這篇是由Saumitra Das所寫2026年1月26日Corporate Compliance Insights的文章"Decoding Duty of Care in the Agentic AI Era"。對於AI,現在都還在追趕、樂觀、想像階段,對於會對公司、管理層、董事產生什麼責任與治理問題,還不是很明確。以下分享部份內容。
AI做的決定,誰要負責任?
底線:就算組織沒有刻意要造成傷害,也可能要遵守注意義務標準。
對監理機關而言,關於AI引發的遵循失靈之意圖或控制概念,都還在發展中。然而,注意義務比意圖重要。在安全或遵循之齡的狀況下,組織需要準備提出—他們有遵守最佳實務,合理地部署相關系統,包括查核追蹤與風險評估。他們必須維持完全的紀錄以詳述:所依循的具體流程,並提供明確證據展現—部署前是如何作風險與效益之平衡評估。
確保瞭解的最佳實務
與代理AI有關的主要問題之一,就是對組織資產不夠瞭解,同時也沒有生產、代理流程與資料暴險的模式清單。
為驗證自動代理所做的決定是可供監理目的查核及追蹤的,每個代理工作流程都應該盡可能紀錄。尤其要包含下述內容的紀錄:
*代理身份
*操作者
*每個行動的思考過程
*行動使用的工具
*系統發出哪些資料供外部搜尋
除此之外,任何做出的決定都應該比對所使用的該項模型及相關資料,還有,任何作為模型脈絡的資料,此稱為擷取增強生成(retrieval-augmented generation,RAG)。提供即時理解的統一平台,可增強這個流程、確保全面性、防止竄改。
確保遵循的最佳實務包括:具備來源、目的與減少偏見的資料治理策略;有一個集中化的治理架構以促進跨部門監督;以及落實分層風險架構,以符合各種案例敏感性的監督層級。比如,對於管理基本的聊天機器人就不用這麼嚴格,但是對於高風險領域(比如財務決定)就要更嚴格審視。
定義防衛機制及責任
為確保代理AI系統的資料流程符合演進中的規範,比如歐盟AI法或美國聯邦與州級的隱私法規,組織應該要做到下述事項:
1.聚焦於資料治理(包括標明來源、目的或資料),並確保在用作決定或訓練模型時,資料不會有偏見。
2.建立明確的AI行動紀錄,包括代理的規劃行動(思考鏈),以及使用哪些工具和最終會發揮什麼作用。
3.流程中若要代理工作流程持續,定義哪些部分有人在的核准方式。
4.主動改善對AI模型與代理工作流程的紅隊評估,並對提供代理AI的第一方、第三方系統作整體性的網路安全評估。
未來幾年,我們將會看到越來越多組織增加「AI長」一職,並建立一個集中化、跨部門的風險管理團隊,提供關於落實AI模型、他們應如何使用、要具備什麼架構而確保遵循方面的指引。
資料來源:https://www.corporatecomplianceinsights.com/decoding-duty-care-agentic-ai-era/
沒有留言:
張貼留言