JD Supra在2024年 9月 4日刊出了這篇由Jacob Bell、Jacob Bell、Ken Kumayama、Stuart Levi、William Ridgway、Nicola Kerr-Shaw、David Simon、Susanne Werry合寫的“ AI Safety: The Role of the Board in Assessing and Managing AI Risk“。
要點
*當人工智慧(AI)系統變得更為複雜時,公司因開發及部署沒有如預期運作或產生問題的AI系統時,所面臨的聲譽、財務與法律風險不斷增加。而潛在風險的範圍很廣,包括助長歧視性行為、引發產品失敗,以及產生虛假、誤導或有害的內容。
*各產業的AI風險及法律和監管義務都不一樣,端視公司是AI系統的開發者、或是部署它的實體,而這兩者之間可能很難劃分。
*董事會也必須因應快速變化的監管環境,然而其未必會提供一致的方法或指引。
關鍵的AI安全風險包括:人員、組織、供應鏈與生態系統
美國國家標準暨技術研究院 (National Institute of Standards and Technology),是美國商務部轄下的機構,負責領導美國政府AI風險管理的策略方法,他們建議從潛在傷害的三個層面來評估AI風險:
*對人的傷害(即傷害個人的公民自由、權利、身體或心理上的安全或經濟機會),例如部署AI為基礎的聘僱工具,因為延續使用過去的資料而產生歧視性偏見。
*對組織的傷害(即傷害組織的聲譽與業務營運),例如使用AI工具產出了錯誤的財務報告,而且在對外公佈前並未經過人為的適當檢視。
*對生態系統的傷害(即對全球金融系統或供應鏈的傷害),例如部署AI為基礎的供應管理工具,因未適當運作而引發了遠超出部署公司範圍以外的系統性供應鏈問題。
公司或許會面臨某些或全部的AI安全風險,而這些風險常常是重疊的。
董事會應該瞭解公司內部AI系統的開發與部署、需遵守的AI監管環境,以及使用每項AI系統的效益與風險。而考量到監理機關及一般大眾對此越來越關注,董事會也應該重新評估那些已使用多年的AI系統。
當前的AI監管環境
美國
迄今為止,美國尚未實施任何全面性的AI法規,也沒有即將推出的法案。相對地,聯邦政府依據2023年十月的AI執行命令(Executive Order,EO)提出了一連串的報告、總體指引以及架構。而白宮一份2024年七月的聲明對這些報告與架構提供了有用的總結。
其中對董事會最相關的是由NIST所公布的一組AI風險管理工具。這包括了AI風險管理架構(AI Risk Management Framework)、管理兩用基礎模型誤用風險的指導方針(Managing Misuse Risk for Dual-Use Foundation Models),以及生成式AI風險管理概述(Risk Management Profile on Generative AI)。NIST對AI聲明與出版品的完整清單,可參見NIST 的「可信賴與負責的AI資源中心」(Trustworthy and Responsible AI Resource Center)。
雖然沒有全面性的聯邦AI法規,但聯邦機構與監理機關已明示,現行法規同樣適用於AI系統。例如,聯邦貿易委員會(Federal Trade Commission)基於其防止「不公平或欺騙行為或作法」的權限,就AI部署提出了許多行動及聲明。
董事會也需要知道各州越來越多的AI法規。例如,猶他州就實施了猶他州人工智慧政策法(Utah Artificial Intelligence Policy Act),其針對使用生成式AI工具與客戶互動的實體施以揭露要求。該法已在2024年五月生效。
同樣也在2024年五月,科羅拉多州實施了科羅拉多州人工智慧法(Colorado Artificial Intelligence Act),旨在防範演算法上的歧視,並針對公司開發或部署涉及金融服務、健康與教育等領域,「具有影響性決策」的AI系統者,責成各式的揭露和風險評估義務。該法將在2026年2月1日生效。
歐盟與英國
歐盟較美國採取更為直接、以風險為基礎的方法來進行監管。歐盟具里程碑意義的AI法,在2024年8月1日生效,並將於2026年8月2日全面實施,以規範所有在歐盟地區內銷售及使用的AI模型。該法根據AI系統其所引發的風險,分為四個等級:不可接受(會被禁止)、高度、有限及最低。每個風險等級則搭配各式的風險評估、揭露與治理義務。
雖然會進一步透過指引來說明這些領域與具體的遵循要求,但正在或可能將在歐盟區域內銷售或使用AI模型的公司,其董事會應該持續瞭解歐盟AI法及其組織遵循的方法。
此外,歐盟隱私監理機關已介入,利用現行的隱私法來阻擋生成式AI產品在歐洲的推出,並針對未經隱私監理機關核准而開發AI模型的公司,採取法律訴訟。
雖然英國尚未有任何類似歐盟AI法的法規,但新的工黨政府最近宣布,打算發展AI安全的立法,而其隱私主管機關—英國資訊委員辦公室(Information Commissioner's Office)已針對那些在部署AI驅動產品前,未完成風險評估的AI公司,啟動了執法行動。
對AI公司治理之指引原則
一般來說,董事會應該記住以下幾項指引,以有效掌握AI的公司治理和管理AI的安全風險。
1.瞭解公司的AI風險概況。董事會應深入瞭解公司內部開發與部署AI的狀況,評估公司的風險概況,可協助董事會辨識AI工具可能引發的特殊安全風險。
2.瞭解公司的風險評估方法。董事會應詢問管理階層,在部署之前是否已測試其安全性、正確性及公平性,以及人為監督和人為決策在其使用中有什麼功能。在風險層級較高的情況下,董事會應詢問AI系統是否為最佳的方法,縱使它可能會帶來效益。
3.董事會應確保公司有管理AI風險的架構,並定期審查以確保適當的實施與監控,同時確定董事會在此流程中應扮演的角色。
4.鑒於AI領域內科技與監管的快速發展,以及持續發現的新風險,董事會應考慮定期審查公司的AI工具方法,包括是否辨識出新的風險,以及如何處理這些風險。
5.鑒於科技及其應用的快速演變,董事會應持續瞭解其產業的特殊風險與規範。
資料來源:https://www.jdsupra.com/legalnews/ai-safety-the-role-of-the-board-in-4251519/
沒有留言:
張貼留言