為了應對AI使用中日益高級化的風險�,僅僅“注意使用方法”是不夠的����,構(gòu)建新的治理體系至關(guān)重要。
圖片來源:VideoFlow / Shutterstock
生成式AI是企業(yè)在推進數(shù)字化轉(zhuǎn)型(DX)中迅速引入的一項技術(shù)��。在各種業(yè)務中����,它不僅能生成文本,還能應用于圖像���、音頻等媒體內(nèi)容的創(chuàng)作�����,以傳統(tǒng)IT系統(tǒng)所不具備的速度創(chuàng)造商業(yè)價值���。然而�,其背后存在著因處理海量數(shù)據(jù)而產(chǎn)生的風險。隱私侵犯、違反法規(guī)、知識產(chǎn)權(quán)問題等���,企業(yè)必須認真面對的課題多種多樣�。 在EY(安永)日本株式會社擔任風險咨詢合伙人的川勝健司先生也表示:“正因為是生成式AI�,其引發(fā)的風險問題比以往的IT系統(tǒng)波及范圍更廣?���!彼貏e強調(diào),“圖像和音頻等多樣化的生成物��,有可能助長欺詐���、誹謗等犯罪行為����,這是以往所沒有的重大擔憂����。” 為了應對這樣日益高級化的風險�����,僅僅“注意使用方法”是不夠的,構(gòu)建新的治理體系至關(guān)重要���。在緊跟技術(shù)進步和監(jiān)管動態(tài)的同時����,企業(yè)應如何引入適當?shù)闹坪鈾C制����?本文首先將從組織體系和策略制定的角度,探討應如何推進生成式AI的風險管理�。
一、傳統(tǒng)的“合規(guī)部門主導”模式無法覆蓋的廣泛風險
在傳統(tǒng)的企業(yè)治理中���,引入新技術(shù)時�,通常由法務和合規(guī)部門主導制定規(guī)則�����。然而��,生成式AI不僅涉及安全和隱私���,還同時包含了“數(shù)據(jù)學習過程”����、“模型選型”�、“輸出的可靠性/虛假內(nèi)容生成”等需要技術(shù)知識的風險。
帝國數(shù)據(jù)銀行在2024年夏季對4705家公司進行的調(diào)查顯示�����,在利用生成式AI的企業(yè)中�,風險應對負責部門“尚未確定”的企業(yè)高達45.1%。 川勝先生指出:“法務合規(guī)人員在監(jiān)管方面有深厚知識��,而IT部門則理解技術(shù)層面的風險���?����!钡麖娬{(diào)��,在使用生成式AI時���,僅靠“法務”或“IT”都是不充分的,“由兩者合作的‘全公司范圍的跨部門團隊’是必不可少的”���。
二����、需要一個能翻譯并實施AI風險的“1.5線”
此外,川勝先生以金融機構(gòu)為例�,提出了一個被稱為“1.5線”的風險管理框架。在普通企業(yè)中����,有“一線(現(xiàn)場部門)”和“二線(審計、合規(guī)等部門)”����,但金融機構(gòu)有時會在IT部門內(nèi)設立“系統(tǒng)風險管理職能”,作為一線和二線之間的中間環(huán)節(jié)���。 “理想的做法是設立一個具有‘1.5線’角色的部門����,并在IT部門內(nèi)安排負責風險管理的成員�����。因為我們需要一個‘翻譯者’�,將高層討論的策略�,落實到實際的系統(tǒng)需求和服務規(guī)格中���。”川勝先生說����。 如果缺少這個“翻譯者”����,高層的策略將停留在抽象層面���,無法在現(xiàn)場有效執(zhí)行�。為了應對AI特有的復雜風險����,連接法務、合規(guī)���、IT各個領(lǐng)域��,并將其分解為具體實施需求的“1.5線”機制至關(guān)重要����。
三、跨部門委員會與1.5線合作的優(yōu)勢
在考慮組織體系時��,關(guān)鍵在于跨部門委員會(或小組委員會)與1.5線的IT風險部門的合作�。據(jù)川勝先生說,以下流程是理想的:
如果這個體系得以建立�����,就能減少“有策略但未執(zhí)行”��、“法務制定的規(guī)則與現(xiàn)場設想的運作不匹配”等不協(xié)調(diào)的情況�。
四����、策略制定與運作要點:“最高層基本規(guī)定”與“技術(shù)別指南”的雙層結(jié)構(gòu)
根據(jù)前述帝國數(shù)據(jù)銀行的調(diào)查,在利用生成式AI的企業(yè)中��,制定了方針或指南的企業(yè)不到兩成���。
