随着人工智慧应用的产业及领域越来越广,AI 产品与服务也快速增多,使得人工智慧的管理与治理愈来愈复杂,并且超过管理资讯软、硬体的既有经验,因此使得对於治理框架的需求愈来愈迫切。在欧盟领先带跑的局面下,目前世界各国都尝试透过规范方针或原则,以规范 AI 的发展及应用。近期,国际标准机构则制定了 ISO/IEC 42001:2023,让产业界对於 AI 产品的品质有更明确的指标,也让企业管理与治理方向更加容易衡量与掌握。
为什麽 AI 治理不同於过去各国的经验?其中一个重要因素是 AI 的应用并不受地区限制,甚至难以划分其明确范畴与边界,对於产业、社会与环境的影响难以预估,因此没有任何单一国家能够自外於国际趋势。那麽,一旦这些 AI 标准从地区或区域标准变成国际标准,将对产业带来哪些影响或冲击呢?
TUV NORD 北德永续长、台湾人工智慧协会常务理事黄国宝认为,AI 标准化除了确保 AI 产品的品质、保护系统、降低风险与负面危害,使其发挥效能;同时,更要限定 AI 的使用范围。而这些都是奠基於德国在 2019 年所堆动的「德国 AI 标准化蓝图」下所发展出的面向,这份蓝图不仅提升了欧盟对 AI 的关注,更因此催生出 AI 法案。
黄国宝提到,根据「2023 台湾产业 AI 化大调查」结果显示,多数企业在 AI 和管理业务上遇到的挑战包括缺乏技术人才、资料未整合及 AI 导入成本等问题,而这些因素在 ISO 42001 中都有相对应的规范。他认为,AI 应用的需求包含许多期望,如法规、预算、情境、时程,以及期待的效能等,而当开发商确认客户需求,并做完 POC 验证可以符合需求後,就会开始进行更深度具体的开发部署,与维运管理,这是一个生命周期的概念。若从产品监管的角度出发,无论是产品或服务都应该有品质标准,而对 AI 产品的品质标准则应包含了可信赖 AI 的评估。
品质不能只靠「制造」,企业各部门都有责任
黄国宝提到,业界对品质的要求有个口诀:「QCDTS」, Quality、Cost、Delivery、Technology,以及Safety或Security。Quality 会依据产品所应用的情境和需求而有不同的条件;而 Cost 则是指成本必须是可负担的;Delivery 包含了交付期限、状况和可靠性;而 Safety 或 Security 分别代表功能性的安全和资安上的安全。
又或者,也会使用另一个管控品质的组合:「RAMS」,分别代表Reliability(可靠度) 、Availability(可随时被使用)、Maintability(可维护或可更新的)、Safety和Security(安全)。可以看到,无论是「QCDTS」或「RAMS」都将 Safety 和 Security 纳入品质的要求中。
「AI 的产品和服务品质,不能只靠最後的检验,」黄国宝说,最初大家认为「品质是透过检验才产生,」因为透过 QC 确保产品的品质,避免将瑕疵品卖给消费者。但当中有个吊诡的地方是,一旦产品有问题却是在最後检验才发现,那麽一开始的生产制造过程中所投入的成本不就都浪费了?
