引言
AI倒逼通信业“重构建”通信行业一方面要全面认识以AI为主的智能技术的潜在风险,深入分析技术与风险的内在联系,另一方面需要建立完整谨慎的智能技术发展决策体系,以推动企业转型,特别是要构建起完善的发展决策体系。
■文/李强(中国移动通信集团浙江有限公司内审部专项审计部经理)
2021年4月,来自于亚信科技、中国移动、中国电信、清华大学以及其他中外运营商和高校的资深专家们,以一篇《通信人工智能的下一个十年》,就移动通信与人工智能的协同发展,对沿革进行了梳理,对未来进行了展望。中国移动抓住时代机遇,全面推进数智化转型,打造基于大数据、AI等技术的一站式解决方案。其中,中国移动创新研究院落地杭州上城区,是移动公司践行数智化转型过程中坚实有力的一步。中国联通陕西省政府、天津市政府分别签订战略合作协议,致力于将5G技术与应用于数字政府、智慧城市、智慧医疗、智慧教育等多个领域。
01
风险不可避免
然而,智能技术的不确定性与高渗透率决定了其构建与应用必将带来一定的风险。对于任何一家通信企业或科技企业而言,这些风险不易避免。通信行业将全面认识以AI为主的智能技术的潜在风险,深入分析技术与风险的内在联系。
●战略风险
内外部危机。对内,数智化转型势必使内部资源向智能技术研发等新业务倾斜,导致传统业务可能面临结构及人员的调整问题。对外,AI创新企业间的竞争会导致企业盲目发展非优势产业,形成恶性竞争;技术相关部门间的竞争可能引发重复建设问题,甚至导致业务分割。
数据与技术垄断。AI算法的训练过程依赖于数据产生的正反馈循环,拥有着大量数据的企业能够训练出更优秀的数据模型,从而带来更好的体验与更多的拓展功能;另一方面,更多的客户被上述条件所吸引,从而带来更多数据与模型。因此,智能技术行业也不可避免地倾向于垄断。类似移动集团这样的通信公司,虽然拥有着大量用户数据和行为数据,但在外部数据积累、算法、算力等方面还依赖于第三方供应商,尤其对芯片、操作系统、底层算法通用架构等。存在个别供应商有能力垄断这些技术的输出权与定价权,随时实施网络监控或禁止合作,制约通信行业在人工智能领域的发展。
●技术风险
基础薄弱。智能技术创新所需要的相关技术不成熟、相应数据能力不完备、相关技术人员能力不足、现有设备计算能力不足或存在固有漏洞等,不足以匹配智能应用对外部资源的要求,会导致企业数智化转型起步迟缓且易暴露于外部攻击造成信息泄露等。
“伪”人工智能。人工代替AI工作、AI成果造假从而获取企业资金投入、把预设程序称为AI等“伪”人工智能行为,可能导致AI的“虚假繁华”;内部人员为应对企业转型任务,可能会剑走偏锋,通过成果造假、数据造假、成果窃取等手段应对上层的转型需求。
●运营风险
不准确性与不可解释性。智能技术学习的准确性是由数据质量、特征维度、算法、训练时间、参数设计等因素决定的。当使用智能技术手段输出的结果不准确或偏离预期时,对内会与管理层的决策相悖,导致内部对智能技术的输出不信任;对外会造成预测错误,影响客户选择,造成经济损失。而由于算法黑箱的特性,包括技术人员在内的人常常无法对相关算法、模型及其给出的结果进行合理的解释,甚至引发监督审查困境。
算法偏见与歧视。智能技术的优势在于算法的中立,进而满足推荐、分析、预测等场景应用的客观化。但是,在没有恶意的算法设计中,却可能存在开发人员的“偏见”或采用了带有“偏见”的数据,从而在输出端表现为性别歧视、仇外思想、确认偏误等,而这种机器偏见被隐藏在了科技的客观性之下。
●监管风险
知识产权与数据资产保护争议。智能机器人能够收集并储存大量的他人已享有著作权的信息,这可能构成非法复制他人的作品,从而构成对他人著作权的侵害。若利用他人享有著作权的知识和信息进行学习并最终创作出有相似内容的作品,存在构成剽窃的可能。《民法总则》第127条对数据的保护规则作出了规定,数据在性质上属于新型财产权,但数据保护问题并不限于财产权的归属和分配问题,还涉及此类财产权的安全,特别是涉及国家安全。
