自 ChatGPT 在 2022 年問世以來,各科技巨頭也紛紛推出自己的 AI 工具,一時間 AI 成為產業的救世主,亦成為生活中常見的工具之一,當我們享受 AI 帶來的便利與效益時,可曾想過它,安全嗎?
隨著 AI(Artificial Intelligence,人工智能)的盛行,各企業、產業也紛紛導入,將AI運用於生產、研發與管理不同層面,根據歐洲統計局(Eurostat)在 2024 年 5 月底發布的「企業使用 AI 情形」數據指出,2023 年至少使用一項 AI 技術之歐洲企業平均比率為 8%,相較 2021 年成長 0.4%,其中大型企業使用 AI 的比率高於中小企業,而在使用的範疇上,以 AI 將工作流程自動化或輔助決策之用。
AI 被廣泛應用卻也帶來偏見爭議,企業更該進行 AI 管理,增加產業與社會信任度
AI 應用於產業端、生活端的範疇逐漸擴張,然而應用所衍生的偏見及影響,亦衝擊著現今社會,SGS 管理與保證事業群營運總監何星翰指出,近年開始出現 AI 偏見的實例,例如對性別、種族的歧視,不僅引發爭議,也讓企業在 AI 應用產生危機,因此「透過 AI 倫理準則,確保企業運用 AI 有所規範」,遂成為不少國家討論的焦點。
歐盟在 2024 年 3 月 13 日通過全球第一部針對人工智能規範的法規──《人工智能法案》(Artificial Intelligence Act),採用以風險為基礎的方法,對不同風險等級的人工智能系統進行監管,要求企業遵循,美國、日本、新加坡甚至台灣,也陸續為 AI 管理著手擬定相關法案。其實,法規是最低的門檻,在不同競爭模式下,企業需要更多的彈性與進一步的說明,以及來自第三方客觀的證明,才能讓產業、供應鏈之間,擁有可信賴的 AI 成熟度與對話語言,進而拉近彼此對 AI 應用的認知與信任度,同時也實踐企業在使用科技時,對社會的責任與承諾。
ISO/IEC 42001 國際標準,全球第一個AI人工智能管理系統,健全治理政策和程序
為了因應人工智能的興起、帶來的挑戰與應用的管理, 國際標準組織(International Organization for Standardization,ISO)與國際電工委員會 IEC 合作,推出全球第一個 AI 人工智能管理系統 ISO/IEC 42001 標準,它提供了一個可被驗證的AI管理系統(AIMS)框架,用「計畫-執行-檢查-行動」,來制定與人工智能相關的組織的健全治理政策和程序。
這一項全球標準,規定了企業建立、實施、維護和持續改善 AIMS 的要求,希望確保系統負責任開發和使用的同時,幫助企業和社會在使用人工智能的過程中獲得效益。SGS 管理與保證事業群資深產品群經理劉士弘指出,ISO/IEC 42001 標準適用於所有的產業,不論是開發 AI 系統的企業,或是提供 AI 服務的企業,甚至針對僅於內部使用 AI 的組織,都可依循此國際標準導入 AI 管理機制;透過 ISO/IEC 42001 國際標準,能讓企業更安全的使用人工智能、確保所有使用規範、防護措施均合理到位,且在運用 AI 創新與管理之間取得平衡,更重要的是,能夠運用此一管理機制兼容整合相關法令法規要求,滿足上下遊供應鏈、各方利害關係人的期待,且負起相對應的責任。
從風險思維出發, ISO/IEC 42001 標準讓企業銜接省時省成本,兼顧創新與管理
ISO/IEC 42001 國際標準與《AI Act》的核心精神相同,從風險思維出發,希望企業在使用或開發 AI 系統時,先評估相關風險,再根據風險評估的結果,在標準中找到合適的控制措施來應對。SGS 管理與保證事業群專案經理王登右指出,ISO/IEC 42001 的內容管理範籌主要針對 AI 系統的可信性進行管理,如:公平性(是否因 AI 的判斷導致特定族群受到不公平對待)、當責(所有處理 AI 流程之人,可以精準的問責)、透明度(AI 模型的使用、數據來源和數據處理的過程)、可解釋性(解釋 AI 使用的邏輯、決策的過程及結果)、可靠性(產出的質量可以被信任)…等。
究竟 ISO/IEC 42001 國際標準會如何與企業端結合?王登右舉例說,目前很多企業將 AI 人工智能應用於客服系統,透過 AI 去分析、回答客戶的提問,進而蒐集資訊、自我學習。這時 AI 系統的透明性和可解釋性就變得尤為重要,在導入 ISO/IEC 42001 國際標準後,企業端可以透過管理系統的框架了解到 AI 系統的風險,滿足充分告知,讓客戶知道該客服系統背後所運用 AI 人工智能可能產生資料蒐集使用的行為,此外當未來有爭議時,能完整解釋 AI 的邏輯,同時在蒐集客戶個資時考量到隱私保護風險,充分做到去識別化、不過度使用個資等標準。
對企業來說,通過 ISO/IEC 42001 國際標準,必然能強化自己與不同供應鏈之間的信任度,同時也提升社會大眾對企業的信賴感,況且 ISO/IEC 42001 國際標準的主文框架與大家熟知的資安國際標準 ISO/IEC 27001 高度相似且相容。對於已通過 ISO/IEC 27001 的企業來說,相對熟悉,要付出的時間與成本相對較低。
隨著 AI 被廣泛的應用,與企業、個人的生命、隱私或財產,產生高度的連結,因為需要更高標準、高風險的 AI 管理,它需要嚴謹的態度與標準,因此企業更需要國際標準的協助,不僅能節省時間與成本,也能彰顯企業對 AI 治理的決心與信心。最後何星翰強調,未來 SGS 也會善盡第三方客觀的角度,在驗證服務、標準等內容協助各產業,提升 AI 治理的成熟度,讓企業在AI應用創新與道德兼容兼容,既滿足社會大眾的期許,更有底氣與基礎,產生更好的管理架構與經營綜效。
