的治理機構提供指引。如果組織使用人工智慧,宜採用人工智慧的治理方案,否則,組織內任何一個人都可以利用人工智慧做出其想做的任何事情,而組織幾乎一籌莫展。註: 此文係引用ISO/IEC TS 38507:2022 標準相關內容。
該標準對於支持組織(公共或私營)的穩健管理方案至關緊要,原因之一,在於涉及到在處理其他資訊技術時,通常須採取大多數治理措施盡在其中。因此,該標準可確保組織具備人工智慧的治理基礎。
該標準就治理機構在其組織內使用人工智慧方面的作用提供了指引,並鼓勵組織使用適當的標準來支持其治理人工智慧的使用。
該標準提供治理機構在組織中扮演的角色,使用人工智慧規則的指引,並鼓勵組織採用適當標準襄助使用人工智慧的治理。
從理解使用人工智慧的治理衍生效應所必需的範圍內,該標準處理人工智慧的性質和機制:哪些是使用人工智慧帶來的其他機會、風險和責任?強調重點在組織使用人工智慧的治理(此項目係由人類完成),而非構成任何人工智慧系統的技術。但是,從事治理皆需瞭解該項技術。
組織的目標、倫理及其他指引係反映在其政策內,既為正式地亦可為非正式地。該標準既檢查治理和組織的政策以及實務應用,並提供指引,協助上述事項適應於運用人工智慧。在各相關事項,該標準引用個別的國際標準,如:社會責任、可信任性(包括風險管理、偏差與品質管理)、合規性管理。
該標準為ISO/IEC JTC 1 資訊技術的聯席委員會,所屬之技術委員會SC40 資訊技術服務、治理,與SC42人工智慧合作制訂。
該標準亦供各類社群當做指引使用:
該標準適用所有類型組織,包括公私營公司、政府部門和非營利組織。該國際標準適用於各種規模的組織,無論其是否獨立於資料或採用何種程度的資訊技術。
監督:監測組織和治理政策的實施以及組織設定的相關任務、服務和產品的管理,以適應內部或外部環境的變化。
風險:不確定性對目標的效應。
風險偏好:組織願意追尋或留置的風險數量與類型。
合規義務:組織必須遵守的要求,以及組織自願選擇遵守的要求。
合規:履行組織的所有合規義務。
附錄A提供治理與組織做出決策的概念綜覽,及相應之國際標準。
組織的治理機構負責將傳統目標內容轉換成財務目標及非財務項目,包括文化、價值及倫理成果。由此產出組織與治理政策並廣為周知,且結合多個面向:管制、企業關鍵績效指標、與各種執行面溝通事項。
組織的當責單位是且僅是治理機構,不得轉嫁。
組織的治理機構持續地負責考慮組織之密切相關項目,如:引介新工具、技巧或技術。
治理機構成員須保證自身,且向利益相關者佐證說明,前述政策及交互作用、人事資源、組織採用的流程和技術。這不是新任務,而是加入人工智慧後,潛在帶出組織的新目標、達成或延展既有目標,從而更加有效果與有效率。
該標準對於支持組織(公共或私營)的穩健管理方案至關緊要,原因之一,在於涉及到在處理其他資訊技術時,通常須採取大多數治理措施盡在其中。因此,該標準可確保組織具備人工智慧的治理基礎。
該標準就治理機構在其組織內使用人工智慧方面的作用提供了指引,並鼓勵組織使用適當的標準來支持其治理人工智慧的使用。
該標準提供治理機構在組織中扮演的角色,使用人工智慧規則的指引,並鼓勵組織採用適當標準襄助使用人工智慧的治理。
從理解使用人工智慧的治理衍生效應所必需的範圍內,該標準處理人工智慧的性質和機制:哪些是使用人工智慧帶來的其他機會、風險和責任?強調重點在組織使用人工智慧的治理(此項目係由人類完成),而非構成任何人工智慧系統的技術。但是,從事治理皆需瞭解該項技術。
人工智慧(AI)
