На пути к политике ИИ и плану реагирования на инциденты ИИ для бизнеса

Прочитано: 231 раз(а)
1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 голосов, среднее: 5,00 из 5)
Loading ... Loading ...


Деловые возможности и бизнес-риски, связанные с ИИ

Искусственный интеллект («ИИ») становится повсеместной частью продуктов и услуг, и с этим распространением возникает риск несчастных случаев или инцидентов, связанных с ИИ, которые могут нанести финансовый, юридический или репутационный вред компании. Существуют различные определения ИИ, но, как правило, ИИ является формой автономной или полуавтономной технологии, которая выполняет действия, которые люди обычно считают интеллектуальными, такие как общение с клиентами, вождение автомобиля, распознавание лиц или предоставление или отклонение заявок на услуги на основе различные факторы. Действительно, некоторые комментаторы, такие как профессор Клаус Шваб, основатель и исполнительный председатель Всемирного экономического форума, считают принятие ИИ основной частью нынешней Четвертой промышленной революции. Тем не менее, независимо от определения ИИ,

В этой серии, состоящей из трех частей, мы обсудим мотивацию политики ИИ и план заболеваемости для бизнеса. В этой части мы обсудим текущую юридическую и деловую мотивацию для разработки политики ИИ. Во второй части будут рассмотрены темы политики ИИ для бизнеса, а в третьей части мы обсудим план реагирования на случаи ИИ. Мало того, что компания должна иметь позитивный и желательный набор политики ИИ, она должна разработать конкретные планы реагирования на инциденты, связанные с ИИ, когда что-то пойдет не так.

Зачем нужен план политики ИИ по реагированию на инциденты?

В настоящее время ИИ чаще всего используется в важных областях бизнеса, а не только для анализа данных бэк-офиса. Мы видим, что он интегрирован в продукты, такие как автомобили с автоматическим управлением, и используется для принятия решений от имени компаний относительно найма или продвижения сотрудников или для прямого взаимодействия с клиентами. По мере того как эта тенденция продолжается, возникает реальная социальная обеспокоенность по поводу того, используется ли ИИ ответственными компаниями и будет ли это причинять вред людям. В этой статье мы обсудим общие соображения относительно политики ИИ и плана инцидентов ИИ, которые могут быть использованы для снижения риска, связанного с внедрением ИИ в бизнесе.

Следует отметить, что политика ИИ и план инцидентов не должны вытеснять существующие политики и процессы. Вместо этого следует улучшить области, где это необходимо, и интегрировать их с существующими и рабочими процессами и процедурами, такими как процессы разработки программного обеспечения, планы реагирования на инциденты в области кибербезопасности, кадровые политики и планы управления кризисами. На протяжении всей нашей статьи мы будем выдвигать гипотезы использования ИИ для выявления проблем.

Действующие законы и правила, влияющие на использование ИИ

Хотя политика ИИ и план действий могут вообще не требоваться по закону, в некоторых отраслях есть некоторые нормативные указания. Например, OSHA давно выпустила Руководство по безопасности робототехники ,  которое требует, среди прочего:

Правильный выбор эффективной системы безопасности робототехники должен основываться на анализе опасности операции, в которой участвует конкретный робот. В число факторов, которые необходимо учитывать при таком анализе, входят задача, на которую запрограммирован робот, процедуры запуска и программирования, условия окружающей среды и местоположение робота, требования к корректирующим задачам для обеспечения нормальной работы, человеческие ошибки и возможные неисправности робота.

Для отраслей, использующих нефизический ИИ, таких как банки, может потребоваться, чтобы в этих отраслях были предусмотрены планы реагирования на киберпреступности (например, в Положении о кибербезопасности штата Нью-Йорк (23 NYCRR 500) требуется, чтобы организации, на которые распространяется действие страховки, имели письменную политику безопасности), и эти кибер инциденты могут охватывают инциденты ИИ. В той мере, в которой GDPR применяется к компании, политика компании должна учитывать требования статьи 22 GDPR, которая контролирует автоматизированную обработку, и статьи 15 GDPR, которая позволяет субъектам данных получать значимую информацию о логике, участвующей в автоматизированном принятии решений. связанные с предметом данных.

Искусственный Интеллект

Более того, исследователи и регуляторы ИИ, особенно в финансовой индустрии, подчеркнули опасность предвзятости ИИ и необходимость объяснимого ИИ. Существующий закон запрещает предвзятость в определенных финансовых решениях и требует объяснения неблагоприятных решений, которые могут быть приняты системами ИИ. В соответствии с Законом о справедливой кредитной отчетности («FCRA»), 15 USC § 1681 et seq.среди прочих требований, любое финансовое учреждение, которое использует кредитный отчет или другой тип отчета о потребителе, чтобы отклонить заявление потребителя о предоставлении кредита, страховки или работы — или предпринять другое неблагоприятное действие в отношении потребителя — должно сообщить об этом потребителю и должно дать потребителю название, адрес и номер телефона агентства, предоставившего информацию. По запросу потребителя о получении кредитного рейтинга агентство по информированию потребителей должно предоставить потребителю отчет и уведомление, в котором указаны «все ключевые факторы, которые отрицательно повлияли на кредитный рейтинг потребителя в используемой модели», а также любой потребитель. сообщающее агентство должно предоставить обученный персонал, чтобы объяснить потребителю любую информацию, которая должна быть предоставлена ​​потребителю в соответствии с Законом (15 USC §1681g (f) и (g); см. также 15 USC §1681m о требованиях относительно уведомлений о неблагоприятных действиях).  И Закон о равных кредитных возможностях («ECOA»), 15 USC § 1691 et seq. состояния:

(а) МЕРОПРИЯТИЯ, СОСТАВЛЯЮЩИЕ ДИСКРИМИНАЦИЮ, для любого кредитора должно быть незаконным дискриминация в отношении любого заявителя в отношении любого аспекта кредитной операции —

(1) по признаку расы, цвета кожи, религии, национального происхождения, пола или семейного положения или возраста (при условии, что заявитель имеет право заключать контракт);

(2) потому что весь или часть дохода заявителя происходит от любой программы государственной помощи; или же

(3) потому что заявитель добросовестно воспользовался любым правом в соответствии с настоящей главой.

