2022年金管會推出「上市櫃公司永續發展路徑圖」,並於隔年進一步發布「上市櫃公司永續發展行動方案」[1],台灣在環境保護、社會責任和公司治理(即ESG)領域邁出重要一步。此政策目標直指2029年完成溫室氣體盤查,建立完善的永續發展生態。然而,在要求企業推進ESG的同時,也引發了一個關鍵問題:快速發展的人工智慧(AI)科技,如何解決資源消耗與ESG原則之間的矛盾議題?又如何確保安全的應用AI科技?
[1] https://cgc.twse.com.tw/responsibilityPlan/listCh
就此,建議立法院除應加快審查《人工智慧基本法草案》外,更應納入網路安全環境、社會與治理 (ESG)的相關策略,讓台灣的AI發展能接軌國際,創造下一個護國神山,說明如下:
什麼是ESG?ESG與資安的關係是什麼?
ESG代表三大核心價值:環境保護(E)、社會責任(S)以及公司治理(G)。根據PWC的研究,ESG評級機構常將資安與隱私納入其評分,例如,MSCI ESG的評估中,網路安全對於零售業、電信業和醫療保健業的權重分別達到29%、28%和20%。這顯示,隱私與資安已成為企業實踐ESG的重要指標。
但隨全球快速推動AI科技發展,須要耗費大量的電及水資源,成就AI的運算及應用,是否與ESG所要求的環境保護有衝突?
且AI科技發展亦造成許多資安問題,政府如何定出策略,驅動產業使用公司治理(G:Governance),達成ESG的相關目標,則是本文討論重點。
人工智慧治理也尋求減輕潛在的廣泛危害,因此人工智慧影響和人工智慧治理如何納入 ESG 評估的問題是有必要的。
AI與ESG:衝突與融合
人工智慧的飛速發展雖然帶來巨大的產業機遇,但其高能耗和資安風險也成為挑戰。例如,AI的運算需求依賴大量電力和水資源,這是否與ESG強調的環境保護原則相違背?此外,AI技術的應用屢屢暴露出資安漏洞,如何透過完善的公司治理來降低風險、實現ESG目標,成為當前重要課題。例如Minkkinen et al.(2024) [1]研究指出,建議將人工智慧治理模式,從架構上整合到 ESG 標準中,至少有三種可能的選擇:
融入社會責任(S)或公司治理(G)支柱:將AI倫理、透明度與隱私保護納入現有的ESG標準。
獨立成為AI治理支柱:單獨設立評估AI技術的標準,強化對AI風險的監管。
整合為技術治理的更廣支柱:以更全面的方式涵蓋AI和其他新興技術的治理需求。
[1] Minkkinen, M., Niukkanen, A., & Mäntymäki, M. (2024). What about investors? ESG analyses as tools for ethics-based AI auditing. AI & Society, 39(1), 329–343. https://doi.org/10.1007/s00146-022-01415-0
AI治理要符合ESG,就必須落實資安標準建立
2018年國際標準化組織(ISO)及國際電工委員會(IEC)在其資訊技術聯合技術委員會(ISO/IEC JTC 1)下成立了人工智慧小組委員會
(SC 42)[1],且依照Winter et al. (2021)[2]研究指出,AI發展制定標準體系(詳見下圖)主要涵蓋:(1)基礎標準;(3)信任性;(4)應用案例;(5)計算方法與AI系統計算特徵,以及(6)人工智慧治理影響等標準(詳見表6),以減緩AI發展的衝擊及資安風險,並提升AI應用的資安韌性。
[1] 經濟部標準檢驗局(2020),標準使可信賴的人工智慧目標得以實現,經濟部標準檢驗局標準資料電子報,網址:https://fsms.bsmi.gov.tw/cat/epaper/0905.html
[2] Winter, P. M., Eder, S., Weissenböck, J., Schwald, C., Doms, T., Vogt, T., Hochreiter, S., & Nessler, B. (2021). Trusted Artificial Intelligence: Towards Certification of Machine Learning Applications. https://doi.org/10.48550/arxiv.2103.16910
準(下表),涵蓋了從基本概念、規範定義及風險管理的多個領域,為AI技術的開發與應用提供了全方位的指引及規範。
ISO/IEC 22989:定義AI的基本概念與術語,提供統一的術語標準,適用於技術開發者和研究人員。
ISO/IEC 23053:針對機器學習系統,提供應用框架,適用於組織管理者和技術開發者。
ISO/IEC 42001:規範AI的管理與治理,適用於組織管理者
ISO/IEC 23894:聚焦AI風險管理,提供風險管理流程標準,適用於風險評估人員和組織管理者。
ISO/IEC 5259:聚焦資料品質方面,涵蓋了概述、測量、管理要求和框架的多個層面,為技術開發者和數據分析師提供詳細指導。
此外,ISO/IEC 27001:2013規範資訊安全管理系統,適用於組織管理者和資訊安全專家。而ISO/IEC 42006則針對AI管理系統的審計及認證需求,為審計和認證機構提供標準。
再者,CEN-CENELEC 的標準涵蓋AI風險管理和可信度描述,分別適用於風險評估人員、組織管理者以及技術開發者和研究人員。
導入資安標準與倫理是人工智慧基本法草案的雙軌
因此,從公司治理(G)架構思考,當使用AI平台串接資料流時,就必須合乎網路及隱私合規要求,導入前文所列的AI所須的資安各項標準,及估計所需耗費的成本及風險,建立成熟度指標,使整體產業供應鏈符合ESG的概念(詳見下圖)。
未來,立法院審查«人工智慧基本法草案»時,建議要求主管機關訂定相關配套措施,如納入可信賴的人工智慧倫理準則(Ethics Guidelines for Trustworthy AI),須涵蓋以人為本、技術穩健性、隱私治理、資訊安全、反歧視、透明性(含告知義務)等面向,要求AI科研人員、技術開發者及組織管理者須依人工智慧倫理準則,進行研究及開發,以降低AI應用之相關風險。
留言 0