Reading Time: 少於 1 minute
根據新的國際標準(ISO/IEC 42001 與 ISO/IEC 23894),將人工智慧視同標準軟體處理,無疑是災難的配方。以下將詳細解析「人工智能風險評估」的實質內涵,以及為何此刻就需實施。
💡 為何需要人工智能風險評估?
- 保護價值與聲譽(針對決策者)
風險管理不僅是為了避免罰款,更關乎「價值的創造與保護」。展現對負責任人工智能的承諾,能與利害關係人及客戶建立信任,這對技術的採用至關重要。
- 促成負責任的創新(針對開發者)
若總在疲於應對突發問題,便無法持續創新。人工智能系統透過持續學習改變行為。穩健的風險框架有助於預見這些變化,讓您能在安全的前提下突破界限。
- 因為人工智慧風險具有獨特性(針對資訊技術總監)
標準的資訊科技管控措施無法涵蓋所有風險。人工智能帶來諸如「資料污染」、「模型竊取」及「缺乏可解釋性」等新型威脅。您需要一個專屬框架來區分「可接受」與「不可接受」的風險。
此評估是人工智能管理系統規劃階段的核心組成部分,包含以下三個明確步驟:
1. 風險辨識
組織必須找出、識別並描述可能阻礙其達成人工智慧目標的風險。
- 資產辨識:包括辨識有形資產(如資料、模型、人工智能系統本身)與無形資產(如聲譽、信任、個人隱私)。
- 風險來源辨識:組織必須在資料品質、人工智能系統配置、硬體、缺乏透明度、自動化程度及對外部依賴等領域中,尋找風險來源。
- 事件與後果:組織必須識別可能對組織或利害關係人造成影響的潛在事件(如資料污染、模型竊取)及其後果。
2. 風險分析
一旦辨識出風險,組織必須理解風險的本質並確定風險等級。
- 後果評估:與傳統的資訊科技風險評估不同,人工智能風險評估要求分析對以下三個不同群體的影響:
- 組織:(如財務損失、聲譽損害、法律懲處)。
- 個人:(如對基本權利、隱私、安全、公平性、潛在偏見的影響)。
- 社會:(如環境衝擊、對民主進程的影響、歧視的加劇)。
- 可能性評估:組織必須評估這些風險實際發生的可能性,需考量威脅頻率、內部動機及現有控制措施的有效性等因素。
3. 風險評估
評估的目的在於將風險分析的結果與既定的風險準則進行比較,以支援決策。
- 比較:組織將其估計的風險等級與預先定義的「可接受」與「不可接受」風險準則進行比較。
- 優先排序:對風險進行優先排序,以決定哪些風險需要處理(緩解)。
人工智能風險評估的主要特點
- 與影響評估整合:標準明確將風險評估與人工智能系統影響評估連結起來。對個人與社會影響的評估結果,必須作為整體風險評估的輸入資訊。
- 生命週期方法:風險評估應與人工智能系統生命週期保持一致。不同的階段(如構思、設計、驗證、部署)可能適用不同的方法。
- 迭代過程:評估必須按計畫的間隔進行,或在人工智能系統或其背景發生重大變化時執行。
- 一致性:流程的設計須確保重複執行時能產出一致、有效且可比較的結果。
產出
風險評估過程的產出,將直接應用於「風險處理」(選擇控制措施以緩解風險)以及「適用性聲明書」的制定(說明實施哪些控制措施及其理由)。
需要我進一步解釋ISO 42001 附件 A 中為處理這些已識別風險所建議的具體控制措施嗎?