Соответственно, не только было бы разумно, чтобы компания принимала политику ИИ для сведения к минимуму недопустимых предубеждений и содействия объяснению, это может потребоваться в определенных отраслях. В некоторых отраслях промышленности может также потребоваться, чтобы ее профессия не участвовала в дискриминационных действиях, и эти проблемы смещения могут также быть частью политики профессионала. Например, в разделе 8.4 (g) Типовых правил профессионального поведения Американской ассоциации юристов, который был принят одним государством и рассматривается многими другими, говорится, что:

Профессиональный проступок для адвоката:

(g) участвовать в поведении, которое адвокат знает или разумно должно знать о преследовании или дискриминации по признаку расы, пола, религии, национального происхождения, этнической принадлежности, инвалидности, возраста, сексуальной ориентации, гендерной идентичности, семейного положения или социально-экономического положения в поведении связанные с юридической практикой.

Учитывая вышеизложенный контекст и все более громкое включение ИИ в повседневную деловую деятельность, а также повышенную обеспокоенность населения по поводу его использования, для компаний важно иметь всеобъемлющую политику ИИ, чтобы направлять безопасное и ответственное принятие ИИ. как план реагирования на инциденты ИИ, чтобы ответить, если что-то пойдет не так.

Отраслевые стандарты использования ИИ

Существует множество политик, предложенных конкретными компаниями и отраслевыми группами, которые могут информировать собственные политики ИИ компании, но до сих пор не существует четких отраслевых стандартов ИИ, похожих на стандарты доступности, рекомендованные W3C . Тем не менее, технологические фирмы быстро начинают внедрять этические защитные ограждения вокруг ИИ. Различные текущие политики имеют несколько общих тем: справедливость, подотчетность, прозрачность, противодействие и подотчетность перед людьми.

искусственный интеллект

В рамках Microsoft « СУДЬБА : Справедливость, ответственность, прозрачность и этика в искусственном интеллекте » компания фокусируется на четырех темах. В дополнение к этим темам, поиск публикаций Microsoft по этике показывает озабоченность компании по поводу взаимодействия человека с компьютером, соблюдения нормативных требований, использования больших данных и многого другого.

Google изложил свой « ИИ в Google: наши принципы »,  который, среди прочего, стремится:

  1. Быть социально выгодным.
  2. Избегайте создания или усиления несправедливой предвзятости.
  3. Быть построенным и проверенным на безопасность.
  4. Быть подотчетным людям.
  5. Включите принципы дизайна конфиденциальности.
  6. Отстаивать высокие стандарты научного совершенства.
  7. Быть доступным для использования в соответствии с этими принципами.

Google также активно привлекает заинтересованные стороны к проблеме управления ИИ.

В статье « Повседневная этика искусственного интеллекта: практическое руководство для дизайнеров и разработчиков » излагаются пять областей этической направленности: подотчетность, выравнивание ценностей, объяснение, справедливость и права на данные пользователя.

«Этически выстроенный дизайн» IEEE  гласит:

Этическое проектирование, разработка и внедрение этих технологий должны основываться на следующих общих принципах:

  • Права человека: убедитесь, что они не нарушают международно признанные права человека
  • Благосостояние: расставьте приоритеты в показателях благосостояния при их разработке и использовании
  • Подотчетность: убедитесь, что их дизайнеры и операторы ответственны и подотчетны
  • Прозрачность: убедитесь, что они работают прозрачно
  • Осознание неправильного использования: минимизируйте риски их неправильного использования

AAAI и ACM провели конференцию по искусственному интеллекту, этике и обществу  для обсуждения некоторых из вышеуказанных вопросов.

Некоммерческая организация OpenAI была создана для « создания безопасного AGI и обеспечения максимально широкого и равномерного распределения преимуществ AGI» в соответствии с их основной миссией.  Недавно OpenAI решил отказаться от публикации исходного кода для своего недавнего генератора текста . Это было сочтено слишком опасным для публикации, потому что оно могло использоваться, среди прочего, для создания поддельных новостей.

Wired сообщил, что:

Google также решил, что более неуместно публиковать новые результаты и код исследования ИИ. В прошлом месяце поисковая компания раскрыла  в программном документе об ИИ, что она наложила ограничения на исследовательское программное обеспечение, которым она делится из-за опасений неправильного использования. Недавно компания присоединилась к Microsoft и добавила формулировки в свои финансовые документы,  предупреждая инвесторов,  что ее программное обеспечение для искусственного интеллекта может вызвать этические проблемы и нанести вред бизнесу.

Технологическая отрасль не должна быть единственной отраслью, обеспокоенной этическим использованием ИИ. В то время как в отдельных отраслях могут требоваться разные этические стандарты, потому что, например, разные компании могут более непосредственно влиять на потребителей, принимать финансовые решения или влиять на здоровье и безопасность населения, или расширять доступ к ресурсам для людей с ограниченными возможностями, всех компаний, которые используют или Производить ИИ следует обратить внимание на эту проблему.

Этические стандарты ИИ изучаются правительствами

Следует отметить, что некоторые правительства борются с политикой ИИ, и эти события могут и должны стать основой политики ИИ компании. Компании, которые оказывают услуги правительствам, могут в будущем по контракту быть обязаны соблюдать эти стандарты. Более того, поскольку регулирующие органы все чаще проверяют использование ИИ компанией, они будут смотреть на стандарты, которые они сами приняли, при рассмотрении законов и нормативных действий. Темы политики ИИ включают безопасность, прозрачность и объяснимость решений ИИ, ориентированное на человека принятие решений, справедливость и предвзятость, а также защиту личных прав от действий ИИ.

