趋势与观点 | 人工智能带来的商业风险
虽然人工智能(AI)可以驱动业务和成本效益、战略转型,以及更好和更多的定制化的客户参与度。但在实施人工智能解决方案时我们一定不要落入一个陷阱,也就是那些看起来很美并且“出人意料”的人工智能解决方案,实际却没有考虑如何用新技术实现商业价值的提升。数据的质量和数量的缺乏、对人工智能固有风险的理解不足、企业文化和法规,都可能成为在组织中广泛采用人工智能的真正障碍。
欧盟和国际监管机构也对人工智能表现出了积极的兴趣。事实上,欧盟在2021年4月提出了世界上第一个人工智能法案,以规范人工智能,解决数据驱动或算法社会评分、远程生物特征识别以及在执法、教育和就业中使用人工智能系统的问题。
图片来源于公共图片库
因此,对于一个组织来说,重要的是要了解人工智能的商业风险,以及人工智能的好处是否大于它的风险。在写这篇文章之前,我与行业专家和同行进行了多次讨论,以下是他们列举的与人工智能相关的最常见的风险来源:
透明度和问责制——与人类不同,人工智能系统缺乏做出判断或理解其所被部署的环境的能力。此外,它们只有在符合用于培训它们的数据和部署它们的场景中才有效,而培训系统十分有限。缺乏背景判断,以及总体学习的局限性,都极大地影响了基于风险的审查和战略部署讨论。AI系统的另一个重要问题是信任。作为一项新兴技术,对人工智能缺乏足够的了解可能会导致对人工智能系统的信任和问责问题。对于组织来说,保持对基于人工智能的决策的必要理解和控制,包括它们的适当性、公平性以及与组织的价值观和风险偏好的一致性,可能是一项挑战。
数据隐私——一些人工智能解决方案的不透明性面对某些法规时遇到了实际挑战,如欧盟通用数据保护法规(GDPR),因为它要求组织向客户解释他们的个人数据是如何使用的,以及完全自动化决策背后的假设和驱动因素是什么,这对客户有重大影响。涉及数据隐私侵犯的一个主要风险是攻击者可以推理用于训练模型的数据集,从而损害数据隐私。
数据质量和可用性——人工智能解决方案做出的任何决策的质量在很大程度上依赖于所使用数据的质量和数量。缺乏大量高质量的数据是应用人工智能解决方案的主要障碍。数据质量差的风险可能会限制系统的学习能力,并对未来的决策产生负面影响。劣质和不完整的数据可能会导致错误或糟糕的预测,或无法实现预定目标。
治理和合规——AI系统面临的一个主要风险是缺乏治理、合规和监管要求。目前国际标准组织(ISO)还没有明确的标准来定义并帮助组织遵循和实现一系列强制要求。尽管全球一些实体和当局已经建立了工作小组,讨论人工智能和其他新兴技术带来的业务风险和挑战,但人工智能仍处于早期阶段,在明确的治理和合规指南出台之前,人工智能的使用、监控、以及人工智能的潜在适用性仍然受到限制。
法律责任不明确——人工智能的另一个潜在风险是法律责任问题。如果人工智能系统是用模糊的算法设计的,那么谁对系统的结果负法律责任——组织、程序员还是系统?这种风险不只是理论上的。2018年,一辆自动驾驶汽车撞死了一名行人。在这种情况下,这辆汽车的人类驾驶员没有注意驾驶问题,而在人工智能系统出现故障时被追究责任。
结论
采用人工智能和创新通常需要组织经历一个学习过程。这段过程不是为了避免人工智能风险,而是为了开发流程和工具,让企业有信心在组织的风险文化和偏好设定的范围内,有效地识别和管理这些风险。组织中的所有主要参与者,包括利益相关者和决策者,都应该明白闪光的东西并不都是金子,在创新过程中必须进行详细的风险和利益比较分析。我们都有责任更多地了解人工智能的风险,以便控制它。人工智能不会消失,随着技术变得更加先进和普遍,它的风险将继续增长和变化。考虑到全球越来越多的数据隐私法律法规,最重要的是,决策者应该能够回答这样一个问题:“我们能否充分保护人工智能中使用的隐私和数据安全?”
往期推荐:
编者注:本文首次发表于2022年3月9日ISACA官网News and Trends /Newsletter/@ISACA。。文章内容仅代表作者本人观点。
作者:Hafiz Sheikh Adnan Ahmed, CGEIT, CDPSE,是一名获得认证的数据隐私官,在信息安全、数据隐私、业务连续性、风险管理、信息和通信技术(ICT)治理、云合规和数字转型战略方面具有实践经验。
翻译:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。