立法院應加快《人工智慧基本法草案》審查,並納入網路安全、社會與治理 (ESG)策略

王仁甫
283 人閱讀
圖片來源:達志影像/美聯社

2022年金管會推出「上市櫃公司永續發展路徑圖」,並於隔年進一步發布「上市櫃公司永續發展行動方案」,台灣在環境保護、社會責任和公司治理(即ESG)領域邁出重要一步。此政策目標直指2029年完成溫室氣體盤查,建立完善的永續發展生態。然而,在要求企業推進ESG的同時,也引發了一個關鍵問題:快速發展的人工智慧(AI)科技,如何解決資源消耗與ESG原則之間的矛盾議題?又如何確保安全的應用AI科技?

就此,建議立法院除應加快審查《人工智慧基本法草案》外,更應納入網路安全環境、社會與治理(ESG)的相關策略,讓台灣的AI發展能接軌國際,創造下一個護國神山,說明如下:

什麼是ESG?ESG與資安的關係是什麼?

ESG代表三大核心價值:環境保護(E)、社會責任(S)以及公司治理(G)。根據PWC的研究,ESG評級機構常將資安與隱私納入其評分,例如,MSCI ESG的評估中,網路安全對於零售業、電信業和醫療保健業的權重分別達到29%、28%和20%。這顯示,隱私與資安已成為企業實踐ESG的重要指標。

但隨全球快速推動AI科技發展,需要耗費大量的電及水資源,成就AI的運算及應用,是否與ESG所要求的環境保護有衝突?

且AI科技發展亦造成許多資安問題,政府如何定出策略,驅動產業使用公司治理(G:Governance),達成ESG的相關目標,則是本文討論重點。

人工智慧治理也尋求減輕潛在的廣泛危害,因此人工智慧影響和人工智慧治理如何納入ESG評估的問題是有必要的。

AI與ESG:衝突與融合

人工智慧的飛速發展雖然帶來巨大的產業機遇,但其高能耗和資安風險也成為挑戰。例如,AI的運算需求依賴大量電力和水資源,這是否與ESG強調的環境保護原則相違背?此外,AI技術的應用屢屢暴露出資安漏洞,如何透過完善的公司治理來降低風險、實現ESG目標,成為當前重要課題。例如Minkkinen et al.(2024)研究指出,建議將人工智慧治理模式,從架構上整合到ESG標準中,至少有三種可能的選擇:

融入社會責任(S)或公司治理(G)支柱:將AI倫理、透明度與隱私保護納入現有的ESG標準。

獨立成為AI治理支柱:單獨設立評估AI技術的標準,強化對AI風險的監管。

整合為技術治理的更廣支柱:以更全面的方式涵蓋AI和其他新興技術的治理需求。

AI治理要符合ESG,就必須落實資安標準建立

2018年國際標準化組織(ISO)及國際電工委員會(IEC)在其資訊技術聯合技術委員會(ISO/IEC JTC 1)下成立了人工智慧小組委員會(SC 42),且依照Winter et al.(2021)研究指出,AI發展制定標準體系(詳見下圖)主要涵蓋:(1)基礎標準;(3)信任性;(4)應用案例;(5)計算方法與AI系統計算特徵,以及(6)人工智慧治理影響等標準(詳見表6),以減緩AI發展的衝擊及資安風險,並提升AI應用的資安韌性。

圖 1  AI的國際相關標準體系
資料來源:Winter et al.(2021)、王仁甫、陳意璇(2024),
市場焦點-產業導入 AI 化所需的資安韌性:挑戰與策略,智慧自動化產業期刊第51期

王仁甫、陳意璇(2024)研究(王仁甫、陳意璇2024,市場焦點-產業導入 AI 化所需的資安韌性:挑戰與策略,智慧自動化產業期刊第51期),指出人工智慧(AI)相關的國際標準(下表),涵蓋了從基本概念、規範定義及風險管理的多個領域,為AI技術的開發與應用提供了全方位的指引及規範。