В качестве примера, Калифорния приняла ACR-215 23 Принципа Asilomar ИИ (2017-2018):

Раздел II: этика и ценности

(6) Безопасность: системы искусственного интеллекта должны быть безопасными и надежными в течение всего срока их эксплуатации, а также, где это применимо и выполнимо, их можно проверять.

(7) Прозрачность отказа: если система ИИ наносит вред, должна быть возможность выяснить, почему.

(8) Прозрачность судебной системы. Любое участие автономной системы в принятии судебных решений должно обеспечивать удовлетворительное объяснение, которое может быть проверено компетентным человеческим органом.

(9) Ответственность. Разработчики и создатели современных систем искусственного интеллекта являются заинтересованными сторонами в моральных последствиях их использования, неправильного использования и действий, а также несут ответственность и имеют возможность формировать эти последствия.

(10) Выравнивание ценностей. Высоко автономные системы искусственного интеллекта должны быть спроектированы так, чтобы их цели и поведение могли быть согласованы с человеческими ценностями на протяжении всей их деятельности.

(11) Человеческие ценности: системы ИИ должны быть спроектированы и эксплуатироваться таким образом, чтобы они были совместимы с идеалами человеческого достоинства, прав, свобод и культурного разнообразия.

(12) Личная конфиденциальность. Люди должны иметь право доступа, управления и контроля за данными, которые они генерируют, учитывая возможности систем ИИ анализировать и использовать эти данные.

(13) Свобода и конфиденциальность. Применение ИИ к персональным данным не должно необоснованно ограничивать реальную или предполагаемую свободу людей.

(14) Общая выгода: технологии искусственного интеллекта должны приносить пользу и расширять возможности как можно большего числа людей.

(15) Общее процветание. Экономическое процветание, созданное ИИ, должно быть широко распространено, чтобы принести пользу всему человечеству.

(16) Контроль над людьми: люди должны выбирать, как и следует ли делегировать решения системам ИИ для достижения целей, выбранных человеком.

(17) Не подрывная деятельность: власть, предоставляемая контролем над высокоразвитыми системами ИИ, должна уважать, а не подрывать социальные и гражданские процессы, от которых зависит здоровье общества.


(18) Гонка вооружений ИИ: следует избегать гонки вооружений в смертельном автономном оружии.

В другом примере Нью-Йорк принял свои автоматизированные системы принятия решений, используемые законом об агентствах (2018 г.), который устанавливает целевую группу для выработки рекомендаций по следующим вопросам:

a) критерии для определения того, какие автоматизированные системы принятия решений в учреждениях должны применяться в соответствии с одной или несколькими процедурами, рекомендованными такой целевой группой в соответствии с настоящим пунктом;

(b) Разработка и внедрение процедуры, посредством которой лицо, на которое распространяется решение, касающееся правила, политики или действия, осуществляемого городом, в котором такое решение было принято или с помощью автоматизированной системы принятия решений агентства, может запрашивать и получать объяснение такого решения и основание для него;

(c) Разработка и внедрение процедуры, которая может использоваться городом для определения того, оказывает ли автоматизированная система принятия решений агентства несоразмерно влияние на людей в зависимости от возраста, расы, вероисповедания, цвета кожи, религии, национального происхождения, пола, инвалидности, семейного положения, партнерства статус, статус попечителя, сексуальная ориентация, статус отчуждения или гражданство;

d) разработка и внедрение процедуры для рассмотрения случаев, когда агентская автоматизированная система принятия решений наносит вред человеку, если обнаруживается, что любая такая система оказывает непропорционально сильное воздействие на людей на основе категории, описанной в подпункте (с);                      

(e) Разработка и внедрение процесса публичного доступа к информации, которая позволит каждой автоматизированной системе принятия решений в каждом учреждении дать общественности возможность осмысленно оценить, как такая система функционирует и используется городом, в том числе сделать техническую информацию о такой системе общедоступной. где уместно; а также

f) осуществимость разработки и внедрения процедуры архивации автоматизированных систем принятия решений в учреждениях, данных, используемых для определения прогнозных взаимосвязей между данными для таких систем, и входных данных для таких систем при условии, что в это не нужно включать автоматизированные системы принятия решений в учреждениях, которые прекратили используется городом до вступления в силу настоящего местного закона.

Через Атлантику британский HOUSE OF LORDS, отборный комитет по искусственному интеллекту, Отчет о сессии 2017–1919 опубликовал свой доклад ИИ, «ИИ в Великобритании: готов, желаем и способен?», Который рекомендует:

[W] мы предлагаем пять всеобъемлющих принципов для кода ИИ:

(1) Искусственный интеллект должен развиваться для общего блага и блага человечества.

(2) Искусственный интеллект должен работать на принципах разборчивости и справедливости.

(3) Искусственный интеллект не должен использоваться для ущемления прав на данные или неприкосновенность частной жизни отдельных лиц, семей или сообществ.

(4) Все граждане имеют право на образование, позволяющее им развиваться умственно, эмоционально и экономически наряду с искусственным интеллектом.

(5) Автономная власть причинять боль, разрушать или обманывать людей никогда не должна принадлежать искусственному интеллекту.

Точно так же, но более подробно, Экспертная группа высокого уровня Европейской комиссии по искусственному интеллекту подготовила проект руководящих принципов по этике, основанный на доверии к ИИ, рабочий документ для консультаций с заинтересованными сторонами, Брюссель, 18 декабря 2018 года, сформулировал следующее руководство:

Глава I: Основные указания по обеспечению этической цели:

— Убедитесь, что ИИ ориентирован на человека: ИИ должен разрабатываться, развертываться и использоваться с «этической целью», основанной и отражающей основные права, общественные ценности и этические принципы Блага (делай добро), Нечестивости (не навреди), автономия людей, справедливость и объяснимость. Это очень важно для работы над надежным ИИ.

— Положитесь на фундаментальные права, этические принципы и ценности для перспективной оценки возможного воздействия ИИ на людей и общее благо. Уделите особое внимание ситуациям, в которых участвуют более уязвимые группы, такие как дети, инвалиды или меньшинства, или ситуациям с асимметрией власти или информации, например, между работодателями и работниками, или компаниями и потребителями.

