2024年5月12日 星期日

資訊技術使用人工智慧的治理衍生效應(五之六)

ISO/IEC 38507:2022
資訊技術 — 資訊技術治理 — 組織使用人工智慧的治理衍生效應(續)

風險

風險偏好與管理

組織治理(無論實施方式)包括定義組織目的和目標及如何達成的策略。考慮到組織的該等策略,組織的治理機構決定風險偏好,尋求達成目標。依循該等風險偏好並支援治理機構於風險偏好事項做出決策,組織建立風險管理過程。

風險管理涉及為組織組合相關資訊以做出決策及處理風險,而治理機構須定義整體風險偏好,和組織目標,委派組織各管理階層做出決策過程關於識別、評鑑和對待風險。不同的治理角色和管理階層在處理風險之討論如下:
  • 本文件敘述為組織添加的治理考量,如:開發、採購或使用人工智慧系統。此等考量包括新的機會、風險偏好的潛在變化及新的治理政策,以確保組織負責任地使用人工智慧系統。
  • ISO/IEC 23894:2023 係組織導入人工智慧系統須考量新增風險所執行管理過程。(參見另一專文介紹)
對待風險涉及兩個方面,一方面治理機構決定及當責風險偏好,另一方面管理階層的工作在維持風險於已同意的風險偏好界限內。


檢討既有風險管理過程時須特地檢查涉及做出決策、使用資料、文化與價值觀以及合規性等的風險,是否皆明確瞭解並加以管理。經此方式,組織因為導入人工智慧系統而增加風險的前後環節方得以釐清。只要識別出該等風險,治理機構得以佔據較佳位置做以下事情:
  • 確保妥善考慮風險以設定組織目標;
  • 瞭解追求組織目標時所面臨的風險;
  • 確保已經實施管理該等風險的系統且有效地運作;
  • 確保該等風險未逾越組織的風險偏好;
  • 確保有效地傳達該等風險的資訊及管理事項,參見ISO 31000第5.2節。
風險管理
風險管理積澱在組織活動內,儘管人工智慧系統可以為組織帶來利益,組織目標關於良好治理做出決策、使用資料、以及組織期望的文化和價值觀,仍須更新以考慮使用人工智慧衍生的衝擊。

組織努力地保護其原則與價值觀、其身分及名譽、其利益相關者、其市場、其環境、與保護其得能自由採取措施,邁向成功。

為因應人工智慧引致的風險,治理機構須設立:
  • 適當的內部規則與政策;
  • 適當的特定次級組織、過程與工具,經過設計,確保或強化價值觀、原則及內部控制,供做良好治理的基礎。

此外,治理機構須確保組織的承包機構及外包機構遵循相同的實務規範及政策。

該等措施提供任何利益相關者協助識別與報告不符合之人工智慧系統的相關行為,得以做出有意義的及合宜的回應。此等事項特別重要,尤其在涉及複雜供應鏈時,凡是名譽、財務或其他形式的風險可能疊加出現在主力協力商或大宗物料採購者。在不同組織的風險偏好發揮作用的情況下,該組織須清楚瞭解在合約關係中使用人工智慧的影響。

圖4展示組織目標、風險來源、管制範例:
  • 組織追求中的目標,如:保護自身名譽;
  • 因為使用人工智慧而帶給組織新增的風險來源;
  • 某些技術上和組織上管制可以用來對應該等風險。


目標

組織欲經由風險管理過程所保護的目標,不僅包括資產保護,如:資料、資訊系統、應用編碼、演算法及設備,亦包括關懷責任、文化與價值觀、自身名譽及策略。參見圖4的組織目標示例。
  • 當責與負責:治理機構須為組織的內部和外部使用人工智慧之當責與負責的單位
  • 名譽和信任:此項考慮的風險視角是組織本身。然而,既然組織並非孤立存在狀態,因此宜考慮其利益相關者及營運環境。組織面臨風險的關鍵考慮因素須包括影響客戶和供應商等利益相關者的風險的後果及可能性。
  • 照顧責任:組織對內部和外部利益相關者負有責任並可能承擔法律責任。此項可能涉及所有利益相關者的福祉和保護其權利的義務,此處須考慮依照管轄區域的法律或法規要求事項的後果;利益相關者的權利如:獲知重要財務、健康或居住服務資料、人權事項如自由居住或個人隱私權。在照顧責任存在重大風險的情況下,治理機構須要求額外的組織管制,以有效地處理此類風險,並確保該等風險莫超出組織的風險偏好。
  • 安全:如果使用人工智慧系統存在重大的實體或情感類傷害風險,該組織宜特別警惕該等傷害的性質和後果。必要時,組織宜建立適當的不間斷的安全管理制度,並考慮使用人工智慧如何得以減少人類曝露於危險性活動。
  • 保全與私密性:組織須確保其營運安全,特別是在需要保密和個人隱私重要的地方。該等目標不會因使用人工智慧而改變,特別是考慮到人工智慧系統能夠從資料模式推斷出新的資訊。
  • 資料:資料是組織的重要資源,對其保護和維持完整性須為組織的目標。
  • 透明:組織決策的透明度可能是治理機構樂於維持的目標。利益相關者希望至少瞭解一些不明顯的輸入和變數,透過該等輸入和變數得以瞭解組織如何做出決定,無須計較做出該決定時使用了多少自動化。

參見相關標準ISO/IEC TR 24368(參見另一專文介紹), ISO/IEC TR 24028, 及ISO TS 31050 (參見另文介紹)對上述目標的深入探討。