所以後来品管的观念从品质是检验出来的,变成品质是制造出来的;最後又认知到必须从产品的设计,甚至是供应商所提供的设备、原料开始把关管理,更重要的是清楚定义出客户的需求,否则投入的设计与制造成本後,最後产出并不是客户要的东西,就不能称之为是有品质的东西。因此,品质的概念也就从仅限於产品制造的管理,慢慢演变成企业内外部流程与文化的整体管理。而这也是风险管理的过程,因为每一个环节都能让产品的品质和可靠度产生瑕疵。同理,AI 产品或服务的品质并不只是研发单位的责任,而是与企业所有单位都有关系。
AI 的品质是生命周期的管理系统
同样的概念放到 AI 产品或服务,如何复制成功的产品模式并持续维持产品或服务的一致性呢?黄国宝认为, AI 的品质涉及到许多部门的团队合作,从资料的取得、清理、训练模型建立,还有模型部署及除错与更新等,每一个环节都要有明确的指标可供管理。除了跨部门的沟通之外,还有许多商务上的考量。这在ISO或是国际标准的概念中,主要是利用 PDCA(Plan-Do-Check-Act,循环式品质管理)模型工具进行管理,针对品质工作按规划、执行、查核与行动持续进行管理,以确保品质的一致,并符合市场要求的品质。
而国际标准机构 2023 年所推出的 ISO/IEC 42001:2023 的标准,便是着重在管理企业内部各部门的环节,确保公司在AI产品或服务上,能提供一致性的服务,并能持续改进与更新。他指出,这样的管理制度下所做出的标准,确实会涉及一些技术标准,但仍是以管理为主,并借用 PDCA 的原则运作。
黄国宝说,这个标准可以通用於软硬体产业,以及各种规模大小的企业。它所强调的是整个 AI 在提供服务过程中的生命周期,包括前期的需求确认,到产品的开发、部署、维运等,并透过这个框架管理 AI 的产品与服务,以及利害相关者,甚至是市场上受到关注的公平性、伦理性、合规性、偏见问题等,以达到可信赖 AI 的相关要求,透过制度化的标准来管控品质,并展现出负责任地使用人工智慧。透过这个制度,也可以追溯透明度与可靠性。
他认为,虽然各界对於 ISO 的标准各有不同的解读方式,但它仍是市场上最基本且直接简单的一个认可方式。企业也可以藉此建立起竞争门槛。因为当有越来越多需求出现时,已经建立管理制度的公司,将能在整体服务的提供增加竞争力,更能利用管理制度持续优化并改善产品。
以前欠 AI 资料债,现在欠 AI 制度债
根据「2023 台湾产业 AI 化大调查」结果显示,多数企业尚未进行 AI 策略规划。由於 2022 年底掀起的生成式 AI 热潮也让全球对於 AI 的思考从「成本」「投资」延伸到「风险」,意即,AI 绝不能只停留在技术采用的考虑,必须从营运策略与企业治理的高度重新定义及定位。对於企业、产业与政府而言,无一例外。
「我们以前欠的是 AI 资料债,现在欠的是AI 制度债,」黄国宝说,许多企业可能有很好的技术,但亟需建立制度;而公司的管理阶层在建立企业的文化时,除了需要考量产品开发与服务提供可能面临的风险、机会评估,以及因应对策,还需要拟定公司在营运上的目标,以及如何做好 AI 相关产品的变更管理。
另一方面,他也指出企业在与客户接触的过程中,往往容易遇到产品与服务的内容已经变更,却不知道到底哪一个版本才是最好的。所以这些版本的变更管理,其实还要考量到是否有足够支持的资源,才能够做出最适切的决策。
黄国宝说,无论是市场评估、开发进度、维运管理,都需要进行内部管理的查核,以评估整体企业的管理制度是否与时俱进。而公司的管理文化在AI应用上还有一个常被忽略的痛点,就是在整个 AI 产品的发展过程中,必须要做风险评估、风险处置,及AI在应用系统上的影响评估,这也是 ISO42001 的核心重点。
因此,他建议,从初期规划到评估处置与对应,再到真正实施过程中的对策,当中有许多实务上的领域知识可以结合到现行 ISO 的各种标准应用中,企业可以参考相关标准建立一个管理的框架与制度。因为 AI 的管理标准,不只是管理规范,还有许多技术规范,例如必须考量安全层面、机器学习相关的技术应用,或是生命周期的评估,以及以人为中心的一些人机工程的评价,後续都需要有更多不同领域专家共同参与讨论。
更多精彩内容详见《2023 台湾产业AI化大调查》完整报告已可於官网下载,企业可点选按钮下载「2023 台湾产业 AI 化大调查」报告。