— Признайте и осознайте тот факт, что, принося существенную пользу отдельным лицам и обществу, ИИ также может оказывать негативное влияние. Сохраняйте бдительность в областях, вызывающих серьезную обеспокоенность.

Глава II: Ключевые рекомендации для реализации заслуживающего доверия ИИ:

— Включите требования к надежному ИИ с самого раннего этапа проектирования: подотчетность, управление данными, проектирование для всех, управление автономией ИИ (человеческий надзор), недискриминация, уважение к автономии человека, уважение к конфиденциальности, надежности, безопасности, прозрачности.

Искусственный интеллект

— Рассмотреть технические и нетехнические методы для обеспечения реализации этих требований в системе искусственного интеллекта. Кроме того, учитывайте эти требования при создании команды для работы над системой, самой системой, средой тестирования и потенциальными приложениями системы.

— Предоставлять в четкой и упреждающей форме информацию заинтересованным сторонам (клиентам, сотрудникам и т. Д.) О возможностях и ограничениях системы ИИ, что позволяет им устанавливать реалистичные ожидания. Обеспечение прослеживаемости системы ИИ является ключевым в этом отношении.

— Сделать заслуживающий доверия ИИ частью культуры организации и предоставить заинтересованным сторонам информацию о том, как надежный ИИ внедряется в разработку и использование систем ИИ. Достоверный ИИ также может быть включен в деонтологические уставы или кодексы поведения организаций.

— Обеспечить участие и вовлечение заинтересованных сторон в проектирование и разработку системы ИИ.

Более того, обеспечьте разнообразие при создании команд, разрабатывающих, внедряющих и тестирующих

— Стремиться облегчить возможность аудита систем ИИ, особенно в критических ситуациях или ситуациях. Насколько это возможно, спроектируйте свою систему так, чтобы она позволяла отслеживать индивидуальные решения для ваших различных входных данных; данные, предварительно обученные модели и т. д. Кроме того, определяют методы объяснения системы ИИ.

— Обеспечить конкретный процесс управления подотчетностью.

— Предусмотреть обучение и образование и обеспечить, чтобы менеджеры, разработчики, пользователи и работодатели были осведомлены о надежном ИИ и проходили его обучение.

— Имейте в виду, что между различными целями могут возникнуть фундаментальные противоречия, прозрачность может открыть дверь для неправильного использования; выявление и исправление предвзятости может противоречить защите конфиденциальности). Сообщите и задокументируйте эти компромиссы.

— Содействовать исследованиям и инновациям, чтобы способствовать достижению требований к надежному ИИ.

Глава III: Ключевые рекомендации по оценке заслуживающего доверия ИИ

— Примите список оценки надежного ИИ при разработке, развертывании или использовании ИИ и адаптируйте его к конкретному случаю использования, в котором используется система.

— Имейте в виду, что оценочный список никогда не будет исчерпывающим и что обеспечение надежного ИИ заключается не в галочках, а в непрерывном процессе определения требований, оценки решений и обеспечения улучшенных результатов на протяжении всего жизненного цикла системы ИИ.

Это руководство является частью концепции, охватывающей ориентированный на человека подход к искусственному интеллекту, который позволит Европе стать глобально ведущим новатором в этическом, безопасном и передовом искусственном интеллекте. Он стремится облегчить и обеспечить «надежный ИИ, созданный в Европе», который улучшит благосостояние европейских граждан.

Заключение

Как увидит читатель во второй и третьей частях этой серии, некоторые из вышеупомянутых юридических, правительственных и отраслевых предложений и проблем отражены в этой статье в предложениях по политике ИИ и плану реагирования на инциденты, и компания может пожелать руководствоваться вышеуказанные проблемы. В следующих двух частях нашей серии мы обсудим конкретные темы, которые могут быть затронуты в политике ИИ для бизнеса, и как может выглядеть план реагирования на случаи ИИ.

Ранее мы обсуждали мотивацию для бизнеса принять политику ИИ, включая модели от отраслевых групп и правительств. Теперь мы переходим к общим темам и вопросам, которые должны охватываться политикой ИИ.

Сфера политики ИИ

Несмотря на то, что многие отраслевые группы, такие как IEEE, или лидеры отраслевых технологий, такие как Google и Microsoft, предлагают множество политик, на сегодняшний день не существует четких отраслевых стандартов ИИ. По мере того, как отрасль движется в направлении стандартизации, компании должны активно использовать широкие принципы, предложенные в этой статье, при разработке своих собственных политик ИИ для внутренних и внешних целей. Внешние политики ИИ должны быть желательными и более простыми, в то время как внутренние политики ИИ могут быть более предписывающими, особенно когда они предназначены для управления поставщиками. Политика ИИ должна применяться к использованию ИИ сотрудниками, подрядчиками и клиентами, а также к самому продукту ИИ. Политика ИИ должна быть интегрирована с другими политиками компании, включая политики поставщиков, этические кодексы, планы реагирования на кибер-инциденты и планы управления кризисами.

Прогнозы кибербезопасности на 2019 год: искусственный интеллект

Безопасность

Безопасность долгое время была проблемой при использовании ИИ, как подчеркивается, например, в Руководстве OSHA по безопасности робототехники . Согласно политике ИИ, ИИ и его использование должны быть безопасными:

  • Продукт ИИ должен быть спроектирован, изготовлен, разработан и / или изготовлен в соответствии со спецификациями, обеспечивающими безопасность.
  • Безопасность включает в себя не только минимизацию рисков, связанных с правонарушениями для людей и имущества, но и минимизацию риска кибер или вторжения в частную жизнь, потери данных и других нарушений закона.
  • Как и для других продуктов, производитель ИИ должен предоставить четкие инструкции по безопасному использованию ИИ и надлежащим образом предупредить об опасности использования его продуктов. Это включает в себя, по мере необходимости, предупреждения после продажи.
  • Люди должны выбирать, как и следует ли делегировать решения системам искусственного интеллекта, и иметь возможность контролировать процесс принятия решений так же, как и задачи, делегированные людям. Они также должны иметь возможность взять на себя операции ИИ в чрезвычайных ситуациях.
  • Если система ИИ наносит вред, должны быть записаны данные и механизмы, чтобы выяснить, почему.
  • Принципы безопасности должны применяться к физическим (например, беспилотным летательным аппаратам) и нефизическим ИИ (например, чат-боты, работающие в киберпространстве).

