這一篇是由Woodruff Sawyer所寫、2023年9月28日在Harvard Law School Forum on Corporate Governance所刊載的"Artificial Intelligence: Practical Considerations for Boards and Management Teams"。以下分享對AI風險的分析、AI訴訟趨勢及公司關於AI風險管理上的實務考量部分內容。
這篇文章想探討以下幾個面向:
*簡單說明傳統AI與生成式AI的差異
*探討值得注意的AI相關風險,以及相關的訴訟與執法趨勢
*討論某些治理AI的法律與監理架構
*向董事會和經營團隊分享實務考量
傳統的AI與生成式AI
企業不是現在才在用AI的。像聊天機器人、供應鏈強化、品質控管,甚至向客戶推薦衣著風格的系統,都是傳統的AI,其依賴於預先設定的規則做決定或執行任務。因此,傳統AI典型上限定在其任務範圍之內。
生成式AI則不限於預先設定好的規則做決定。它可從大資料庫提出新的方法或生產獨特的內容。比如製藥業,生成式AI可用失敗的臨床測試資料,生出新的測試設計。生成式AI可能會模擬臨床測試。它也可能會協助生成法律與遵循文件,但也充滿了風險。
AI相關的風險要素
使用AI有關的潛在風險包括:AI模型所依據的假設缺乏透明度、其決定可能包括偏見與歧視、侵犯隱私、社會操弄,以及下一次的金融危機。
Weil, Gotshal & Manges事務所最近有一份報告,探討了公開發行公司的AI相關風險:在S&P 500中有100家公司會在季報或年報中的風險要素揭露部分,納入AI。某些對外揭露的風險包括升高的網路安全風險、有缺陷的AI演算法、名譽損害、競爭損害、法律義務,以及與變化中AI法規相關遵循的挑戰。
AI的訴訟趨勢
在某些公司已經看到AI相關風險成真,並進入訴訟。
*Cigna遭遇集體訴訟,因為這間健康保險公司使用錯誤的演算法電腦系統,拒絕了會員申請醫療支出的理賠。電腦程式審視了數千名病患的健康保險理賠之申請,但在過去這是由人工負責的。據說,醫師在其中只是個橡皮圖章,沒有親自審視每件理賠案。這會違反加州法規—要求保險公司須對每件理賠案「做公平且客觀的調查」。
*線上輔導公司iTutorGroup與US Equal Employment Opportunity Commission (EEOC)達成36.5萬美元的和解協議,因為他們違反Employment Act (ADEA)的年齡歧視。爭點在於,iTutorGroup的輔導申請軟體會自動拒絕年齡在55歲以上女性及60歲以上男性的申請。該公司以年齡為由,拒絕了200個據資格的美國申請案。
基於這樣的趨勢,作者認為在不久的將來會看到:因重大AI事故造成股價下跌,會引發的證券集體訴訟。隨之而來的可能是對董事監督責任的求償。
AI風險管理之實務考量
以下是當公司、董事會與經營團隊在營運中使用AI技術時,給他們的一些實務考量:
1.確保AI的使用與公司營運策略一致。有鑑於與AI使用相關的風險具有多面性,故單位負責人或行銷領導人不應是單獨的推動者或決策者。相對地,此決策最好是在管理階層與董事會討論過後才做,就像其他重大策略措施一樣,是經過考量及核准的。
2.評估AI專長並在需要時予以強化。公司會想要考慮評估:其董事會與經營團隊是否具備AI相關知識,藉此能適當地評估AI措施。在董事會層級,AI的應用知識能有效履行其受託責任,包括對公司營運進行監督的職責。在發展AI措施的經營團隊方面,具AI專長的管理團隊會更能應對複雜的法規環境。公司會想要考慮接觸外部顧問,以填補任何落差,並在需要作進修。公司是否要聘請具AI專長的人士或任命董事,基本上由公司自行決定。AI長與董事關於AI方面的訓練,會比起過去幾年更常見。
3.建立一個AI治理架構。在發展AI措施時,公司會考慮發展治理架構,以確定董事會與管理階層的角色與責任。對董事會,這個問題或許是核准層級:是由整個董事會?還是授權審計委員會監督AI風險?還是把監督AI使用之責授權其他的功能性委員會?在管理階層,要確定哪些主管擔任落實公司AI措施的主要推動者,並在AI治理上擔任與董事會聯繫的主要負責人。由於AI相關風險的多面性,公司或許最好建立一個部門的主管團隊(包括遵循、法務、資訊安全、營運單位的領導人)。
4.評估與管理AI相關風險。AI相關風險無論是否為法務、監理、道德或名譽的,董事會與經營團為都需要瞭解這些風險,以便對AI做出明智的決定。對有成熟企業風險管理部門的公司而言,AI可能會納入其風險儀表板內。
5.將AI納入更廣的網路安全風險管理流程。公司應該要確保:在更廣的網路安全風險管理流程中考慮AI措施。作者建議公司,與保險公司確認:網路責任保險是否涵蓋到其所面對的AI相關風險,還有任何與已規劃AI措施有關的AI相關潛在風險。
6.發展AI事件回應計畫。大多數公司都知道網路安全事件回應計畫。這個計畫要說明公司預先設定好的行動及程序,以偵測及減少網路安全攻擊,並從中復原。而AI事件回應計畫,不會完全不同。這個計畫是公司發生與AI相關的違規或爭議時,可加以利用的,包括公司如何避免與減少名譽損失。
7.董事會與管理階層持續進修。
8.訓練員工。對參與發展與落實AI措施的員工而言,公司應確保他們瞭解法律、監理與遵循要求。公司也會制定一個流程,在其中員工就能快速發覺潛在問題。這些步驟將協助AI措施創造一個遵循文化。另外,所有公司或許會考慮採取相關政策,來說明他們對員工使用AI的態度,特別是關於生成式AI。
9.留意AI措施相關的成本。AI措施的成本,不可避免與實施面以外的成本發生關聯。比如,公司可能會想AI與財務報導系統相連結。除了考慮新系統資金的成本,公司也會想考慮投資更健全的風險評估、治理控制與流程,以及監控的成本。在發展採行AI措施的預算時,要一併考量相關成本與相關資源配置問題,否則會是個令人挫折與不完整的流程。
以下分享幾個文中提到、我感覺的外部連結,可進一步再瀏覽。
在「AI風險管理之實務考量」部分第二點的Deloitte的“Does your company need a Chief AI Ethics Officer, an AI Ethicist, AI Ethics Council, or all three?”,網址:https://www2.deloitte.com/content/dam/Deloitte/us/Documents/process-and-operations/ai-institute-aiethicist.pdf
第六點提到Debevoise & Plimpton的"The Value of AI Incident Response Plans and Tabletop Exercises"。網址:https://www.debevoisedatablog.com/2022/04/27/the-value-of-airps-and-ai-tabletops/
第七點提到的"Exploring The Security Risks Of Generative AI"。網址:https://www.forbes.com/sites/forbestechcouncil/2023/04/19/exploring-the-security-risks-of-generative-ai/?sh=3f027af03594
資料來源:https://www.jdsupra.com/legalnews/artificial-intelligence-practical-7633233/
沒有留言:
張貼留言