治理力:資料治理與風險管理是 AI 治理的關鍵

隨著生成式 AI 崛起,應用場域快速擴張,企業想要導入 AI,除了技術、人才、運算外,AI 治理更是不可避免的議題。人工智慧科技基金會董事長、國家通訊傳播委員會前主任委員詹婷怡認為,資料治理與風險管理正是 AI 治理的關鍵。但當企業已意識到風險掌握程度很低時,最好的方式就是先重視 AI 的使用與發展準則。

資料治理:為整個資料生命週期每一階段設定政策和程序

無論從數位轉型或是人工智慧的發展,資料就是一切的核心。詹婷怡指出,一般談及資料問題時,多半聚焦在個資與隱私保護,兩者也的確是重中之重,需要更多的立法與政策溝通,形成風險管理機制與可信任環境。如何提高數據分析應用及資料經濟效率,也能兼顧維護隱私保護的初衷,引發諸多相應制度與法規方向發展的辯論與探討,形成了所謂「 資料治理」(Data Governance) 研究風潮。但目前無論哪個產業,企業普扁對於資料/數據治理的概念仍十分薄弱。

資料/數據治理的重點在於,資料是活的,「它隨時會更新,收集和分類。」詹婷怡說,資料治理不僅是一門研究的學科,也是一門實務的政策;是有效獲取、管理、利用資料相關的一組實踐方法、策略、角色,目的則是希望確保資料在組織內提供盡可能多的價值。

具體而言,就是組織內管理資料的策略,確認資料的品質和安全性,決定誰可以使用什麼資料以及何時使用。詹婷怡解釋,資料不是存在於單一的時間點,它是由來源、清理、更新、儲存、分析、傳輸、備份、刪除等步驟所創造出來的。「為整個資料生命週期每一階段設定政策和程序,才是真正資料治理。」她強調,因此資料治理跟組織的營運制度有關。

實務上來看,許多企業組織雖擁有許多資料,但依然存在許多問題,最基本的問題就是沒有管理機制、多數都不是格式化資料;且即使有格式化,由於資料來源及組成十分複雜,組織也無法確定資料是否可靠;也因為資料品質不定,而無法依賴資料進行決策。因此,資料治理會是一個使組織運用資料形成決策變得「變得可靠的過程」,真正有助於數位轉型和 AI 應用。

有規範和使用準則才能形塑產業

不同於一般的損害主要主張事後回復原狀或損害賠償,在 5G 和萬物聯網的時代,一旦系統出現損害,所帶來的傷害將會極大;加上 AI 的應用中可能潛藏資料與數據偏差、演算法不透明、自主性過高、安全和侵害隱私等風險,因此在 AI 相關的系統發展及產品設計時就必須考量到這些挑戰,這也是需要使用與發展準則及評測的重要原因。

「有規範跟使用準則,才有辦法形塑產業,」詹婷怡說,規範對於產業的形成十分重要,也是塑造或重塑產業的關鍵。從全球趨勢來看,在軟體與系統設計方面,一直以來即有不少規範指南及行業行為準則。隨著 AI 應用蔚為風潮,如 IEEE 在 2017 年 12 月 12 日全球發布第 2 版 「人工智慧設計的倫理準則」白皮書(Ethically Aligned Design V2)指出,當自主和 AI 系統的應用與影響無處不在,我們需要建立社會及政策方面的指南,從而確保這些系統以人為本,並服務於人類價值和倫理準則,因此提出白皮書。

美國國家標準暨技術研究院(NIST)則提出 NIST RMF(Risk Management Framework),RMF 是為企業跟組織管理 AI 系統風險提供結構化跟可衡量的流程,遵循這個流程,可以最大限度發揮 AI 系統風險結構化。「可以看到這些準則多半從風險控管的角度出發,」她解釋,風險包含數據偏差、算法不透明度、自主性過高等,在 AI 風險總體架構中,將討論組織如何構建 AI 風險框架及可信賴 AI 系統該具備的特徵,包括透明度、解釋性、公平性和可追朔性。

近幾年,世界各國政府紛紛提出倫理準則與白皮書或至少開始積極討論,例如歐盟人工智慧法(EU Artificial Intelligence Act)採用「風險原則」/ risk based approach,也就是根據立法者預測 AI 應用的危險程度來管制,並將風險區分為四類:第一類是風險無法接受,這類 AI 由於對人類構成嚴重威脅,因此要全面禁止,包括以行為、社經地位、個人特徵為準的社會評分系統、遠端即時生物特徵辨識系統,以及預測個人會不會犯罪的預防性執法系統等。

第二類是高度風險,也就是可能損害人身安全或基本人權的 AI 系統,必須在上市前接受審查,上市後也要持續追蹤,例如交通、醫療、電梯設備等重視安全性的產品。另外,關鍵基礎建設、教育職業訓練、邊防移民、司法和民主程序等,可能牽扯到歧視或基本人權領域的產品也屬於此類。

第三類是有限風險,例如現今熱門的生成式 AI 就屬於這一類。這類的規範重點是資訊透明,必須標示 AI 生成的內容、必須讓用戶知道自己正在跟 AI 互動。目的是希望 AI 不要被拿來傳播假資訊。此外,如果 AI 系統的訓練過程使用任何有版權的文字、影像、聲音作品,也必須明確列出。這將有助於著作權持有人要求分潤的機會。最後一類則是風險極低的應用,如過濾垃圾信件、遊戲軟體等等,絕大多數應屬於這類,就不需要面對任何特殊規範。

身為許多國際事務組織的參與者及國際事務推動者,詹婷怡認為,國際經驗的參採十分重要,但前提是文化與思維的轉型,國家與政府組領導者、規範制定與立法者、企業創辦人與經營者必須具備數位轉型的理念與行動能力,回到網際網路與 AI 技術與運作本質,了解萬物相連的特質。

除了從風險管理的角度,她更強調,必須想清楚要做什麼,以及如何用 AI 解決對台灣真正有用的議題,大至提升國家競爭力、創造數位發展生態系;也可以是台灣極為重視的 AI 產品與服務。而 AI 的風險管理必須從更高格局,在數位匯流基礎上,思考台灣推動 AI 的目的。詹婷怡再三強調,絕不是只有打入 AI 供應鏈這麼基本的事,更重要的是讓台灣社會整體資訊素養提升,並具備 AI 應用的正確觀念與方法。

詹婷怡說:「很多科技技術帶動的發展,目前不一定有正確答案,但我們有正確的理念、對話與整合的機制,與成熟的多方治理模式時,許多答案就會慢慢浮現。」