Вопросы задавать:

  • Соответствует ли продукт требованиям безопасности?
  • Является ли продукт ИИ законным и легальным?
  • Правильно ли производитель отзывает или выпускает исправления продуктов ИИ, где это необходимо?

Этично и выгодно

  • ИИ, его производство и развертывание должны быть полезными (или, по крайней мере, не вредными) для компании и ее клиентов, а также для общества в целом.
  • Развертывание ИИ должно учитывать потребности и точки зрения различных заинтересованных сторон компании.
  • Использование ИИ должно учитывать доступность для людей с ограниченными возможностями, как расширение доступа там, где это возможно, так и минимизация воздействия на инвалидов (например, онлайн-чат-чат может также иметь голосовой интерфейс или наоборот).
  • Использование ИИ должно соответствовать этическим кодексам и принципам компании.

Вопросы задавать:

  • Способствует ли ИИ гражданской активности, где это уместно (например, инструментам ИИ, которые не препятствуют свободе слова или собраний)?
  • В зависимости от отрасли, учитывает ли ИИ различные группы населения?

Смещение ИИ, объяснимость и прозрачность

  • Перед использованием ИИ следует определить, что технология не имеет встроенного смещения из-за его программирования или данных.
  • Компания должна гарантировать, что поставщики ИИ, предоставляющие инструмент компании, осведомлены и учитывают потенциальную возможность предвзятости, в том числе разрозненного воздействия.

Вопросы задавать:

  • Может ли результат решения ИИ содержательно и законно объясняться заинтересованным сторонам, где это уместно?
  • Проверен ли обучающий набор, чтобы минимизировать потенциал смещения данных?
  • Усиливает ли смещение данных и операций машинного обучения ИИ? Операции не дают или дают плохие результаты для определенных слоев населения по возрасту, полу, этнической принадлежности и т. Д.?
  • Идентифицирует ли ИИ себя как ИИ, когда это уместно или требуется по закону?

Мониторинг, подотчетность, контроль и надзор

Компания должна иметь контроль и надзор за тем, что делает ИИ и как он работает. Это должно быть разработано не только с точки зрения продукта, но также с точки зрения юридической и корпоративной политики.

  • Использование ИИ должно контролироваться на предмет возможных правовых и этических проблем.
  • ИИ должен быть спроектирован так, чтобы сохранять записи и позволять воссоздавать этапы или процессы принятия решений, особенно когда могут произойти аварии.
  • Юрисконсульт должен участвовать в процессе подотчетности, контроля и надзора, чтобы защитить привилегию адвоката и клиента, а также обеспечить соблюдение правовых норм.
  • ИИ и его использование должны быть проверены и проверены.

Вопросы задавать:

  • Есть ли один сотрудник, директор или менеджер, например, главный специалист по искусственному интеллекту, который курирует программу ИИ компании?
  • Понимает ли компания ИИ и его риски?
    • Является ли ИИ полуавтономным или полностью автономным?
    • Включает ли ИИ машинное обучение или он статичен?
    • Люди взаимодействуют напрямую с ИИ и как?
  • Как компания узнает, работает ли ИИ правильно?
  • Является ли хранение информации об ИИ частью политики хранения записей компании?

Использование третьей стороной

Компания должна учитывать, как их поставщики, клиенты или третьи стороны используют свой ИИ, и какие ограничения они должны ввести.

  • Ограничения на использование ИИ компании должны быть включены в применимые условия использования.
  • Как и в случае с другими политиками компании, такими как этические закупки, компания должна требовать от поставщиков ИИ соблюдения политик компании, как если бы сама компания занималась разработкой ИИ, предоставляемых их поставщиками.
  • Политика ИИ должна быть частью общей политики цепочки поставок, которая обеспечивает соблюдение этического кодекса поведения.

Вопрос, чтобы спросить:

  • Вендоры понимают риск, который представляет их ИИ?
  • Имеются ли у поставщиков услуг и / или продуктов ИИ, используемых компанией, соответствующие процессы для соблюдения принципов ИИ компании и применимого законодательства?
  • Адекватно ли информированы пользователи о рисках и ответственности при использовании ими ИИ компании?

Интеллектуальная собственность в ИИ

  • Данные и программное обеспечение ИИ компании должны быть защищены соглашениями и разумными процессами и процедурами безопасности.

ИИ на рабочем месте

  • Политика ИИ должна соответствовать политике HR, включая уведомления о конфиденциальности.
  • Сотрудники должны признать, что ИИ может использоваться для их мониторинга.
  • Сотрудники должны признать свою ответственность за правильную работу ИИ компании.
  • В той степени, в которой это требуется по закону, сотрудники должны быть уведомлены о том, что решения о трудоустройстве могут основываться на ИИ или его результатах.

GPU облачные хранилища

GDPR

В той степени, в которой компания подчиняется GDPR, политика ИИ, возможно, должна соответствовать общей политике компании в отношении конфиденциальности и GDPR. В частности, политика ИИ должна требовать соблюдения статьи 22 GDPR, которая гласит:

  1. Субъект данных имеет право не быть предметом решения, основанного исключительно на автоматизированной обработке, включая профилирование, которое приводит к его правовым последствиям или аналогичным образом существенно влияет на него.
  2. Пункт 1 не применяется, если решение:
    • необходим для заключения или исполнения договора между субъектом данных и контроллером данных;
    • санкционировано законодательством Союза или государства-члена, которому подчиняется контролер, и которое также устанавливает надлежащие меры для защиты прав и свобод субъекта данных и законных интересов; или же
    • основан на явном согласии субъекта данных.
  3. В случаях, указанных в пунктах (a) и (c) параграфа 2, контроллер данных должен принять надлежащие меры для защиты прав и свобод субъекта данных и законных интересов, по крайней мере, права на вмешательство человека со стороны Контролер, чтобы выразить свою точку зрения и оспорить решение.
  4. Решения, упомянутые в параграфе 2, не должны основываться на специальных категориях персональных данных, упомянутых в  статье 9 (1), если только не применяется пункт (a) или (g)  статьи 9 (2) и не приняты надлежащие меры для защиты прав субъекта данных. и свободы и законные интересы на месте.