風險來源

該組織須根據適用人工智慧系統的領域的範圍和性質以及部署的人工智慧系統的類型,期待更多的風險來源。人工智慧的某些用途將得到限縮和控制,從而給組織帶來很小風險、或無額外風險。其他使用途徑將組織曝露在前所未有的重大風險。

此外,如ISO/IEC 23894所示,尚未成熟的技術,如:開發和應用人工智慧系統時採用的技術,將給組織帶來未知風險,或者難以評鑑。另一方面,成熟的技術涵蓋較大量變動式經驗獲得的資料,因而較易辨認和評鑑風險。衡量人工智慧系統成熟度的一套「準備程度」特徵表達可用於評鑑和監測風險。

尚無法將資產、價值和目標直接映射到風險來源或風險管制,因為該等項目中的任何一項的作用都可能影響到任何其他項目。

圖4所示的風險來源示例係因使用人工智慧有關的風險來源,儘管該等來源亦可適用於許多其他技術或過程。按照所使用的人工智慧系統的範圍和性質,組織宜期待更多的風險來源。 示例如下:
  • 資料來源供應:因為機器學習系統的模型建立和訓練需要使用資料,則資料的品質與適宜性極為關鍵,須配合預期使用及系統目標一致,調整過的資料可以容許由於模型中毒和錯誤分類引致的對抗式攻擊。
  • 規格未詳盡:往昔軟體開發、問題性質與解決方式係緊密連結,全因人類參與其中運用兩者兼容的方式。可是人工智慧系統的解決方式可能完全不同於往昔初始設計開發和安裝妥當的系統,則準確性、清晰性、問題規格的範圍、系統要求、設計系統目標、涉及的內化式行為界限皆會是重要角色。
  • 價值鏈:供應與分配人工智慧系統會包括由組織外部使用人工智慧系統的風險,故須明確定義當責性,且由價值鏈中不同參與者協調同意。
  • 非期待偏置:人工智慧系統使用的演算法、訓練與測試資料、及機器學習模型等係竭力對應及預期實際外界狀況,按各自的性質,此等系統僅為一小部份的抽樣觀點,可能產出物對應到樣本而非實際外界狀況,從而引致非期待偏差。參見ISO/IEC TR 24027
  • 缺乏機器學習的解釋性:人工智慧系統的複雜性將引致風險,使得很難解釋為什麼人工智慧系統得出某個特定結論。此點不同於往昔資訊技術系統,因為由人類定義某個演算法程序而得出答案。一個人類可以受到質疑、經過複檢、按其位置和名譽進行評鑑、並須當責,並對各種編碼予以測試,以確保它產生預測的答覆。
  • 缺乏人工智慧專業能力:使用人工智慧需要的係與往昔開發軟體的不同技巧,儘管仍需該等技巧,新增技巧包括瞭解資料分析與統計學、建模化與演算法設計及測試、以及人類技能如倫理和同理心。
  • 網路安全威脅:實施某些人工智慧系統對網路資安威脅係脆弱又不易辨別,因其幾乎未留下可識別的痕跡。
與使用人工智慧相關的其它風險來源及對人類的衝擊,如:
  • 淘空技能:漸增地使用人工智慧於例行性做出決策即代表人類漸漸減少累積經驗,人員經驗減少(「功能萎縮」)將會移除相關機會:人類技能強化、做出決策能力、專業能力。此類淘空現象對人類技巧開發是組織的風險,亦是社會的共通風險。
  • 合約問題:組織須確保使用人工智慧時各項適用的合約、法律及良好實務等要求仍然有效。若干種人工智慧應用,系統從寄生的組織獲得的資料與實務中學習,由初期及投入使用的期間皆同,由此而得的人工智慧系統將影響組織,是否按照適用的合約、法律及良好實務等一貫地提供服務。
  • 環境問題:治理機構須考慮使用人工智慧訓練與資料處理時消耗能源導致二氧化碳排放量增加的風險;亦須考慮使用人工智慧雲端服務及端點設備的硬體運行引起的污染及資源折舊與加速報廢等風險。
  • 個人自主能力:人工智慧的使用愈來愈能決定個人在新聞、娛樂、互動、產品和服務等方面遇到的選擇範圍。此等決定的頻率和普遍性不斷增加,意味着治理機構須考慮使用人工智慧對個人和社區的人類自主能力的衝擊。
  • 錯失機會:治理機構有時過於保守,無法利用新的機會。如果治理機構沒有利用人工智慧提供的機會,組織就會面臨來自確實利用此種機會的組織之日益激烈的競爭。
管制

管制的目的是維持或修改風險,使它們保持在組織的風險偏好範圍內。此類管制可以經由管理結構、審查委員會或管理程序實施的組織管制,也可以是通過資料庫訪問限制、軟體編碼或資料過濾等措施實施的技術管制。

圖4所示的管制僅代表小部份人工智慧系統有關的例子。

圖4所示的風險管制例子:
  • 適用性:對人工智慧系統的描述,包括其算法、資料和模型,應足夠透明,以確保其適用於預定用途。
  • 倫理審查委員會:對於組織確定了高風險、高利益相關者衝擊或其他閾值的應用程序,常見的風險管制方法是使用倫理審查委員會,以確保與組織的文化和價值觀保持一致。
  • 管理過程:設計和實施管理流程是滿足品質、安全性、隱私和合規性等要求的常見做法。可以針對與人工智慧系統相關的要求建立類似的流程。
  • 技術管制:軟體內建的技術管制可以協助處理某些風險的實施管制;參見ISO/IEC TR 24029-1
  • 教育和訓練:參與使用人工智慧所有階段的每個人都應接受適當的訓練,以確保各人獲得和部署必要的技能。
詳細內容參見標準原文。

(未完,見續篇

沒有留言: