為了應(yīng)對(duì)AI使用中日益高級(jí)化的風(fēng)險(xiǎn)���,僅僅“注意使用方法”是不夠的�,構(gòu)建新的治理體系至關(guān)重要。
圖片來源:VideoFlow / Shutterstock
生成式AI是企業(yè)在推進(jìn)數(shù)字化轉(zhuǎn)型(DX)中迅速引入的一項(xiàng)技術(shù)���。在各種業(yè)務(wù)中,它不僅能生成文本��,還能應(yīng)用于圖像��、音頻等媒體內(nèi)容的創(chuàng)作�����,以傳統(tǒng)IT系統(tǒng)所不具備的速度創(chuàng)造商業(yè)價(jià)值。然而����,其背后存在著因處理海量數(shù)據(jù)而產(chǎn)生的風(fēng)險(xiǎn)�。隱私侵犯���、違反法規(guī)��、知識(shí)產(chǎn)權(quán)問題等�,企業(yè)必須認(rèn)真面對(duì)的課題多種多樣�����。 在EY(安永)日本株式會(huì)社擔(dān)任風(fēng)險(xiǎn)咨詢合伙人的川勝健司先生也表示:“正因?yàn)槭巧墒紸I,其引發(fā)的風(fēng)險(xiǎn)問題比以往的IT系統(tǒng)波及范圍更廣。”他特別強(qiáng)調(diào),“圖像和音頻等多樣化的生成物,有可能助長欺詐�、誹謗等犯罪行為���,這是以往所沒有的重大擔(dān)憂�����。” 為了應(yīng)對(duì)這樣日益高級(jí)化的風(fēng)險(xiǎn)���,僅僅“注意使用方法”是不夠的���,構(gòu)建新的治理體系至關(guān)重要��。在緊跟技術(shù)進(jìn)步和監(jiān)管動(dòng)態(tài)的同時(shí),企業(yè)應(yīng)如何引入適當(dāng)?shù)闹坪鈾C(jī)制���?本文首先將從組織體系和策略制定的角度,探討應(yīng)如何推進(jìn)生成式AI的風(fēng)險(xiǎn)管理���。
一、傳統(tǒng)的“合規(guī)部門主導(dǎo)”模式無法覆蓋的廣泛風(fēng)險(xiǎn)
在傳統(tǒng)的企業(yè)治理中�,引入新技術(shù)時(shí)�����,通常由法務(wù)和合規(guī)部門主導(dǎo)制定規(guī)則。然而���,生成式AI不僅涉及安全和隱私,還同時(shí)包含了“數(shù)據(jù)學(xué)習(xí)過程”�、“模型選型”��、“輸出的可靠性/虛假內(nèi)容生成”等需要技術(shù)知識(shí)的風(fēng)險(xiǎn)。
帝國數(shù)據(jù)銀行在2024年夏季對(duì)4705家公司進(jìn)行的調(diào)查顯示����,在利用生成式AI的企業(yè)中,風(fēng)險(xiǎn)應(yīng)對(duì)負(fù)責(zé)部門“尚未確定”的企業(yè)高達(dá)45.1%�����。 川勝先生指出:“法務(wù)合規(guī)人員在監(jiān)管方面有深厚知識(shí)�����,而IT部門則理解技術(shù)層面的風(fēng)險(xiǎn)�?���!钡麖?qiáng)調(diào),在使用生成式AI時(shí),僅靠“法務(wù)”或“IT”都是不充分的����,“由兩者合作的‘全公司范圍的跨部門團(tuán)隊(duì)’是必不可少的”����。
二�����、需要一個(gè)能翻譯并實(shí)施AI風(fēng)險(xiǎn)的“1.5線”
