從工作模式到策略決策,隨著人工智慧(AI)快速崛起,尤其是企業對生成式AI應用越益成熟,AI所帶來的風險也讓合規、監管與公司治理等AI治理相關的課題漸漸浮出檯面。根據IBM觀察,由於不少企業對於生成式AI產生內容的穩定度、可信度、透明度、公平性、資訊安全與隱私保護仍有諸多顧慮,目前仍有近一半的企業僅於試行或實驗性質的階段。
從工作模式到策略決策,隨著人工智慧(AI)快速崛起,尤其是企業對生成式AI應用越益成熟,AI所帶來的風險也讓合規、監管與公司治理等AI治理相關的課題漸漸浮出檯面。根據IBM觀察,由於不少企業對於生成式AI產生內容的穩定度、可信度、透明度、公平性、資訊安全與隱私保護仍有諸多顧慮,目前仍有近一半的企業僅於試行或實驗性質的階段。
其中關鍵點即在於企業的AI治理並未完全落地,根據五月公布的IBM全球CEO調查,高達75%的受訪企業CEO均認為有效的AI治理才能確保AI的可信度,但僅有39%的受訪者表示其企業已落實AI治理。
台灣IBM諮詢首席資料科學家謝明志指出,企業對於生成式AI應用確實有很多期待與想法,然而若想在未來幾年大規模的推展,做好AI治理將會是企業的第一要務。「過去幾年,已經有不少案例突顯出AI治理的重要性。例如2016年發生AI聊天機器人一上線就被網友帶壞,在對話中充滿種族歧視、性別歧視言論而遭下線的案例。2019年高盛在美國發行Apple Card,卻有明明是共用戶頭與財產的夫妻,但妻子能申請到的額度卻不足丈夫的十分之一,因而爆發了Apple Card信用額度的演算機制有性別歧視的嫌疑。」
他提到,不只企業,政府組織也高度關注此一議題,2023年義大利隱私保護監管機構因資安、隱私的各種疑慮而下架ChatGPT,而後在OpenAI解決了相關疑慮後才恢復開放;2024年,歐盟更是在直接在法律層級的EU AI Act畫出紅線,明文禁止在公共場合不能使用生物辨識技術等預測性工具,AI治理的重要性也可見一斑。
三課題落地負責任AI
根據IBM觀點,AI治理指的是能夠協助確保人工智慧系統和工具,符合安全與道德規範的流程、標準以及護欄。有效的人工智慧治理包括監督機制,解決偏見、侵犯隱私和濫用等風險,同時促進創新和建立信任。
謝明志觀察,企業落實AI治理,首要解決的課題就是要有明確的標準作業程序(SOP),才有辦法讓設計好的治理執行框架與規章制度得以真的落地,包含如何判斷公平性、如何驗證其可解釋性,都要有很務實的做法,才有辦法真正把規章制度落實到日常的維運中。
其次要有精確評估的技術手段,舉例而言,如果要從台北開車上高速公路到台中,如果車上沒有時速表與油量表,如何確保上路安全?同理,如果企業大幅度地運用AI,如何知道AI有沒有學壞,有沒有正常地工作,有沒有按照它被賦予的任務去執行,這時就必須要有KPI度量的手段,來獲悉有沒有發生歧視或偏見,可解釋性與可追蹤性有沒有被適當地保持。因此,運用技術手段去監控、評估AI是否有正常的工作,也是落地負責任AI重要的一環。
第三則是要落實自動化,假設企業已部署數十個乃至於上百個AI應用,單靠人力要確認AI每分每秒有沒有正常工作有其難度,這時就須仰賴自動化技術來協助企業更輕鬆地完成,如此才有辦法可以真正地落地到企業的IT、行銷或是數據單位。
AI治理手冊加速規模化應用
研究AI已經超過60年的歷史,IBM最令人印象深刻的莫過於1997年開發超級電腦「深藍」(Deep Blue)打敗了當時西洋棋的世界冠軍。一路走來,IBM也一直致力於希望AI可以落實到企業,十幾年前就開始研究AI的可解釋性與公平性,也與歐美各國的政府單位充分合作,協助政府組織去奠定AI治理的一些做法、規範、技術的KPI衡量的一些演算法,而這些豐富的經驗,最終也呈現在《AI治理手冊》中。其內容完整涵蓋兩個階段、三個步驟以及八個要點,從策略規劃到執行落地,目的就是協助台灣企業按部就班地進行AI治理,加速實現AI規模化應用。
其中,兩個階段分別指的是第一階段的「建章立制」以及第二階段的「深入日常營運流程的治理實施」。前者是從制定AI治理規章制度、建立組織內部流程啟動AI治理,而後者則是透過Plan(計畫)、Do(執行)、Check(檢核)、Action(改善行動)來循環管控。這兩個階段將組成一套端到端、完整的AI治理流程。而在治理落地過程則透過三個步驟與八個要點動態執行。
台灣IBM諮詢數據與科技轉型資深顧問協理林桂如解釋,在建章立制的階段中,企業要採取的步驟就是制定一個全企業統一的準則,往下對應到的執行要點就有組織與人才規格設計、治理流程與問責制度設計、變革管理與教育訓練,以及治理工具與平台的運用等等。而在第二階段,對應的則是步驟二「定期校正」以及步驟三「各AI系統遵循」,其對應到的執行要點則有資源盤點與風險評估、AI場景規劃、AI生命週期治理以及安全與隱私保障作法。
