資訊技術使用人工智慧的治理衍生效應（三之六）

ISO/IEC 38507:2022
資訊技術 — 資訊技術治理 — 組織使用人工智慧的治理衍生效應（續）

使用人工智慧的益處
治理機構在考慮展開人工智慧以追求組織特定機會時，須為已經識別出來，包括組織未來成長或較佳地達到組織目的和目標。該種情況，治理機構須衡量機會和風險及其他使用的衍生效應，須確保存在視察機制並運作之，以檢討展開情況符合組織策略方向、目的和價值。人工智慧可以用於滿足組織目標及創造價值，獲得下列結果：

• 營運成本降低；
• 新產品和服務以加快既有商業模式崩解；或
• 組織轉換，如公共機構法人或非盈利機構。

組織潛在地已經在例行營運時使用人工智慧。舉例言之：

• 採用衛星導航系統辨識最有效率的卡車路徑；
• 大部份網路搜尋以人工智慧回覆提問、找類似圖片或文件；
• 生產力應用以人工智慧提示某張投影片設計的較佳演示，或是改進某份文件的文法；

更多的應用可以在各個領域找到案例，如：農業、國防、教育、保健、製造、運輸等；或是運用不同的展開模式，如：雲端服務或現場系統、網路結合實物系統。在ISO/IEC TR 24030收集甚多實務運用及展開模式。
人工智慧可以做的事項，如：

• 改變產品、過程及服務的性質；
• 自動化收集回饋、訴怨、翻譯、檢討或資料分析，而加值性活動保留給人類執行、如：匯整做出結論、做成決定；
• 增進顧客服務、生產力及產品品質；
• 改變與顧客及供應商的關係，由此亦即員工與顧客、供應鏈之間的關係，由於使用智慧代理工具，如：聊天機器人，以利收集相關資訊、揀選及轉送要求內容，協助處理產品、服務或收費等問題，或解決異議。
• 增進製造與農業的作業效率，從「自動化協助」移向「完全自動化」。
• 從使用的語言樣本中識別說話者最可能的意向
• 由類似疾病大規模傳播的歷史資料預測當前疾病的演變方向
• 經由檢驗細胞而提供癌症現況的建議；
• 建議核准或拒絕某項貸款。

組織如此地運用人工智慧可以帶來利益，但也可能面對新的或尖銳的挑戰，如：新增的風險或偏置，參見該標準另節使用人工智慧的詳細討論。

© All Rights reserved. 版權聲明。

搭配人工智慧可以讓組織重塑其適用該產業的策略及應用模式，可以去改變如何為利益相關者創造價值，及如何擷取該等價值。使用人工智慧亦可為勞動階層創造機遇，如：經由使用人工智慧動員較大的創造力、增強競爭力及不同工作機會，從而消除重複的、瑣碎的或不安全的任務。人工智慧技術以此種途徑可以為組織帶來豐碩的轉換契機。治理機構須學習人工智慧為組織展現的機會，適當時，促成採用。

當使用人工智慧處理該等任務的過程重任時，組織可以專注在為任務的努力與資源上，因為是人類的努力方得以增加價值，而非人工智慧的自動化或重複性行為。

使用人工智慧的限制
組織可以輕易鑑別使用人工智慧的利益，治理機構須瞭解當組織使用它時所帶來的限制與義務。為了適當地治理該等限制與義務，組織須採取以下措施：
增加視察符合性：若人工智慧缺乏合宜視察，治理機構須瞭解組織內使用人工智慧的限制與義務，可能難以解釋或與組織政策衝突。
處理使用範圍：確保自動化範圍受到治理機構的合宜視察，且由獲得合宜授權及技巧人員恰當地實施。治理機構須確保維持住必要的權力、責任及當責性，且該種自動化的後果須接受檢查並予以瞭解，方得實施。
評鑑與處理對利益相關者的衝擊：當某些決定對利益相關者產生負面衝擊時，如：銀行拒絕某個顧客的貸款申請等；組織須確保該項衝擊不至於因為使用人工智慧而惡化。現存的風險與衝擊評鑑須配合對應過程，如：保護合法權利、確保法律的確定性等，須予以維持其有效性
使用該等技術時須決定法律要求的義務：愈來愈多情形當使用人工智慧及相關解決方案時，如：臉孔辨識或自動化駕駛汽車，受到各方挑戰且可能引致新的法律要求。治理機構須展示如何符合該等義務且遵循相關要求，當要求時並合宜地解釋。
使用人工智慧配合組織的目標：創新式使用新技術對大多數組織而言係攸關生存能力及健康性，在此種情形下，治理制度亦鼓勵此類創新。不是每個專案都是策略性非常重要，如：削減成本專案；但總體而言，使用人工智慧可協助組織觸及目標。
使用人工智慧配合組織的文化與價值：人工智慧系統推薦某些決定須配合組織的政策、期盼（亦包括使用時的衝擊）與倫理考量；
確保解決問題適當考慮到前後關係： 組織須確保資料中的前後關係要素不可或缺，方得以從本質上理解行為、價值及文化，乃可使用該等資料解答問題；
組織使用人工智慧可能帶來新增風險應予檢查：檢查組織的目的與目標，考慮識別出風險的可能來源；若決定使用人工智慧，配合對抗風險的因應措施，組織須駐留在既定的風險偏好界限內；

