本部分繼續介紹第二部分,協助董事會監督公司AI相關活動三種方法的第三種「監督AI相關的遵循與控制」,還有董事會的「實務要點」。
三、監督AI相關的遵循與控制
AI會引發需要董事會考量的遵循問題。AI系統可能會納入偏見並缺乏透明,這可能就會引發人們憂慮平等與責任問題。此外,AI系統高度仰賴資料,而這通常與隱私、資料保護規範有關。使用AI—特別是生成式AI,可能涉及智慧財產保護。
AI在美國與國外都是法律與監理的焦點,這並不令人意外。董事會需要瞭解並持續關心這些發展並監督公司的遵循(還有相關政策、資訊系統,以及內部控制),以確保AI的使用符合法律、監理、道德義務,並適當確保能處置潛在風險。董事會應注意到:公司可能面對到與AI相關的遵循與其他風險上的各種方式,包括透過內部發展、其他人授權,或透過併購活動而取得的AI技術。
AI相關規範試圖要平衡:在鼓勵創新的利益、以及對人權與公民自由之間的憂慮,這包括了隱私權、反歧視、消費者安全與保護、智慧財產權保護、資訊完整性、安全以及公平的企業實務。
->美國
美國在聯邦與州層級兩邊都有許多的法律與監理活動。雖然現在還沒有全面性的AI法規,但美國監理機關清楚表示,這一塊不是無法可管的,相關的法規與監管包括有:Enactment of the National Artificial Intelligence Initiative Act of 2020 (NAIIA)、聯邦機關的指引與執法行動、The Blueprint for an AI Bill of Rights,以及其他在國會審議中的法律提案或政策,比如Algorithmic Accountability Act of 2022、DEEP FAKES Accountability Act of 2021、SAFE Innovation Framework。
州法方面,有消費者保護法,包含了隱私法,以及禁止不公平、詐欺的企業實務,都可以用到AI上。
->歐盟
2023年六月,歐洲議會通過了EU Artificial Intelligence Act (EU AI Act),可要求AI開發商、供應商與使用者都負起安全落實的責任。這會要求:在訓練AI系統時對於使用有版權材料要透明,並保障防範用到非法的內容。
EU AI Act是根據歐盟執委會對風險基礎監理方案的提案,這項提案定義了四個層次的風險:無法接受、高度、有限、最低。
(1)無法接受的風險被定義為,使用AI時會明顯威脅到人的安全、生計與權利,這會被禁止。
(2)高度風險是,在使用AI時會造成安全或健康上的風險,比如在交通或手術上的某些使用狀況,還有就業或教育。高度風險的AI會受到嚴格的管制,以確保有適當的風險評估及減緩系統、高品質的資料庫、結果的可追蹤性、明智的使用與遵循、人工監督以及高水準的安全與準確性。
->英國
2023年三月,英國科學、創新與技術部公布了一份白皮書"AI Regulation: A Pro-Innovation Approach",同時也提出了一份提案—旨在透過原則性基礎的方法來關注以下幾點,以鼓勵負責任的創新並降低監理的不確定性:(1)安全與健全;(2)透明與「可說明性」;(3)公平性;(4)當責與治理;(5)可競爭性與補救。
四、實務要點
要確保AI以負責任、道德的方式使用並符合公司策略目標與價值,董事會監督是關鍵。這需要董事會成員瞭解:AI如何在公司內使用,以及AI會帶來什麼潛在機會與風險,包括從演算法和資料偏見而產生的風險。要減緩這些風險,就需要確保:用來訓練AI運算的資料是多元且有代表性的,還有演算法自身是透明且可說明的。
為有效監督AI之使用,董事會應考慮對衡量AI效能,建立清楚的報告線與指標,以及確保對公司的AI使用和對所有機會及風險,有收到定期的更新資訊。從實務的觀點看,董事在監督AI上可參照:他們用於其他事宜之內部控制與政策時相同的受託心態與注意。
董事會應對以下事宜有充分的瞭解:
*企業與產業可能會受到AI什麼樣的顛覆,以及AI會帶來什麼策略機會與風險。
*在公司流程中、在公司使用第三方產品時,會如何使用AI。
*公司對以下事宜如何定位:使用其資料資產時、對AI使用資料可能產生的風險,以及對管理階層追蹤與保護用於訓練與輸入AI工具資料的現行流程?
*AI治理系統管理到位,包括相關業務單位、IT、人力資源、法務、風險與遵循都向該系統適當輸入資料了?
*公司的目標,以及為何AI是達成其目標的適當工具。在評估這個問題時,董事會要管理階層提出:
**公司是否有專業與資源,以負責任的方式追求仰賴AI的策略?
**公司在使用AI時,關於網路安全、營運以及資料取得和管理,其韌性如何?
**會如何衡量成功?
**當提出AI主張、以及當使用AI持續發展時,概念的驗證會是什麼?如何檢測效能及遵循?
**關鍵風險是什麼?以及有什麼可用的風險減緩工具?
**對所有閱聽者(比如使用者、監理機關、企業伙伴或股東)是否有重大揭露考量?
董事會還應該評估:
*是否有適當的管道,可取得關於AI的資訊、建議與專業知識,以瞭解策略機會與風險,並考慮相關的控制。
*管理階層是否辨識:
**來自於AI的企業風險;
**與公司使用AI相關的、所有關鍵任務的遵循或安全風險,如果有的話,與董事會討論這些風險(這些風險應以更頻繁、深入的方式與功能性委員會一起勘測,並出現在委員會的章程、議程及議事錄上)。
*董事會(或負責此事務的功能性委員會)是否:
**在議程中適當反應AI問題;
**定期更新與AI使用相關的立法與監理發展;
**已審視公司關於AI的政策與程序;
**已和管理階層一起考慮,AI對公司網路安全、隱私與其他遵循政策與控制計畫的意涵;
**已和管理階層討論過,在公司使用AI時,對員工、客戶與其他利害關係人(還有環境)可能的誤用和意想不到的後果,以及,如何避免或減少這些風險;
**瞭解AI用作追蹤與評估員工績效的程度,並確保有充分的控制以促進所有相關規範之遵循;
**瞭解公司由誰負責監督AI,以及AI特定的遵循與風險管理,還有公司如何確保遵循AI特定的要求,比如「透過設計而安全」(secure by design)的要求;
**監督公司與使用生成式AI有關的政策與程序,包括這些政策與程序考慮到了潛在的偏見、不精確、侵犯隱私,以及消費者保護、網路和資料安全、智慧財產保護與品質控制有關的問題。
資料來源:https://corpgov.law.harvard.edu/2023/10/07/ai-and-the-role-of-the-board-of-directors/
沒有留言:
張貼留言