她進一步說明,全球AI治理法規不斷演進,企業內部的AI能力也須與時俱進,因此必須定時反饋,回頭檢查企業本身的成熟度以及企業內部的AI資源盤點,以制定AI治理的風險弭平計劃。進入到步驟三後,就會往下深入到各個AI系統,從資料的產生與注入開始,就嚴加管理,以避免造成AI系統的偏移、歧視或是偏見。此外,針對AI系統業務應用的定位以及技術治理的指標到底要怎麼設定,例如AI系統的公平性與可解釋性要如何計算?目前仍有不少企業不知從何著手,具體來說,須先確立AI應用以及其業務目標為何,其背後連結了哪項技術指標,並且以該項技術指標作為規劃,再往下觀測AI系統整個生命週期,從資料的準備一直到AI開發、模型的測試與部署管理,以及後續的運行、監控與維護。
「當然最重要的部分就是安全跟隱私的保護。各國的AI治理的指導原則都提到安全與隱私保障,」林桂如說明,這就是完整AI治理流程全貌,企業可以將其想像成是GPS導航,用來指引企業到達AI治理的正確的目標。
法規標準跟進 新加坡FEAT原則可借鏡
隨著各國加緊腳步頒布AI治理規範,金管會也在今年六月正式公布「金融業運用人工智慧(AI)指引」,內容涵蓋六大核心原則,包含建立治理及問責機制、重視公平性及以人為本的價值觀、保護隱私及客戶權益、確保系統穩健性與安全性、落實透明性與可解釋性以及促進永續發展等。
不只台灣政府,新加坡金融管理局(MAS)也發展出FEAT原則,即公平性(Fairness)、倫理(Ethics)、問責(Accountability)以及透明性(Transparency),並且於去年帶領Veritas聯盟,發布開源工具包Veritas Toolkit 2.0,以協助金融機構負責任地應用AI。
「為了回應企業和社會對AI技術規範和指引日益增長的需求,全球第一個人工智慧(AI)管理系統國際標準ISO/IEC 42001也在去年發布,著重的重點類似企業的AI體質健檢,根據各種不同的面向,包含組織流程等等,協助企業判斷風險落差。」她提到,在亞洲國家中,新加坡在AI治理的進展其實最快,其所設計的原則重點更為落地,除了要求收集AI應用系統數據外,也會將其落實在企業的組織跟流程的問責機制,當系統發生問題時,便可以透過框架跟機制,快速地釐清是資料工程師應該負責,還是資料科學家應該要對模型負責。
三階段助力啟動 合規也要效益回收
林桂如強調,IBM所發布的AI治理手冊其實就涵蓋了上述法規要求與框架重點,而且會分三階段來協助企業啟動AI治理,針對基礎的合規,IBM會先花費6到9個月的時間協助企業先盤點AI系統,並且針對企業內部的AI系統做風險分級。再依據AI系統與數據協助企業設計組織流程,以及未來落地執行問責的制度,並且依據風險落差來補強。
第二階段則是協助企業改善體質,針對不同風險與技術的AI應用,依風險落差制定改善作法,並且加以實施,包含系統、數據來源以及流程跟組織均須加以改善,在這個階段大約需要再花三個月的時間來落實分級落地管控。
最後是規模化全企業實施,「導入AI或生成式AI並不只期望合規而已,企業投入大量資源與預算,採購AI設備、打造AI腦,還是會期望能夠有成本效益的回收。」她提到,IBM也希望協助企業未來能夠大規模實施可落地的AI治理,讓這些AI系統跟平台能夠商業化大規模部署跟應用。此時就需要運用到自動化治理的機制跟平台,才能夠因應大規模的AI部署。「其實有不少企業目前的AI運行模型已經多達八、九十個,如果資料的收集都用人工或Excel的方式,根本就沒有辦法做到完善的治理。因此,在大規模部署的階段,自動化的一個平台跟技術就很重要。」
金融以機制監督 打造更好的互動體驗
毫無疑問,人工智慧、生成式AI技術已然改變了產業的運作方式以及與客戶互動的模式。而這其中,金融產業面臨的挑戰更甚,由於業務需要,金融單位往往需要收集消費者諸多的個資或隱私資料,再加上法規遵循的壓力,也使得金融產業不得不開始正視AI治理。
謝明志指出,不少金融產業為了提供給顧客更好的服務體驗,紛紛運用AI或生成式AI來打造互動式體驗,不管採用的大型語言模型是來自於雲端或自建於企業內部,治理的目的就是在營運的過程中,讓企業能掌握到這些互動的細節,例如有沒有帶歧視、偏見或是不當言語,如此才能有辦法得知該項功能是否有按照規劃與期望運作。
而落到實務上的作為,首先就必須要有一套機制、系統,定期地自動化把這些資料收集下來,同時運用多個專案型AI,各自負責偵測不當言論、歧視或是個資隱私,簡單地說,就是會有一個監督的AI治理的方法/模組,專門針對任務去監控個互動過程,將會一個比較恰當的做法。
至於,涉及到隱私或是不當言論是否要在回覆給客戶前就應該要被發現,則取決於風險評估,他提到,完善的AI治理也應該把細節納入考量,如果是與消費者有關的線上服務,甚至會談到銷售或貸款內容時,就必須以高規格來看待,在回覆消費者之前,所有回覆的內容都需要經過檢測,才能與消費者互動。但如果是員工的訂便當系統,由AI來建議今天可以吃哪家便當,像這類的應用本身敏感度就不高,因此就不需要花費高規格的資源進行處理。這也是為何AI治理框架也需要風險分析,不同的風險等級需要有不同的規劃設計以及資安防護措施才能確保AI穩固運行。