對於AI這個爆紅議題,我們的視角是:回歸治理基礎,從董事的受託責任著手。或許董事會要做的,還是同樣的基本功與形式?只是內容會做一些更改。以下分享這一篇由Dominique Shelton Leipzig與 Camila Panama合寫,2023年9月29日在Mayer Brown刊出的"What Boards Need to Know Regarding the Forthcoming Artificial Intelligence Related Legal Frameworks and What They Can Do to Prepare"裡面的重要內容。
目前,有37個國家裡正在研議人工智慧(AI)相關的法律架構,許多政府機構正其管轄權範圍內要處理AI的問題。雖然AI相關新法令預期最快到2025年後才可能生效,但對董事會而言,現在就要開始搞清楚後續的關鍵要求,並考慮積極主動的遵循方法。
新的AI法律架構是要平衡天秤兩端:既要鼓勵創新,也要顧及人權與自由、隱私權、反歧視、消費者安全與保護、智慧財產權保護、資訊完整、安全及公平的企業實務。比如在歐洲,若目前研議的法案通過,未遵循者可能會面臨罰款,某些情況預計甚至會高於General Data Protection Regulation的最高罰金規定—總營業額的4%。在歐洲議會新法的草案中,未遵循者罰款最多可處以總營業額的7%。此外,未遵循者還會有名譽損傷,甚至某些研議中的法規還會追究個人責任。
雖然全世界有各式各樣的AI法規,但還是有一些彼此重疊的關鍵主題。一般來說,新的AI法律架構要求將每公司使用AI的風險予以分類,其類別有:(a)禁止使用;(b)高風險;(c)低風險或風險極低。若屬「高風險」的AI使用,則研議中的法案一般會要求此類AI系統需要在以下幾個領域作持續測試、監控及查核:隱私、網路安全、智慧財產權、反托拉斯、演算法偏見、正確性以及消費者產品/健康/安全。在各AI相關架構之間,有超過70個屬「高風險」的AI使用類別,包括在製藥、醫療器材、工廠、個人金融、就業、健康與關鍵基礎設施等領域。作者預期,使用生成式AI的公司,大多至少會有一些「高風險」使用的例子,因此,當法律最終定案後,他們就要遵守所需的測試、監控、查核工作。一旦各式新法律生效,一般會要求公司落實或更新其AI治理政策,以及企業風險管理(ERM)計畫。
歐洲議會已在2023年6月14日通過了歐盟人工智慧法(EU AI Act),可能是這些研議中AI法律架構之間第一個施行的。最終版EU AI Act目前還在歐盟重要監理機關之間協商,預期最快會在2025年生效。
則,對於即將生效的AI法律架構,董事可做哪些準備?
步驟一:瞭解重大的法律趨勢。全世界現在有超過198個AI相關法律與立法草案正在研議,許多都涉及到董事責任。雖然董事無法知道這些法規的每項細節,但應該考慮瞭解適用於公司關鍵法律要求的相關資訊,並知悉董事在遵循與監督上的最佳實務。AI的法律架構是一直在演變的。由於有高額罰金、名譽損失及潛在個人責任的風險,因此審慎的作法是:董事要做好準備,確保公司在AI相關風險上的遵循與適當監督。
步驟二:對管理階層提出正確的問題。在履行其監督責任時,對於公司AI之使用,董事會應提出深思熟慮、策略性的問題,以確保內部流程符合公司策略與法律要求。
董事會可考慮問管理階層以下問題:(1)我們如何使用AI;(2)我們如何測試、監控與查核正確性、公平性、減少偏見、隱私、網路安全、產品安全、智慧財產權及反托拉斯考量?(3)我們可如何審視與核准AI的治理政策,其包含有管理階層的人為審視?(4)我們如何透過使用AI,辨識並減少所有新的網路相關風險?(5)我們發展的AI與法令與監理預期的方向一致嗎?
步驟三:持續監控「關鍵任務」風險,並保有紀錄。這與董事監督公司「關鍵任務」風險的受託義務一樣,董事在公司AI曝險、潛在業務與財務影響方面有所進修的話是有好處的。為了建立一個健全的監督紀錄,理想的董事會議程應明述重大主題,並在議事錄中記載討論結果。在董事會層級,可使用相關政策來確保評估基本的數據和AI技術,一如對公司其他資產的處置一樣。
步驟四:評估AI相關的實質訓練及/或專家需求。當科技局勢、使用案例及機會持續在演變,AI的世界並非靜態。對董事會而言重要的是,對所有關鍵的相應風險作整體性評估。雖然這不需要瞭解所有與AI相關的詳細技術,但具某種程度的瞭解,可能會有助於完全掌握風險。若董事會沒有具AI經驗的成員,或許可考慮由第三方顧問來協助董事會,此外,也可透過公司內部(比如管理階層簡報、或晉升精通AI相關問題的領導人到董事會)進行重大教育。
當AI對公司業務已不可或缺、但目前又沒有董事能勝任這個領域時,董事會或許要增加具相關特殊經驗與技能的董事。
步驟五:積極主動於遵循。對高階經理人與董事而言,審慎的作法是瞭解AI使用案例以及對公司的相關風險,並發展適當的治理架構,來達成相關法律要求。當AI使用案例持續地快速發展,公司若能及早強化有效的AI治理,將可站在更佳位置快速整合新案例,並遵循即將生效的AI相關法規。
沒有留言:
張貼留言