此外����,川勝先生以金融機(jī)構(gòu)為例����,提出了一個(gè)被稱為“1.5線”的風(fēng)險(xiǎn)管理框架。在普通企業(yè)中�,有“一線(現(xiàn)場(chǎng)部門)”和“二線(審計(jì)���、合規(guī)等部門)”,但金融機(jī)構(gòu)有時(shí)會(huì)在IT部門內(nèi)設(shè)立“系統(tǒng)風(fēng)險(xiǎn)管理職能”����,作為一線和二線之間的中間環(huán)節(jié)��。 “理想的做法是設(shè)立一個(gè)具有‘1.5線’角色的部門,并在IT部門內(nèi)安排負(fù)責(zé)風(fēng)險(xiǎn)管理的成員��。因?yàn)槲覀冃枰粋€(gè)‘翻譯者’��,將高層討論的策略�,落實(shí)到實(shí)際的系統(tǒng)需求和服務(wù)規(guī)格中���。”川勝先生說��。 如果缺少這個(gè)“翻譯者”��,高層的策略將停留在抽象層面�,無法在現(xiàn)場(chǎng)有效執(zhí)行�����。為了應(yīng)對(duì)AI特有的復(fù)雜風(fēng)險(xiǎn)���,連接法務(wù)����、合規(guī)����、IT各個(gè)領(lǐng)域,并將其分解為具體實(shí)施需求的“1.5線”機(jī)制至關(guān)重要�。
三����、跨部門委員會(huì)與1.5線合作的優(yōu)勢(shì)
在考慮組織體系時(shí)�,關(guān)鍵在于跨部門委員會(huì)(或小組委員會(huì))與1.5線的IT風(fēng)險(xiǎn)部門的合作��。據(jù)川勝先生說����,以下流程是理想的:
如果這個(gè)體系得以建立,就能減少“有策略但未執(zhí)行”�����、“法務(wù)制定的規(guī)則與現(xiàn)場(chǎng)設(shè)想的運(yùn)作不匹配”等不協(xié)調(diào)的情況�����。
四���、策略制定與運(yùn)作要點(diǎn):“最高層基本規(guī)定”與“技術(shù)別指南”的雙層結(jié)構(gòu)
根據(jù)前述帝國數(shù)據(jù)銀行的調(diào)查,在利用生成式AI的企業(yè)中,制定了方針或指南的企業(yè)不到兩成�。
川勝先生建議���,在制定策略時(shí)的要點(diǎn)是“將宏觀方針與實(shí)務(wù)指南分開制定”���。具體來說�,例如在最高層的“基本規(guī)定”中�,參考OECD的AI原則等國際標(biāo)準(zhǔn)����,將倫理和隱私保護(hù)的理念作為公司內(nèi)部規(guī)定明文化��。另一方面��,針對(duì)不同的使用模型和技術(shù)設(shè)立“指南”���,整理出更具體的禁止事項(xiàng)和推薦事項(xiàng)��。 “例如,‘禁止向AI輸入個(gè)人信息’在理念上是正確的��,但在業(yè)務(wù)上�,有時(shí)不得不處理個(gè)人信息。在這種情況下���,‘確認(rèn)本人同意的范圍’、‘引入數(shù)據(jù)匿名化機(jī)制’等指南層面的定義是必不可少的��?����!保ù▌傧壬?/span>
五��、需要一個(gè)能實(shí)現(xiàn)靈活更新的機(jī)制
AI技術(shù)日新月異,各國的監(jiān)管也在加強(qiáng)����。因此�����,建立一個(gè)能夠靈活更新已定內(nèi)部規(guī)程和指南的體系非常重要。川勝先生警告說:“如果在策略中加入過于嚴(yán)格的審批流程�,將跟不上變化����?���!?/span>
為此����,最好通過定期召開跨部門委員會(huì)會(huì)議�、專設(shè)AI治理負(fù)責(zé)人等方式�,確保能夠快速?zèng)Q定規(guī)則的更新。 此外���,為了熟練使用生成式AI并創(chuàng)造新價(jià)值,“什么都禁止”并非最佳選擇����。另一方面���,如果無限制地使用��,隱私泄露、違反法規(guī)���、信譽(yù)受損的風(fēng)險(xiǎn)很大。川勝先生表示�,“設(shè)定護(hù)欄���,并承認(rèn)一定程度的自由度”的方法是合理的��。 “如果事無巨細(xì)地全部檢查,會(huì)導(dǎo)致引入過程變得繁瑣,損害創(chuàng)新�����。反之�,如果放任不管,則可能引發(fā)重大事故�。作為填補(bǔ)這兩者之間空白的護(hù)欄��,策略和指南是必需的?!?/span>
六��、如何解釋AI治理的成本?