И политика ИИ должна включать Статью 15 (1) (h):

Субъект данных имеет право получить от диспетчера подтверждение о том, обрабатываются ли персональные данные, касающиеся его или ее, и, в этом случае, доступ к персональным данным и следующей информации:

… (H) наличие автоматизированного процесса принятия решений, включая профилирование, о котором говорится в  Статье 22 (1) и (4), и, по крайней мере, в этих случаях, значимой информации о соответствующей логике, а также о значении и предполагаемой последствия такой обработки для субъекта данных.

Вопросы задавать:

  • Гарантирует ли политика ИИ и план реагирования на инциденты права субъекта данных в рамках GDPR?
  • Как субъекты данных осуществляют свои права в соответствии с политикой AI и GDPR?
  • Есть ли контактный адрес электронной почты и отвечает ли член команды AI за ответ?

подготовленность

Хотя некоторые из вышеперечисленных принципов могут быть частью внешней политики ИИ, внутренняя политика должна также уделять особое внимание готовности к ошибкам ИИ. , , введите план реагирования на заболеваемость ИИ.

  • Как часть политики ИИ, компания должна регулярно тестировать и уточнять свой план реагирования на инциденты ИИ, как это было бы в случае плана по безопасности или другого плана управления кризисом.
  • Члены команды, участвующие в реагировании на инциденты ИИ, должны быть обучены, чтобы заранее определять проблемы, знать свои обязанности и репетировать, как реагировать.

Вопрос, чтобы спросить:

  • Предприняты ли все необходимые превентивные меры, предусмотренные планами реагирования на заболеваемость ИИ?
  • Регулярно выполняются резервные копии?
  • Правильно ли зарегистрированы учетные данные, включая пароли и сетевые учетные данные?

Заключение

Будучи активными в формировании отраслевых стандартов в политике ИИ, компании смогут минимизировать свои риски и создавать возможности для бизнеса. Как британский дом лордов

Отобранный Комитет по Искусственному интеллекту отметил, цитируя различных отраслевых экспертов:

… «Использование советов по этике и комитетов по этике и процессов в рамках саморегулирования будет важным инструментом»… «компании, использующие технологию искусственного интеллекта, в той степени, в которой они демонстрируют, что имеют советы по этике, анализируют свою политику и понимают свои принципы, будут быть теми, кто привлекает клиентов, клиентов, партнеров и потребителей с большей готовностью, чем другие, которые не являются или не настолько прозрачны в этом ».

Ранее мы обсуждали мотивацию для бизнеса принять политику ИИ и план реагирования на заболеваемость как способ снижения рисков. Затем во второй части нашей серии мы обсудили общие темы и проблемы, которые могут быть охвачены политикой ИИ. Теперь в нашей третьей статье мы обсудим план реагирования на инциденты ИИ.

Исследования показывают, что искусственный интеллект может предсказывать преждевременную смерть

Объем плана

В некоторых отраслях, таких как авиация и производство, исторически использовались робототехника и автоматизированные системы, и, следовательно, возможно, уже установлена ​​корпоративная и юридическая политика (требуется ли это по закону или в качестве обоснованной деловой практики). Однако для большинства отраслей ИИ является относительно новым игроком в уравнении бизнеса. Ниже приведены некоторые предложения по политике ИИ, которые бы содержали общие принципы принятия использования ИИ. Мы также даем предложения относительно принципов плана реагирования на инциденты ИИ, чтобы действовать, когда ИИ идет не так, как надо.

План реагирования на инциденты должен определять, какие типы инцидентов должны обрабатываться, кто должен нести ответственность в зависимости от типа и серьезности, а также степени управления инцидентами. Он также может включать план антикризисных коммуникаций, где это необходимо . Кроме того, в плане должны быть определены члены команды, их определенные роли и обязанности в отношении типов и серьезности инцидентов, а также способы усиления реагирования.

Типы инцидентов ИИ, охватываемых планом, естественно, будут зависеть от отрасли, в которой работает компания, и могут предвидеть, при необходимости, следующие сценарии:

  • Случаи, когда политика AI нарушается;
  • Несчастные случаи, вызванные ИИ;
  • ИИ является свидетелем преступления;
  • Автоматизированная система, которая «разграблена» или взломана третьими лицами, чтобы действовать смущающим образом;
  • ИИ взломан злоумышленником.

команда

Как и в случае с командами, ответственными за кибер-инциденты или другие корпоративные кризисы, в команду AI могут входить старшее руководство и эксперты в данной области. Специалисты в данной области могут включать ИТ-безопасность, человеческие ресурсы, группу по продукту, юрисконсульта, группу по коммуникациям для внутренних и внешних коммуникаций и, возможно, группу по связям с общественностью («PR»), каждый из которых будет участвовать в зависимости от обстоятельств , Также следует назначить человека для регистрации инцидента с ИИ, оценки, сделанные в связи с инцидентом, и разрешения инцидента.

Строгость

Не каждый инцидент ИИ является кризисом, и каждый инцидент должен рассматриваться в зависимости от его серьезности. Ниже предлагаются уровни серьезности, которые следует адаптировать к обстоятельствам компании и оценивать в каждом конкретном случае:

Инциденты низкой серьезности . Инциденты ИИ могут быть просто ошибками в технологии или недавно обнаруженными дефектами, которые в противном случае не причинят вреда. Зачастую, в случае несерьезных инцидентов ИИ, ИТ-отдел или отдел продуктов могут реагировать и должны владеть этими инцидентами. Когда инциденты ИИ смущают, но не являются незаконными или наносящими ущерб компании, PR-команда может ответить.

