2022年金管會推出「上市櫃公司永續發展路徑圖」,並於隔年進一步發布「上市櫃公司永續發展行動方案」,台灣在環境保護、社會責任和公司治理(即ESG)領域邁出重要一步。此政策目標直指2029年完成溫室氣體盤查,建立完善的永續發展生態。然而,在要求企業推進ESG的同時,也引發了一個關鍵問題:快速發展的人工智慧(AI)科技,如何解決資源消耗與ESG原則之間的矛盾議題?又如何確保安全的應用AI科技?
就此,建議立法院除應加快審查《人工智慧基本法草案》外,更應納入網路安全環境、社會與治理(ESG)的相關策略,讓台灣的AI發展能接軌國際,創造下一個護國神山,說明如下:
什麼是ESG?ESG與資安的關係是什麼?
ESG代表三大核心價值:環境保護(E)、社會責任(S)以及公司治理(G)。根據PWC的研究,ESG評級機構常將資安與隱私納入其評分,例如,MSCI ESG的評估中,網路安全對於零售業、電信業和醫療保健業的權重分別達到29%、28%和20%。這顯示,隱私與資安已成為企業實踐ESG的重要指標。
但隨全球快速推動AI科技發展,需要耗費大量的電及水資源,成就AI的運算及應用,是否與ESG所要求的環境保護有衝突?
且AI科技發展亦造成許多資安問題,政府如何定出策略,驅動產業使用公司治理(G:Governance),達成ESG的相關目標,則是本文討論重點。
人工智慧治理也尋求減輕潛在的廣泛危害,因此人工智慧影響和人工智慧治理如何納入ESG評估的問題是有必要的。
AI與ESG:衝突與融合
人工智慧的飛速發展雖然帶來巨大的產業機遇,但其高能耗和資安風險也成為挑戰。例如,AI的運算需求依賴大量電力和水資源,這是否與ESG強調的環境保護原則相違背?此外,AI技術的應用屢屢暴露出資安漏洞,如何透過完善的公司治理來降低風險、實現ESG目標,成為當前重要課題。例如Minkkinen et al.(2024)研究指出,建議將人工智慧治理模式,從架構上整合到ESG標準中,至少有三種可能的選擇:
融入社會責任(S)或公司治理(G)支柱:將AI倫理、透明度與隱私保護納入現有的ESG標準。
獨立成為AI治理支柱:單獨設立評估AI技術的標準,強化對AI風險的監管。
整合為技術治理的更廣支柱:以更全面的方式涵蓋AI和其他新興技術的治理需求。
AI治理要符合ESG,就必須落實資安標準建立
2018年國際標準化組織(ISO)及國際電工委員會(IEC)在其資訊技術聯合技術委員會(ISO/IEC JTC 1)下成立了人工智慧小組委員會(SC 42),且依照Winter et al.(2021)研究指出,AI發展制定標準體系(詳見下圖)主要涵蓋:(1)基礎標準;(3)信任性;(4)應用案例;(5)計算方法與AI系統計算特徵,以及(6)人工智慧治理影響等標準(詳見表6),以減緩AI發展的衝擊及資安風險,並提升AI應用的資安韌性。
王仁甫、陳意璇(2024)研究(王仁甫、陳意璇2024,市場焦點-產業導入 AI 化所需的資安韌性:挑戰與策略,智慧自動化產業期刊第51期),指出人工智慧(AI)相關的國際標準(下表),涵蓋了從基本概念、規範定義及風險管理的多個領域,為AI技術的開發與應用提供了全方位的指引及規範。
一,ISO/IEC 22989:定義AI的基本概念與術語,提供統一的術語標準,適用於技術開發者和研究人員。
二,ISO/IEC 23053:針對機器學習系統,提供應用框架,適用於組織管理者和技術開發者。
三,ISO/IEC 42001:規範AI的管理與治理,適用於組織管理者。
四,ISO/IEC 23894:聚焦AI風險管理,提供風險管理流程標準,適用於風險評估人員和組織管理者。
五,ISO/IEC 5259:聚焦資料品質方面,涵蓋了概述、測量、管理要求和框架的多個層面,為技術開發者和數據分析師提供詳細指導。
此外,ISO/IEC 27001:2013規範資訊安全管理系統,適用於組織管理者和資訊安全專家。而ISO/IEC 42006則針對AI管理系統的審計及認證需求,為審計和認證機構提供標準。
再者,CEN-CENELEC 的標準涵蓋AI風險管理和可信度描述,分別適用於風險評估人員、組織管理者以及技術開發者和研究人員。
表 1 AI的國際相關標準
標準名稱 (Standard Name) | 應用領域 (Application Domain) | 主要目的 (Main Objective) | 目標對象 (Target Audience) | 標準類型 (Standard Type) |
ISO/IEC 22989 | 人工智慧 (AI) – 概念與術語 | AI概念與術語定義 | 技術開發者、研究人員 | 術語與定義 (Terminology) |
