當前���,人工智能治理面臨的挑戰(zhàn)是如何梳理浩繁的文獻�,找出針對特定組織量身定制的人工智能治理實施方案�。本文基于NIST于2023年發(fā)布的AI風險管理框架�,旨在在加強人工智能治理方面做出嘗試,以便對讀者����,尤其是GRC(治理、風險與合規(guī))領域的專業(yè)人士提供實用參考����。
評估AI風險
AI系統(tǒng)設計有不同程度的自主運行能力。與之相關(guān)的最主要風險有哪些��?
AI的十五個最大的風險如下:
缺乏透明度
偏見和歧視
隱私問題
倫理困境
安全風險
權(quán)力集中
對AI的依賴性
取代就業(yè)
經(jīng)濟不平等
法律和監(jiān)管挑戰(zhàn)
AI軍備競賽
人際關(guān)系的喪失
虛假信息和操縱
意想不到的后果
存在性風險值得注意的是�����,AI可能會因其使用的組織性質(zhì)而產(chǎn)生獨特風險����,超出普遍存在的風險范疇���。
AI可信度
NIST規(guī)定了可信AI應具備以下特征:
合法有效且可靠
安全無害
安全且具有韌性
可追責且透明
可解釋且可理解
隱私增強
公平對待且妥善管理有害偏見根據(jù)NIST的說法,“高度安全但不公平的系統(tǒng)�,準確但不透明且不可解釋的系統(tǒng),以及不準確但安全����、隱私增強和透明的系統(tǒng)都是不可取的。風險管理的綜合方法要求在可信度特征之間取得平衡���?����!逼渲械年P(guān)鍵詞是“權(quán)衡取舍”����。
AI風險管理框架核心
NIST規(guī)定的RMF框架包括四個功能�����,如下所示:
治理
映射
測量
管理
治理作為跨領域功能���,旨在貫穿并指導其他三個功能�。執(zhí)行AI RMF核心功能時,應考慮到多學科視角��,可能還需要聽取組織外部的意見���。
以下是AI治理的關(guān)鍵建議步驟:
01、在風險度量中應考慮可信AI的七個特征����。
02、每個特征應根據(jù)環(huán)境背景進行定量或定性評估�����,最好是定量評估并以百分比表示��?����;陲L險管理成本效益分析��,或者監(jiān)管/行業(yè)要求尋求平衡��。
03�����、應從多學科利益相關(guān)者視角,包括內(nèi)外部利益相關(guān)者����,考慮AI系統(tǒng)的可信特征,特別是那些造成重大的社會經(jīng)濟后果的AI系統(tǒng)��。
04����、每項風險管理框架核心職能的類別和子類別應作為指導方針,并在行使每項職能時加以應用�����。
05����、重要的是,這些指導方針應基于環(huán)境背景考慮�����,而不是一個嚴格的檢查清單����。
06����、審計人員應將AI審計視為“管理審計”或“社會審計”���,并運用相應的原則����,而非財務審計或內(nèi)部審計原則���。這一點適用于所需審計的AI組件。
AI原則實際應用的案例研究
下文簡要介紹了微軟如何利用人工智能倫理委員會管理其AI開發(fā)的案例研究���。2018年3月�����,微軟宣布成立一個由AI和研究小組的總裁和執(zhí)行副總裁領導的人工智能與工程研究倫理委員會(AETHER)���。截止2019年初,AETHER擴展為AI�����、倫理和工程與研究成果的委員會。AETHER分為七個工作組:
1�����、敏感用途
用于評估自動化決策對人們生活的影響
2�����、偏見和公平性
用于評估對少數(shù)群體和弱勢人群的影響
3��、可靠性和安全性
以確保AI系統(tǒng)對抗攻擊具有魯棒性
4�、人類注意力和認知
監(jiān)控算法注意力竊聽和說服能力
5、可理解性和解釋性
為機器學習和深度學習模型提供透明度
6��、人類與AI的交互與協(xié)作
提高人類在AI系統(tǒng)的參與度
7���、工程最佳實踐
為AI系統(tǒng)開發(fā)生命周期的每個階段提供最佳實踐
微軟成立AETHER的決定向其員工��、用戶���、客戶和合作伙伴發(fā)出非常明確的信號,即微軟打算將其技術(shù)標準提高到一個更高的水平。
行業(yè)特定指南可以加強AI治理
AI為人類帶來了許多好處和優(yōu)勢��,但仍然需要對相關(guān)風險進行全面管理����。因此,遵循全面的框架將避免組織做出臨時性的決定���,并確保各利益相關(guān)者之間建立更好的信譽和信任�。
隨著AI的不斷發(fā)展�,監(jiān)管機構(gòu)正在制定各種開放框架以適應不同的環(huán)境和行業(yè)。像ISACA這樣的專業(yè)機構(gòu)可以利用其專業(yè)知識和知識庫��,通過制定行業(yè)特定指南補充這些框架�。
