論及AI治理,各國監管機關愈發重視落地。歐盟最早於2021年發布《EU AI Act》草案;2024年五月,其AI風險分類等級與巨額罰則正式上路,為全球AI治理的立法框架帶來重要影響。
2023年,國際標準組織也公布了第一部可驗證的人工智慧管理系統框架ISO/IEC 42001。2024年六月,台灣的金管會亦發布「金融業運用人工智慧指引」,數度提及軌跡的保留與資安控管,為台灣金融機構提供了具體的落地方向。
當台灣企業紛紛磨拳擦掌、積極嘗試將AI嵌入營運價值鏈之際,更應先行考量如何採行可落地、有效且合規的治理手段,才能為規模化的AI應用鋪路。
若近距離觀察已在內部大規模應用AI的企業,它們通常擁有AI規範與組織要點,但更大的挑戰在於將規範結合流程實作,並確保其符合不斷更新的監管要求。
一個完整、可被驗證的AI治理框架,可分為「建章立制」與「治理實施」兩大階段;先以企業角度建構一致的治理體系,再結合建模與營運之實務經驗,依不同風險分級落實到各AI應用,避免治理淪為無法執行的空泛概念。
在建章立制階段,企業應思考如何建立能在組織內實際執行的合規治理流程與問責制度。AI治理規章涉及金融機構內部四階文件制定,最終是為了落地實施、提升對AI的掌控力與營運。唯有具備紮實的AI營運實際經驗,才能在進行第一、二階文件中政策和規章制定時,精準指引第三、四階流程和表單連結到實際系統分類分級、真實組織協作搭配、日常企業營運的操作步驟等。
從實務面來說,並非每個AI系統或應用都需要相同的治理力道,可依風險等級,搭配不同的緩解計畫。例如,用於內部專員教育訓練的「AI老師」可能僅需輕度的治理,但信貸評估AI系統則需要嚴格的監控和頻繁的驗證;易受到污染攻擊的AI,在建模與營運階段則需增加資安攻擊演練。需結合資安、資料科學與數據營運各專業,以制定可行的規章準則與資安措施。
AI治理唯有落實到行動,才能釋放其價值。因此在治理實施階段,可以機器學習營運(MLOps)為核心主軸,結合對資安與隱私保護的需求,按照數據準備、開發部署、營運監控等階段,落實AI模型的管理指標。許多企業在此階段亦開始評估導入治理平台工具,以做到自動化監控與符合向監管機關及使用者提供完整軌跡紀錄與清晰易懂的監控指標。此外,企業應思考從業務價值、技術可行性、營運資源等層面,全方位規劃AI藍圖策略與措施,例如培養AI治理人才、組織變革管理等,才能更好地應對組織因應用AI而生的各種變化,以及對AI永續的期待。
<本文作者:謝明志現為台灣IBM諮詢首席資料科學家>