ISO/IEC 23053 | 人工智慧 (AI) – 機器學習系統框架 | 使用機器學習的AI系統框架 | 組織管理者、技術開發者 | 框架 (Framework) |
ISO/IEC 42001 | 人工智慧 (AI) – 管理系統 | AI管理與治理 | 組織管理者 | 管理系統 (Management System) |
ISO/IEC 23894 | 人工智慧 (AI) – 風險管理 | AI風險管理 (組織內部風險管理流程) | 風險評估人員、組織管理者 | 風險管理 (Risk Management) |
ISO/IEC 5259-part 1 | 資料品質 (Data Quality) – 概述 | ML資料品質概述、術語與示例 | 技術開發者、數據分析師 | 術語與定義 (Terminology) |
ISO/IEC 5259-part 2 | 資料品質 (Data Quality) – 測量 | ML資料品質測量 | 技術開發者、數據分析師 | 測量標準 (Measurement) |
ISO/IEC 5259-part 3 | 資料品質 (Data Quality) – 管理要求 | ML資料品質管理要求和指南 | 組織管理者、數據分析師 | 管理要求 (Management Requirements) |
ISO/IEC 5259-part 4 | 資料品質 (Data Quality) – 框架 | ML資料品質管理框架 | 組織管理者、數據分析師 | 框架 (Framework) |
ISO/IEC 27001:2013 | 資訊安全 (Information Security) | 資訊安全管理系統 | 組織管理者、資訊安全專家 | 管理系統 (Management System) |
ISO/IEC 42006 | 人工智慧 (AI) – 審計與認證 | AI管理系統審計和認證要求 | 審計和認證機構 | 審計與認證 (Audit & Certification) |
CEN-CENELEC Risk | 人工智慧 (AI) – 風險管理 | AI風險分類與管理 | 風險評估人員、組織管理者 | 風險管理 (Risk Management) |
CEN-CENELEC Trustworthiness | 人工智慧 (AI) – 可信度描述 | AI可信度特徵描述 | 技術開發者、研究人員 | 可信度描述 (Trustworthiness) |
可信賴的人工智慧倫理準則 (Ethics Guidelines for Trustworthy AI) | 人工智慧倫理 | 提供AI倫理準則 | AI科研人員、技術開發者、組織管理者 | 倫理準則 (Ethics Guidelines) |
人工智慧科研發展指引 | AI科研 | 提供AI科研發展指引 | AI科研人員、技術開發者 | 發展指引 (Development Guidelines) |
資料來源:Winter, P. M., Eder, S., Weissenböck, J., Schwald, C., Doms, T., Vogt, T., Hochreiter, S., & Nessler, B. (2021). Trusted Artificial Intelligence: Towards Certification of Machine Learning Applications. https://doi.org/10.48550/arxiv.2103.16910
導入資安標準與倫理是人工智慧基本法草案的雙軌
因此,從公司治理(G)架構思考,當使用AI平台串接資料流時,就必須合乎網路及隱私合規要求,導入前文所列的AI所須的資安各項標準,及估計所需耗費的成本及風險,建立成熟度指標,使整體產業供應鏈符合ESG的概念(詳見下圖)。
圖 2網路安全環境、社會與治理 (ESG)架構
未來,立法院審查《人工智慧基本法草案》時,建議要求主管機關訂定相關配套措施,如納入可信賴的人工智慧倫理準則(Ethics Guidelines for Trustworthy AI),須涵蓋以人為本、技術穩健性、隱私治理、資訊安全、反歧視、透明性(含告知義務)等面向,要求AI科研人員、技術開發者及組織管理者須依人工智慧倫理準則,進行研究及開發,以降低AI應用之相關風險。
此文章與信傳媒同步刊登
作者為元智大學資管系專任助理教授,兼台灣駭客協會理事
- 立法院應加快《人工智慧基本法草案》審查,並納入網路安全、社會與治理 (ESG)策略 - 2024 年 12 月 16 日
- 阻斷影音平台非法洗錢,切斷詐欺與認知作戰 - 2024 年 11 月 4 日
- 面對APT級駭客攻擊的因應之道 - 2024 年 9 月 23 日