使用人工智慧的組織，暨適用組織及其利害相關者的其他事項，除了上述各項限制，人工智慧系統亦有其技術限制，治理機構須從管理階層獲得保證，係稱限制受到妥善管理。

處理人工智慧使用的政策
一般規定
人工智慧系統利用資料建立模型及做出預測，順帶可以潛在地自動做決定和措施。與人類資源、過程和技術所做的事相同，對前述的決定和措施係由治理機構當責，某些使用人工智慧而產出未符合政策之情況，或做出的結果並非既定政策預見者。

某組織適用的指示與管制不使用人工智慧的規格與授權，很可能不適用另一個使用人工智慧的組織。

持續的有效性治理係要求檢討及潛在地增強現有治理機制與管制，以確保該機制與管制的強固的、清楚的及適用於涵蓋新增的治理考量，亦包括管理階層的指示，係因人工智慧系統帶給組織和其利害相關者。

治理機構與經理階層須進一步連結可能因使用人工智慧系統而衝擊到的利害相關者，如：人員及其代表，牽涉組織實施人工智慧系統的整個過程，經由資訊、諮詢與參與過程。

此小節的指引內容係供治理機構瞭解及更新須考量的政策，以降低發生組織使用人工智慧系統可以避免或非預期後果。它不應也不是可以妥協的。

參考ISO/IEC TR 38502, 第4.1.3節，經理階層負責確保達到組織在既有之治理機構制訂的策略及政策。治理的任務是在治理機構與經理階層密切合作情形下順利達成，參見圖3。
圖3 使用人工智慧的治理衍生效應（參見ISO/IEC 38500的圖1）

圖3係基於ISO/IEC 38500圖1的資訊技術治理模式。

無論使用任意技術，治理機構須設置與視察達到的成果與原則的一致性。該等原則係內部制定或外部組織指定之。

技術創新速度及超越法律要求宜提醒組織在使用人工智慧方面主動維持一組原則，並確保當組織使用人工智慧時仍然適用。

治理視察人工智慧
治理機構須確保設置人工智慧時亦安排視察機制，適宜於組織使用人工智慧時的相關風險。

奠基在組織政策的治理視察須識別責任配置線中個別與整合的當責性。好的治理須奠基在系統應用及前後環節上的通用瞭解，另參見ISO/IEC 23894, 第6.3.3節，ISO 31000, 第6.3.3節。

治理機構須確保治理視察人工智慧包含下列事項：

• 具備政策確保適當的使用人工智慧
• 責任、責任配置線、當責、授權及潛在地委任授權皆已明確訂定，且由組織及對應者雙方同意，對應者既可以是組織內部，亦可以是價值鏈中的相關者。
• 使用人工智慧時須有足可勝任的人員視察
• 任何人員使用人工智慧或負責人工智慧的使用
• 具備適當的瞭解所使用的人工智慧系統
• 適當地知情及受過訓練，包括如何及向誰提出關切事項
• 獲得授權以做出決定，或知道轉介至可以做出決定的人，並知道誰應回報
• 擁有足夠管制人工智慧系統，包括可能的話必須要介入。

做出決策的治理
做出決策的治理是組織全部治理的一部份。

權力和責任逐級分散給整個組織的人員，以便分散所做工作和做出決定的負擔。無論該等授權或責任在何處，治理機構對所做的一切工作和所做的決定都當責。其中一些決定和一些工作可以愈來愈多地由人工智慧系統做出和執行，但治理委員會仍然對人類的決定和工作當責。

治理機構須監督決定的種類及自動化系統和直接管理產生的決定和產出的類型，以確保通過適當的管制，將該等系統配置為在可接受邊界內運作。該等管制措施須使治理機構適當瞭解係稱決定是否符合組織政策，配合上述事項亦須提供任何例外情形。

治理機構應確保將對該等管制的積極視察委派給一名具備適宜資源的工作人員，該工作人員具備授權對識別出來的問題做出或促成反應。由人工智慧系統提供的自動化決策的使用不會改變治理機構對該等決策的當責，亦不改變係稱授權人員的當責。