一,ISO/IEC 22989:定義AI的基本概念與術語,提供統一的術語標準,適用於技術開發者和研究人員。

二,ISO/IEC 23053:針對機器學習系統,提供應用框架,適用於組織管理者和技術開發者。

三,ISO/IEC 42001:規範AI的管理與治理,適用於組織管理者。

四,ISO/IEC 23894:聚焦AI風險管理,提供風險管理流程標準,適用於風險評估人員和組織管理者。

五,ISO/IEC 5259:聚焦資料品質方面,涵蓋了概述、測量、管理要求和框架的多個層面,為技術開發者和數據分析師提供詳細指導。

此外,ISO/IEC 27001:2013規範資訊安全管理系統,適用於組織管理者和資訊安全專家。而ISO/IEC 42006則針對AI管理系統的審計及認證需求,為審計和認證機構提供標準。

再者,CEN-CENELEC 的標準涵蓋AI風險管理和可信度描述,分別適用於風險評估人員、組織管理者以及技術開發者和研究人員。

表 1  AI的國際相關標準

標準名稱 (Standard Name)應用領域 (Application Domain)主要目的 (Main Objective)目標對象 (Target Audience)標準類型 (Standard Type)
ISO/IEC 22989人工智慧 (AI) – 概念與術語 AI概念與術語定義技術開發者、研究人員術語與定義 (Terminology)
ISO/IEC 23053人工智慧 (AI) – 機器學習系統框架使用機器學習的AI系統框架組織管理者、技術開發者框架 (Framework)
ISO/IEC 42001人工智慧 (AI) – 管理系統AI管理與治理組織管理者管理系統 (Management System)
ISO/IEC 23894人工智慧 (AI) – 風險管理AI風險管理
(組織內部風險管理流程)
風險評估人員、組織管理者風險管理 (Risk Management)
ISO/IEC 5259-part 1資料品質 (Data Quality) – 概述ML資料品質概述、術語與示例技術開發者、數據分析師術語與定義 (Terminology)
ISO/IEC 5259-part 2資料品質 (Data Quality) – 測量 ML資料品質測量技術開發者、數據分析師測量標準 (Measurement)
ISO/IEC 5259-part 3資料品質 (Data Quality) – 管理要求ML資料品質管理要求和指南組織管理者、數據分析師管理要求 (Management Requirements)
ISO/IEC 5259-part 4資料品質 (Data Quality) – 框架ML資料品質管理框架組織管理者、數據分析師框架 (Framework)
ISO/IEC 27001:2013資訊安全 (Information Security)資訊安全管理系統組織管理者、資訊安全專家管理系統 (Management System)
ISO/IEC 42006人工智慧 (AI) – 審計與認證AI管理系統審計和認證要求審計和認證機構審計與認證 (Audit & Certification)
CEN-CENELEC Risk人工智慧 (AI) – 風險管理 AI風險分類與管理風險評估人員、組織管理者風險管理 (Risk Management)
CEN-CENELEC Trustworthiness人工智慧 (AI) – 可信度描述AI可信度特徵描述技術開發者、研究人員可信度描述 (Trustworthiness)
可信賴的人工智慧倫理準則 (Ethics Guidelines for Trustworthy AI)人工智慧倫理提供AI倫理準則AI科研人員、技術開發者、組織管理者倫理準則
(Ethics Guidelines)
人工智慧科研發展指引AI科研提供AI科研發展指引AI科研人員、技術開發者發展指引 (Development Guidelines)

資料來源:Winter, P. M., Eder, S., Weissenböck, J., Schwald, C., Doms, T., Vogt, T., Hochreiter, S., & Nessler, B. (2021). Trusted Artificial Intelligence: Towards Certification of Machine Learning Applications. https://doi.org/10.48550/arxiv.2103.16910

導入資安標準與倫理是人工智慧基本法草案的雙軌

因此,從公司治理(G)架構思考,當使用AI平台串接資料流時,就必須合乎網路及隱私合規要求,導入前文所列的AI所須的資安各項標準,及估計所需耗費的成本及風險,建立成熟度指標,使整體產業供應鏈符合ESG的概念(詳見下圖)。

圖 2網路安全環境、社會與治理 (ESG)架構

未來,立法院審查《人工智慧基本法草案》時,建議要求主管機關訂定相關配套措施,如納入可信賴的人工智慧倫理準則(Ethics Guidelines for Trustworthy AI),須涵蓋以人為本、技術穩健性、隱私治理、資訊安全、反歧視、透明性(含告知義務)等面向,要求AI科研人員、技術開發者及組織管理者須依人工智慧倫理準則,進行研究及開發,以降低AI應用之相關風險。

此文章與信傳媒同步刊登

作者為元智大學資管系專任助理教授,兼台灣駭客協會理事

留言評論

延伸閱讀