人工智慧擁抱多種技術,將計算力、可擴展性、網路、聯結型設備和連結界面,以及鉅大數量的資料聯結在一起。該標準提到的人工智慧是指一系列技術和方法,而非僅指某個具體的技術、方法或應用。另見ISO/IEC 22989 人工智慧概念及詞彙。人工智慧的使用
該標準所謂的「運用人工智慧」係從整體概念入手,凡是開發或應用人工智慧系統,無論在該系統生命週期的何種階段,用以達到組織的目標或增加價值,皆屬於此項概念。此處亦包括提供或使用人工智慧系統的任何參與方面。使用人工智慧時治理的衍生效應
該標準範圍已考慮運用人工智慧衍生效應時的組織,無論既已採用何種強力工具,採用了人工智慧便帶入新的風險和責任,故組織運用此項工具時皆須謹慎處理。人工智慧的本質不涉及「善良」或「邪惡」,「公平」或「偏差」,「倫理」或「非倫理」,即便使用人工智慧時予人該等印象。組織的目標、倫理及其他指引係反映在其政策內,既為正式地亦可為非正式地。該標準既檢查治理和組織的政策以及實務應用,並提供指引,協助上述事項適應於運用人工智慧。在各相關事項,該標準引用個別的國際標準,如:社會責任、可信任性(包括風險管理、偏差與品質管理)、合規性管理。
該標準為ISO/IEC JTC 1 資訊技術的聯席委員會,所屬之技術委員會SC40 資訊技術服務、治理,與SC42人工智慧合作制訂。
範圍
該標準提供組織的治理機構成員指引,得能治理使用人工智慧,以確保其效果、效率及得以使用在組織內且獲得接納。該標準亦供各類社群當做指引使用:
- 執行管理階層;
- 外部企業或技術專家,如:律師或會計師、零售或工業協會、專業機構;
- 公共部門與立法單位;
- 內部與外部服務提供者,包括諮詢師;
- 評鑑者與稽核員;
該標準適用所有類型組織,包括公私營公司、政府部門和非營利組織。該國際標準適用於各種規模的組織,無論其是否獨立於資料或採用何種程度的資訊技術。
參考文件
- ISO/IEC 22989:2022, 資訊技術 — 人工智慧 —人工智慧概念和術語
- ISO/IEC 38500:2015,資訊技術 — 組織的 IT 治理 (參見專文討論)(2024年第3版已出版)
詞彙
使用人工智慧:在人工智慧系統生命週期的任何階段開發或應用人工智慧系統,以實現組織的目標。監督:監測組織和治理政策的實施以及組織設定的相關任務、服務和產品的管理,以適應內部或外部環境的變化。
風險:不確定性對目標的效應。
風險偏好:組織願意追尋或留置的風險數量與類型。
合規義務:組織必須遵守的要求,以及組織自願選擇遵守的要求。
合規:履行組織的所有合規義務。
組織治理
一般規定
參見ISO 31000,第3.5條,治理得以引導組織、內外部關係邁入正軌,其流程和實務皆達到預期目的。管理階層轉換治理為策略及相應目標要求,以達成預期之持續績效與長期繁榮的水準。附錄A提供治理與組織做出決策的概念綜覽,及相應之國際標準。
組織的治理機構負責將傳統目標內容轉換成財務目標及非財務項目,包括文化、價值及倫理成果。由此產出組織與治理政策並廣為周知,且結合多個面向:管制、企業關鍵績效指標、與各種執行面溝通事項。
組織的當責單位是且僅是治理機構,不得轉嫁。
組織的治理機構持續地負責考慮組織之密切相關項目,如:引介新工具、技巧或技術。
治理機構成員須保證自身,且向利益相關者佐證說明,前述政策及交互作用、人事資源、組織採用的流程和技術。這不是新任務,而是加入人工智慧後,潛在帶出組織的新目標、達成或延展既有目標,從而更加有效果與有效率。
(引入人工智慧時) 保持治理