 
組織內做出決策的相關要件如示：
與目標一致性：決策須與組織的目標一致，保持在組織所能提供的資源、已定義的風險及其他管制事項內；
負責層級：確保做出決策的層級配合所賦予的權力及責任而聯結的決策係良好治理的關鍵要求。定義出可能的決策範圍和衝擊而配合前述安排的責任層級，是授權所屬人員適宜地行動之必要項目，從而造成整個組織更為積極進取。由人工智慧系統在措施與決策時須明確定義人類的當責性，並委派具有適當授權及工具的所屬人員，以執行受委派的任務，如：可見性、視察、品質管制等；當出現問題時並採取矯正措施。
做出決策的適任能力：做出決策者須具有適當技術及受過訓練以對其負責事項做出決策；須實施管制以確保人工智慧系統係適合於受到指派的任務，參見ISO/IEC 24028。
做出決策的過程：利害相關者愈來愈強調做出決策的透明度，其中包括報告的要求事項、策略指示及內外部使用者的交互作用。加強透明度伴隨發生的是昇高參與及關切做出決策的行為。因此做出決策的過程及合宜地降低不良決策後果的相關對應措施，係重要的治理機制，且隨著漸增的人工智慧系統而愈顯重要。
做出決策的視察：治理機構須確保具備合宜視察，以實施管制而確保有效的做出決策的有效能力，並有合宜可見度既符合組織政策做出決策與特例事宜處理。做出決策的符合性特例事宜，須決定是否需要增加透明度及當責制。須向所有利益相關者提供合宜手段，以查明和報告不符合規定的行為，或一般的決策結果，並給予有意義、及時和充分的回應。

資料使用的治理
某些人工智慧系統倚賴資料以建立和訓練某個模型，因此資料治理是人工智慧回應的關鍵。治理機構須確保初期階段便具備合宜的治理和管理，對應該等資料的妥切運用及敏感資料受到保護和保全（參見ISO/IEC 38505-1）。此處包括如：組織如何符合其義務的文件化、涉及採購及銷售、私密性及保全、資料保存期和銷毀、視察自身的資料管理政策。

加強人工智慧系統的資料治理包括下列考慮事項：

• 人工智慧系統的相關設計選項；
• 資料收集；
• 相關資料準備處理的運作，如：予以注解、予以標籤、清理、豐富化及聚合化；
• 提出相關假設，須注意資料係用於衡量和代表之資訊；
• 事先評鑑資料的可取得性、品質、數量和適宜性；
• 檢查可能存在的偏置；
• 查明任何可能的資料差距或短缺處，以及如何處理該等差距和短缺處。

人工智慧系統（特別是涉及機器學習）與其他資訊技術系統的主要差別是特別倚重資料推論以產出信賴性層級的結果。次要差別是具備和使用訓練資料，且依其品質從而增進或拉低衍生結果的品質。此點不同於軟體開發係依賴人類按照既定邏輯步驟構思與撰寫程序以產出結果。前述的資料導向解答問題和適用性系統呈現彼此系統之間的差別。既然資料品質是人工智慧系統績效的關鍵，治理機構須從管理階層尋求保證為了預期使用的人工智慧系統而自始便必須要求資料品質。

人工智慧系統使用歷史性資料予以訓練會因應用情形而有下列後果：

• 重複以前的錯誤；
• 做出「不受良心約束的」決策，係因為資料中未紀錄後果；
• 根據不同於人類理解的方式之新穎組合情況或資料而做出決策，例：串聯顯然非相關的不同資料集；
• 監督與行為的資訊非屬自願揭示的必要內容。

上述結果往往稱為誤解或錯誤，皆因引入不完整、帶有錯誤的或不合適的資料。有時候稱為（但不一定就是）「人工智慧偏置」。只不過，偏置是人類引入或給出的限制，而非人工智慧系統。

在人工智慧系統中使用資料時，須檢討資料使用和資料管理做法的既有管理方式。此外，對於共享的人工智慧系統，如：產業分析等，可要求額外的治理政策和管理管制。

 
其他技術資產，如：演算法、神經網路及自然語言處理系統等，在既有的組織和治理政策內亦可以要求該等強化措施。

組織須考慮採用ISO/IEC 38505-1提供關於使用人工智慧的治理內容，用於資料使用：
價值：資料品質與數量，各自的及時性、前後環節及使用衍生的成本；
風險：資料保全、錯誤使用及私密性、以及不槓桿運用資料涉及的競爭風險；
限制：法律要求、合約義務、著作權或商業利益。

參見附錄A.3資料使用治理。

資料及其被各組織使用是所有組織及其利益相關者日益重要的問題。根據ISO/IEC 38505-1概述的治理原則、模式和資料等特定方面，治理機構須採取措施，確保有效地治理、投資於組織對資料的使用，並處理涉及該等使用的風險。此處亦包括確保正確的資料被用於正確的目的。

詳細內容參見標準原文。

（未完，待續）