Инциденты средней тяжести . Умеренные инциденты ИИ, такие как заявления о рутинных нарушениях закона (например, неспособность отправить уведомления или получить согласие в соответствии с действующим законодательством), или систематическая ошибка, которая не угрожает основной деятельности, здоровью или безопасности бизнеса, может быть устранена командами, которые назначены специально для типа инцидентов ИИ или имеют дело с основной командой ИИ в обычном курсе.

Инциденты средней степени тяжести — это инциденты ИИ, которые не являются обычными делами и не относятся к серьезным типам, обсуждаемым ниже. Например, существует тонкая грань между ошибками в системе ИИ, которые представляют собой инциденты низкой серьезности, которые более целесообразно обрабатываются группой разработчиков продукта, и систематическими проблемами с проектированием и данными систем, которые потенциально могут вызвать больший риск для компании. , В последнем случае, вероятно, потребуется задействовать более полную команду по инцидентам с ИИ. Команда разработчиков хотела бы исправить ошибки, когда они их увидят; однако, если есть неоднократные проблемы с предвзятостью или качеством данных от поставщиков, то эта проблема должна быть передана более полной и законной группе по инцидентам ИИ.

Инциденты высокой степени тяжести . Серьезные инциденты — это необычные юридические иски, такие как иск о крупном происшествии или групповой иск (например, иск «поставь компанию»). Они также могут угрожать здоровью и безопасности компании или основной деловой функции компании. В таких случаях должна быть задействована полная команда AI, и она должна работать в координации с другими экспертами, чтобы как можно скорее обострить инцидент. Примеры случаев, когда это необходимо, включают, когда физический ИИ вызывает физические травмы, подозревается в наличии дефекта, который может привести к физическим травмам, или неправильно функционирует, и не может обрабатывать транзакции или отказывать в обслуживании клиентов, которые являются основными бизнес-функциями.

Серьезный инцидент ИИ может стать корпоративным кризисом, и команда ИИ должна быть частью команды по управлению кризисами компании. Но даже в случае инцидентов высокой степени опасности команда AI может не «владеть» ответом и работать с другими бизнес-функциями, которые «владеют» ответом. Например, одним из видов такого кризиса является кибернетическая ситуация, которая серьезно влияет на деятельность компании. В этом случае команда ИИ должна тесно сотрудничать с командой кибер-реагирования.

На всех уровнях серьезности, если в результате инцидента был нанесен вред людям, данным или имуществу, и / или может иметь место нарушение закона, группа юристов должна тесно сотрудничать в составе группы реагирования на инциденты AI. Независимо от того, обрабатывается ли инцидент другими частями бизнеса или основной командой AI, любые выводы должны быть использованы для улучшения общей политики компании и плана реагирования на инциденты.

Количество патентных заявок связанных с искусственным интеллектом резко увеличилось

Обнаружение инцидента ИИ

Подобно кибер-инцидентам или другим кризисам, инциденты ИИ могут происходить внезапно и затрагивать многие части бизнеса, поэтому раннее обнаружение имеет решающее значение. Различные стороны могут идентифицировать инцидент, в том числе:

  • юридический отдел (например, подача истцами в суд сообщения о том, что они были ранены AI);
  • управление (например, сторонний партнер может сообщить компании об инциденте с ИИ);
  • сотрудники (например, сотрудник сообщает об аварии или дефектах ИИ);
  • IT или разработка продукта (например, необычно большое количество дефектов со стороны AI);
  • Мониторинг социальных сетей или прессы (например, опубликована статья о том, что AI якобы совершает предвзятость в отношении определенной группы); или же
  • Автоматический или полуавтоматический мониторинг ИИ с помощью журналов и тестов (например, обнаруживаются ключевые слова, которые показывают, что ответы клиентов на чат-ботов являются необычно злыми, или журналы решений об отказе в обслуживании обнаруживаются как пугающе высокие, и / или человеческие сотрудники выполняют рандомизированный скрининг тестов).

Оценка и управление инцидентом ИИ

При реагировании на инцидент ИИ специальная группа экспертов должна постоянно оценивать (а) серьезность инцидента, (б) причину инцидента ИИ, (в) как восстановить контроль над функцией, предоставляемой ИИ (будь то с помощью правильно функционирующего ИИ, систем другого поставщика или взаимодействия с людьми) и (d) как минимизировать риск, вызванный инцидентом ИИ.

Инцидент ИИ может быть вызван рядом факторов, таких как:

  • злоумышленник (например, недовольный нынешний или бывший сотрудник);
  • внешняя угроза (например, взлом);
  • провал поставщика;
  • плохие данные обучения; или же
  • просто недостаток дизайна AI.

Важным аспектом определения причины является отделение фактов от подозрений. Например, ошибочная операция ИИ может считаться ошибкой, но на самом деле может быть взломом. Судебная экспертиза данных должна была бы определить этот факт соответствующим образом. Сбор фактов имеет решающее значение.

Установление контроля над ситуацией может варьироваться от прямого исправления и тестирования некоторых известных ошибок или, что более радикально, до возвращения к использованию людей для выполнения этой функции. В зависимости от уровня серьезности и обстоятельств, внешняя связь может потребоваться для прессы и пострадавших. Компенсация также может быть предложена третьим сторонам за любой вред или неудобства, которым подвергаются эти затронутые стороны.

Выполнение плана реагирования на инцидент ИИ и управление инцидентом ИИ являются междисциплинарными действиями. Хотя основная группа экспертов, знакомых с тем, как ИИ работает в компании, будет выступать в качестве «первоочередных», другие дисциплины, например, обладающие глубокими знаниями в области кибербезопасности, занятости и управления персоналом, судебных разбирательств и, возможно, уголовного преследования, могут округляться. из команды.