川勝先生建議��,在制定策略時的要點是“將宏觀方針與實務指南分開制定”�。具體來說�����,例如在最高層的“基本規(guī)定”中,參考OECD的AI原則等國際標準�����,將倫理和隱私保護的理念作為公司內(nèi)部規(guī)定明文化�。另一方面,針對不同的使用模型和技術(shù)設立“指南”���,整理出更具體的禁止事項和推薦事項�����。 “例如��,‘禁止向AI輸入個人信息’在理念上是正確的�,但在業(yè)務上���,有時不得不處理個人信息����。在這種情況下,‘確認本人同意的范圍’�����、‘引入數(shù)據(jù)匿名化機制’等指南層面的定義是必不可少的�����?��!保ù▌傧壬?/span>
五����、需要一個能實現(xiàn)靈活更新的機制
AI技術(shù)日新月異����,各國的監(jiān)管也在加強����。因此,建立一個能夠靈活更新已定內(nèi)部規(guī)程和指南的體系非常重要�。川勝先生警告說:“如果在策略中加入過于嚴格的審批流程,將跟不上變化���?���!?/span>
為此,最好通過定期召開跨部門委員會會議�����、專設AI治理負責人等方式���,確保能夠快速決定規(guī)則的更新�����。 此外��,為了熟練使用生成式AI并創(chuàng)造新價值��,“什么都禁止”并非最佳選擇�����。另一方面�����,如果無限制地使用���,隱私泄露��、違反法規(guī)���、信譽受損的風險很大。川勝先生表示���,“設定護欄��,并承認一定程度的自由度”的方法是合理的����。 “如果事無巨細地全部檢查�,會導致引入過程變得繁瑣,損害創(chuàng)新�。反之,如果放任不管���,則可能引發(fā)重大事故。作為填補這兩者之間空白的護欄��,策略和指南是必需的?�!?/span>
六���、如何解釋AI治理的成本�?
對管理層來說�,一個棘手的問題是AI治理的成本在多大程度上是正當?shù)摹5?,考慮到萬一發(fā)生事件可能面臨的來自當局的制裁或信譽受損,事后風險可能導致遠比這高昂的損失���。 “最近����,參考同行業(yè)其他公司的案例��,以‘那家公司已經(jīng)做到這個程度了’的看齊意識來做決策的情況并不少見�。”川-勝先生說���。雖然理想情況是���,在考慮了“事件發(fā)生時的處罰或訴訟成本”�����、“品牌受損導致的銷售額減少”等因素后�,定量地考慮風險效益�,但能做到這一點的企業(yè)并不多。 實際的數(shù)據(jù)泄露成本逐年上升�����。根據(jù)日本IBM在2024年9月發(fā)布的報告���,國內(nèi)企業(yè)遭受數(shù)據(jù)泄露的平均成本達到6.3億日元(同比增長5%)�,創(chuàng)下歷史新高�。
加強治理需要一定的投資,但像這樣一旦發(fā)生大規(guī)模事件�,就可能導致數(shù)億日元規(guī)模的損失。在向管理層說明時���,這類數(shù)據(jù)可以作為“事后成本 > 事前投資”的有力定量依據(jù)���。 生成式AI時代的治理構(gòu)建,不僅僅是合規(guī)應對���,更是企業(yè)為了能安心利用AI并創(chuàng)造創(chuàng)新的“基礎(chǔ)建設”����。通過跨部門委員會與1.5線的合作�����,并建立能在全公司策略與具體實施指南之間自由切換的組織設計����,無疑可以在不過度限制的前提下,將風險降至最低�����。
睿觀:
1��、核心挑戰(zhàn)與應對框架����。生成式AI帶來了超越傳統(tǒng)IT范疇的廣泛而復雜的風險(如隱私、法律�、倫理),單純依賴法務或IT部門的傳統(tǒng)治理模式已無法應對����。專家建議構(gòu)建一種新的治理體系:由法務�、IT�、業(yè)務等多方組成的“橫斷委員會”負責制定全公司范圍的高階策略與原則;而IT部門內(nèi)的“1.5線團隊”則扮演“翻譯者”的角色��,將這些策略具體化為系統(tǒng)需求和技術(shù)實現(xiàn)��。
2���、策略與執(zhí)行要點�。這種“策略層”與“執(zhí)行層”聯(lián)動的模式���,能有效避免頂層設計與底層實施的脫節(jié)�����。在策略制定上�,應采用“基本規(guī)定+技術(shù)指南”的雙層結(jié)構(gòu)�,確保原則性與實踐性的統(tǒng)一。在管理上����,應設置靈活的“護欄”而非全面禁止�����,在不扼殺創(chuàng)新的前提下,將AI風險降至最低���,并通過引用數(shù)據(jù)泄露的巨大事后成本來向管理層證明事前投資的必要性���。
3、最終目標�����。通過這種新的治理體系���,企業(yè)的目標是建立一個既能敏捷響應技術(shù)與法規(guī)變化�,又能有效管控風險的框架���,從而安全���、負責任地利用AI,并將其作為驅(qū)動創(chuàng)新的核心引擎。
金句:AI時代的治理藝術(shù):在高階策略的“頂層設計”與具體代碼的“底層實現(xiàn)”之間���,需要一個既懂法律又懂技術(shù)的“翻譯官”���。