治理機構為組織訂出目的、核准必要策略,旨在達成前項目的。無可諱言,加入人工智慧後,既有治理內容難免需要調整。管理階層負責決定關於挑選人工智慧工具,如:人工智慧系統;前提是須參照及符合治理機構訂定的指引事項。為建立此等指引,治理機構須瞭解人工智慧通用詞彙,以利工作推行,如- 組織策略考量的重大利益;
- 組織的重大風險,因其潛在地可能危害一群利益相關者;
- 增加組織的義務。
治理機構以其風險偏好須評鑑預期使用的人工智慧。風險可能變化多端,新見解和積極主動方法為組織提供應對風險的手段。因此,如果必要時,該組織承認願意修改或中止專案。詳情見ISO/IEC 38506:「ISO/IEC 38500應用於IT支持投資的治理」。
使用人工智慧的密切相關事項:
使用人工智慧的密切相關事項:
- 更多地依靠技術和系統獲取資料並確保其品質;
- 人工智慧系統(包括深入瞭解其中包涵的目標、假設和規則)的透明度和可解釋性,替代使用部分或完全自動系統處理以前由人類執行的任務和問題(如:信用評等),以及修改和更新某些演算法的適當流程;
- 考慮到現有的指引與管制不再適合確保所需要的結果(從而減輕非預期後果的風險)的或然率,甚至可能折衷處理。皆是由於當委派給某個人類時,會視情況做出不同的假設,而不是使用人工智慧或從人工智慧獲得協助;
例子:「推遲到年節假日之後再償還貸款」的指示,對某個人類操作員來說是足夠明確的,但對於一個人工智慧系統來說卻不夠精確,無法正確執行。 未使用人工智慧的組織之銷售和營運受到(競爭者使用人工智慧)帶來的競爭壓力;
- 雖然接受使用人工智慧系統,卻未意識到或考慮潛在的偏置、錯誤或傷害,或將人工智慧嵌入既有複雜系統的衍生效應;
- 自動學習系統的變化速度與相應的人為遵守管制之間的差距愈來愈大;
- 人工智慧對勞動者的衝擊,考慮關於歧視、損害勞工基本權利、作業自動化、技能喪失、再培養技能等,引起裁員以及可能遺失組織知識等,宜於巧妙運用人工智慧提高人類創造力,通過將重複、瑣碎或危險的任務轉換給人工智慧系統處理,從而提高工作品質;
- 對企業營運和品牌聲譽的衝擊。 使用人工智慧亦可減少或消除某些既有風險,因此治理機構須檢討與調整其風險評鑑。
例子: 在部署人工智慧系統以輔佐從事重複型任務的人類時,或者在要求人類不斷監督尋找罕見異常情況的系統(如:保安警衛)時,人工智慧系統可以減少出錯的風險。
引入人工智慧時保持當責
治理機構的成員負責組織的視察和成果,以及能夠獲得係稱做出保證的系統和實務。該等成員對組織各層級做出的決定當責,包括經由使用人工智慧做出的決定,以及在部署人工智慧的地方涉及治理和管制的適當性。因此,該等成員對使用人工智慧的當責,才是組織認為可以接受的。
治理機構須承擔使用人工智慧的責任,而不是將該項責任轉嫁予人工智慧系統。治理機構成員負責知情使用人工智慧系統帶來的可能性和風險。治理機構的成員須意識到擬人化人工智慧的風險,該等現象使人類的特徵(如:思維作用、情感表達、做出判斷、泛道德化)係過度地附加給人工智慧系統,或許並不恰當,但對於理解使用人工智慧的作用卻是該角色的必要條件。
治理機構成員對組織的不當措施當責。例如組織內部的盡職、關心、指導、訓練、視察和強制執行等不當情況將導致問題出現,此種當責可以由治理機構本身、或利益相關者、或通過其他手段予以確保。治理機構成員可能面臨罰鍰、免職或法律矯正等措施。
因此,治理機構須確保其做法符合組織內適用人工智慧的具體用途。可以包括審查、當必要時,予以加強:
指示:通過在組織內使用人工智慧有關的政策、策略、資源配置、倫理守則、價值陳述、宗旨或其他工具;
視察:在組織中使用人工智慧,須經由評估人工智慧,評鑑其對組織的價值和組織的風險偏好,並得以確保其實施、監督、量測、確保決策和其他機制;