Оценка ИИ начинается, когда инцидент ИИ впервые известен, и должен продолжаться до его устранения. Инцидент низкой серьезности может перерасти в инцидент более высокой серьезности со временем. В рамках оценки компания должна созвать соответствующую команду для управления конкретным уровнем и типом инцидента ИИ. И как часть оценки инцидента, инцидент ИИ должен регистрироваться, и лучшие практики из этого конкретного инцидента должны использоваться для улучшения существующей политики ИИ и плана реагирования на инцидент.

Привлечение юристов

Компания должна привлекать своих внутренних адвокатов, а также может рассмотреть возможность привлечения сторонних адвокатов по вопросам, связанным с ИИ. Связь между адвокатом и клиентом с адвокатом должна быть защищена привилегиями, а юристы должны учитывать вопросы привилегий при привлечении сторонних ИТ-консультантов для анализа инцидентов ИИ. Только юристы должны сообщать правовые заключения правоохранительным органам или третьим лицам, например, о наличии дефекта ИИ или нарушения закона. Сторонние юридические фирмы должны назначить ответственного за координацию действий с клиентом, правоохранительными органами, техническими консультантами по ИИ и PR-компаниями, а также управлять проектом реагирования на инцидент ИИ.

Адвокатам может потребоваться приостановить судебный процесс по некоторым инцидентам AI, и, возможно, потребуется начать подготовку к судебному разбирательству. В случае, когда ИИ ошибается из-за агента-человека, может быть целесообразно, чтобы адвокат отправил письмо о прекращении и отказе от этого лица. Адвокатам также может потребоваться уведомить правоохранительные и / или регулирующие органы о несчастном случае или преступлении с участием ИИ компании. Более того, в той степени, в которой это требуется по закону, юристам может потребоваться уведомить лиц или предприятия, пострадавшие от неправомерных действий ИИ.

Привлечение внешних консультантов ИИ

В то время как в компании могут быть внутренние эксперты по ИИ, привлечение стороннего эксперта по ИИ может быть полезным по разным причинам, включая наличие второго объективного мнения о неправомерных действиях ИИ, обеспечение привилегии адвоката и клиента, когда консультант по ИИ работает с адвокатами и руководит ими, и в ситуациях, когда инцидент ИИ вызван внутренним персоналом компании.

Правоохранительные органы

На основании определения юридической команды компании, возможно, потребуется участие правоохранительных органов (таких как полиция, генеральные прокуроры или федеральные правоохранительные органы), если инцидент с ИИ связан с преступлением, совершенным другими. Контактная информация для различных уровней правоохранительных органов должна быть включена в план реагирования на инциденты ИИ.

И наоборот, правоохранительные органы могут быть вызваны третьими лицами, которым был нанесен ущерб ИИ компании. Правоохранительные органы также могут быть вызваны, если ИИ является свидетелем расследования, например, когда ИИ регистрирует потенциальные доказательства. В таких случаях правовая группа должна реагировать на действия правоохранительных органов в целях защиты прав компании. Выше представительство юридической группы компании может включать в себя общение с правоохранительными органами и свидетелями, а также рассмотрение документов и реагирование на запросы правоохранительных органов.

Связи с общественностью

Группа по связям с общественностью компании должна управлять всеми взаимодействиями — через одного представителя — с прессой и широкой общественностью, связанными с инцидентом ИИ, и действовать в прямой координации с другими назначенными членами команды ИИ, включая юридических. Хотя желательно иметь план антикризисной коммуникации и предварительно утвержденные сообщения до того, как он понадобится, соответствующий уровень реагирования следует оценивать и учитывать в каждом конкретном случае. Команда по связям с общественностью также может отслеживать информацию в социальных сетях о происшествии.

Сторонние службы, список контактов и ресурсы

Ресурсы, связанные с ИИ, такие как спецификации, списки заинтересованных сторон и контакты тех, у кого есть ноу-хау об ИИ, должны поддерживаться и обновляться, чтобы к ним можно было легко получить доступ во время реагирования на инцидент. Технология взаимосвязана между многими сторонними сервисами и данными. Они могут включать одного или нескольких поставщиков платежей, поставщиков внешних ресурсов, поставщиков облачных услуг, машинного обучения в качестве поставщиков услуг, поставщиков сообщений, регистраторов доменных имен и поставщиков данных, а также многие другие. Команда по инцидентам ИИ должна иметь возможность связаться с различными сторонними поставщиками и восстановить контроль над любой из тех служб, которые были скомпрометированы. Наличие правильных учетных данных, таких как имя пользователя, пароль, ответы на сложные вопросы и т. Д., Имеет решающее значение. Похоже на кибер-заболеваемость.

Резервное копирование, восстановление, запись данных и аудит

Поскольку ИИ часто воплощается в программном обеспечении, рекомендуется выполнять резервное копирование различных итераций не только для того, чтобы иметь возможность вернуться к более старым рабочим версиям, но и для того, чтобы криминалисты могли определить, как ИИ себя плохо вел (или нет). Кроме того, большая часть ИИ может быть воплощена в данных, таких как нейронные сети, правила и статистические данные, которые также должны быть сохранены. В рамках функции ИТ или продукта компания должна проверить, правильно ли выполняются эти резервные копии, и можно ли восстановить данные и программное обеспечение ИИ. Во время реагирования на инцидент ИИ такое восстановление и криминалистика могут иметь решающее значение для минимизации вреда компании.

Специалисты считают, недооцененными силу и потенциал эмоциональных чат-ботов

Заключение

ИИ приносит большие надежды бизнесу, но его следует принимать с осторожностью. В этой серии мы обсудили общие соображения относительно политики ИИ и плана реагирования на инциденты ИИ, но каждая компания отличается, и их политика и планы должны создаваться и поддерживаться на индивидуальной основе. Политика и планы должны развиваться с изменением правовых и этических стандартов. Надеемся, что в дополнение к существующим политикам и процессам компании такой план политики ИИ и реагирования на инциденты поможет компании процветать в период четвертой промышленной революции.



Новости партнеров

Загрузка...