對(duì)管理層來說����,一個(gè)棘手的問題是AI治理的成本在多大程度上是正當(dāng)?shù)摹5牵紤]到萬一發(fā)生事件可能面臨的來自當(dāng)局的制裁或信譽(yù)受損�����,事后風(fēng)險(xiǎn)可能導(dǎo)致遠(yuǎn)比這高昂的損失���。 “最近�����,參考同行業(yè)其他公司的案例�,以‘那家公司已經(jīng)做到這個(gè)程度了’的看齊意識(shí)來做決策的情況并不少見�����?!贝?勝先生說��。雖然理想情況是�,在考慮了“事件發(fā)生時(shí)的處罰或訴訟成本”����、“品牌受損導(dǎo)致的銷售額減少”等因素后,定量地考慮風(fēng)險(xiǎn)效益,但能做到這一點(diǎn)的企業(yè)并不多�。 實(shí)際的數(shù)據(jù)泄露成本逐年上升�。根據(jù)日本IBM在2024年9月發(fā)布的報(bào)告��,國內(nèi)企業(yè)遭受數(shù)據(jù)泄露的平均成本達(dá)到6.3億日元(同比增長5%)����,創(chuàng)下歷史新高����。
加強(qiáng)治理需要一定的投資����,但像這樣一旦發(fā)生大規(guī)模事件��,就可能導(dǎo)致數(shù)億日元規(guī)模的損失。在向管理層說明時(shí)����,這類數(shù)據(jù)可以作為“事后成本 > 事前投資”的有力定量依據(jù)�。 生成式AI時(shí)代的治理構(gòu)建����,不僅僅是合規(guī)應(yīng)對(duì),更是企業(yè)為了能安心利用AI并創(chuàng)造創(chuàng)新的“基礎(chǔ)建設(shè)”�。通過跨部門委員會(huì)與1.5線的合作�,并建立能在全公司策略與具體實(shí)施指南之間自由切換的組織設(shè)計(jì)����,無疑可以在不過度限制的前提下,將風(fēng)險(xiǎn)降至最低。
睿觀:
1、核心挑戰(zhàn)與應(yīng)對(duì)框架。生成式AI帶來了超越傳統(tǒng)IT范疇的廣泛而復(fù)雜的風(fēng)險(xiǎn)(如隱私����、法律��、倫理),單純依賴法務(wù)或IT部門的傳統(tǒng)治理模式已無法應(yīng)對(duì)��。專家建議構(gòu)建一種新的治理體系:由法務(wù)��、IT����、業(yè)務(wù)等多方組成的“橫斷委員會(huì)”負(fù)責(zé)制定全公司范圍的高階策略與原則�;而IT部門內(nèi)的“1.5線團(tuán)隊(duì)”則扮演“翻譯者”的角色,將這些策略具體化為系統(tǒng)需求和技術(shù)實(shí)現(xiàn)�。
2�����、策略與執(zhí)行要點(diǎn)�。這種“策略層”與“執(zhí)行層”聯(lián)動(dòng)的模式,能有效避免頂層設(shè)計(jì)與底層實(shí)施的脫節(jié)��。在策略制定上�,應(yīng)采用“基本規(guī)定+技術(shù)指南”的雙層結(jié)構(gòu),確保原則性與實(shí)踐性的統(tǒng)一��。在管理上�,應(yīng)設(shè)置靈活的“護(hù)欄”而非全面禁止,在不扼殺創(chuàng)新的前提下����,將AI風(fēng)險(xiǎn)降至最低�,并通過引用數(shù)據(jù)泄露的巨大事后成本來向管理層證明事前投資的必要性��。
3��、最終目標(biāo)。通過這種新的治理體系�����,企業(yè)的目標(biāo)是建立一個(gè)既能敏捷響應(yīng)技術(shù)與法規(guī)變化�,又能有效管控風(fēng)險(xiǎn)的框架,從而安全�、負(fù)責(zé)任地利用AI�,并將其作為驅(qū)動(dòng)創(chuàng)新的核心引擎����。
金句:AI時(shí)代的治理藝術(shù):在高階策略的“頂層設(shè)計(jì)”與具體代碼的“底層實(shí)現(xiàn)”之間,需要一個(gè)既懂法律又懂技術(shù)的“翻譯官”�。