評估:考慮不同的因素,例如與組織有關的內部和外部因素、當前和未來的威脅和機遇、所取得的成果、現有治理機制的效果和效率,以及對所做出的決定和備選方案的判斷。
報告:向利益相關者展示,對人工智慧的使用正由當責人員有效地治理(參見ISO/IEC 38500, 4.2節的「評估」、 「指示」、 「監督」各項任務說明。)
治理機構須確保具備必要的因應能力,處理使用人工智慧的衍生效應事項。可以考慮下列措施:
詳細內容參見標準原文。
(未完,見續篇)
治理機構的成員負責組織的視察和成果,以及能夠獲得係稱做出保證的系統和實務。該等成員對組織各層級做出的決定當責,包括經由使用人工智慧做出的決定,以及在部署人工智慧的地方涉及治理和管制的適當性。因此,該等成員對使用人工智慧的當責,才是組織認為可以接受的。
治理機構須承擔使用人工智慧的責任,而不是將該項責任轉嫁予人工智慧系統。治理機構成員負責知情使用人工智慧系統帶來的可能性和風險。治理機構的成員須意識到擬人化人工智慧的風險,該等現象使人類的特徵(如:思維作用、情感表達、做出判斷、泛道德化)係過度地附加給人工智慧系統,或許並不恰當,但對於理解使用人工智慧的作用卻是該角色的必要條件。
治理機構成員對組織的不當措施當責。例如組織內部的盡職、關心、指導、訓練、視察和強制執行等不當情況將導致問題出現,此種當責可以由治理機構本身、或利益相關者、或通過其他手段予以確保。治理機構成員可能面臨罰鍰、免職或法律矯正等措施。
因此,治理機構須確保其做法符合組織內適用人工智慧的具體用途。可以包括審查、當必要時,予以加強:
指示:通過在組織內使用人工智慧有關的政策、策略、資源配置、倫理守則、價值陳述、宗旨或其他工具;
視察:在組織中使用人工智慧,須經由評估人工智慧,評鑑其對組織的價值和組織的風險偏好,並得以確保其實施、監督、量測、確保決策和其他機制;
評估:考慮不同的因素,例如與組織有關的內部和外部因素、當前和未來的威脅和機遇、所取得的成果、現有治理機制的效果和效率,以及對所做出的決定和備選方案的判斷。
報告:向利益相關者展示,對人工智慧的使用正由當責人員有效地治理(參見ISO/IEC 38500, 4.2節的「評估」、 「指示」、 「監督」各項任務說明。)
治理機構須確保具備必要的因應能力,處理使用人工智慧的衍生效應事項。可以考慮下列措施:
- 改進成員們人工智慧相關技能;
- 增加組織使用資訊技術與人工智慧的檢討頻率;
- 檢查及更新用於監督內部和外部環境的使用準則;
- 須確保納入成員利益與關切事項,如:工作場所安全、員工訓練、工作品質;
- 增強視察措施,建立或擴充次級委員會以推動策略、風險、評鑑或稽核、及倫理事宜。
- 考慮使用人工智慧的潛在衝擊;
- 規劃企業策略時結合使用人工智慧;
- 人工智慧系統生命週期涉及運用在採購、實際運用、組成型態、展開、測試及各種專案階段;
- 人工智慧曝露在環境變更時,人工智慧系統的學習與措施、決策與產出、對利益相關者的衝擊;
- 適度的保全管制措施須確實發揮作用,以保護組織、其利益相關者及其資料;
- 當退役時,亦須包括存放在人工智慧系統內的知識與資料。
- 錯誤理解技術本質;
- 做出不恰當的治理決定;
- 忽略恰當的人工智慧之治理視察;
- 既有的治理範圍疏於納入人工智慧;
- 不恰當地或無所不在地應用某項技術,而未顧及特定前後環境、適宜地規劃、政策考量或訓練等相關事項;
- 疏於處理人類與人工智慧系統新浮現關係中的衍生效應。
詳細內容參見標準原文。
(未完,見續篇)
沒有留言:
張貼留言