隐私泄露。数据在技术中的大规模应用也极大地增加了隐私入侵的机会,对个人隐私实现了直接监控,同时,其迷惑性的侵害隐私的行为能够以类人的方式收集客户信息。在国外,《健康保险可移植性和责任法案》(HIPAA)要求公司在披露个人健康信息之前必须获得授权,欧盟的《通用隐私数据保护条例》(GDPR)等国际框架帮助消费者更好地控制个人数据的收集和使用。但我国仍未完善隐私保护的法律体系,未对隐私保护的技术路径、市场机制和伦理原则引起足够的重视。由智能技术导致的监管风险,将会大大降低智能技术的可信度,提高合规成本。
●声誉风险
企业不良形象。由AI应用导致的错误决策、违规行为、数据泄露等企业丑闻,即便企业花费大量的时间和精力用于事后的危机管理,也难于弥补对自身声誉造成的实质性损害。公众将对企业形成内部管理混乱、管理层能力不足、企业缺乏社会责任等不良印象。
内部信任危机。随着智能技术系统的日趋复杂,企业或将难以对其进行密切监控,而复杂的算法也不能对决策作出合理的解释,企业无法完完全全将决策的权力交予机器,这就容易导致企业内部的信任危机。业务部门或许无法完全基于技术部门给出的智能运算结果开展业务,技术部门或许也无法完全信任业务部门提交的数据和指标。
02
应对智能技术风险
通信企业将着力于制定出更加科学的监管制度和体系,深入挖掘数智化转型的相关风险,通过以风险为导向的内部控制方式对其实现预测、监督与管控,不断完善规章制度体系建设,合理确定各种风险的应对策略。构建以智能技术发展决策为风险预防堡垒、以技术风险研究为导向、以内部审计为监测手段、以多部门及相关企业联合治理的“可信赖”智能技术风险防控机制。
●构建完善的发展决策体系
建立完整谨慎的智能技术发展决策体系,以推动企业转型。发展决策体系是将企业的决策组织、决策流程、决策规范进行有机整合,防止权力的交叉或真空,以确保企业经营管理有序进行。具体包括:
设计并建立健全的决策组织。企业决策是一个从简单到复杂的图谱,所涉及的各领域问题也宽泛复杂,为了增加决策的有效性,必须明确规定权利主体。对于通信企业而言,推动智能技术创新的决策组织人员不宜过多,以轻量级、决策快为特点构建集权式、扁平化团队。团队成员应分别来自各核心的业务、技术、职能部门,熟悉公司业务且了解战略发展,并建议由一位技术发展决策专员统一领导。其次,决策者的行为由利益驱动、由责任约束、由权力保障,因此需要根据组织团队的特点,对决策进行全面梳理、模块分类,建立与权力结构相适应的利益结构,实现团队成员的职责划分,做到权责统一。
制定清晰的决策流程。基于反映自身通过技术创新活动所要达到的经济预期的目的,技术部门需要依据市场需求,在技术研发上制定需要达到的阶段性目标,并且明确技术创新主体的主观意志与服务对象,尤其当服务对象为大众市场时。同时,根据团队责任的划分,共同议定项目评估流程,确定决策权重。并且依托权利保证、组织保证、信息系统保证等,作好方案评估、方案论证和决策宣传,提供及时、准确、适用的信息支撑。
建立完善的决策规范。管理层需从操作、约束、权限等角度建立相应的规范。在数据方面,考虑数据集成、管控与共享等流程,并适当执行数据治理流程,完善数据管理;在模型方面,考虑输入数据结构、模型操作与权限约束;在客户方面,考虑多渠道收集信息、全方面刻画客户画像、注重个性化服务。始终满足(1)监管要求;(2)制度层面能够防范AI风险;(3)实际执行能够满足规范要求。
●建立技术风险研究组织
在大力推动智能技术发展的同时,也不能忽略对其风险自身的研究,并适时开展内部审计工作,因此需要建立相应的研究与监控组织,具体包括:
技术研究与风险研究并行。盲目地推动颠覆性技术发展会弱化对风险研究的重视,技术的大幅进步更容易隐藏业务安全隐患。因此,建议企业设立相应的智能技术风险研究岗位,深度探究智能技术发展为企业内部、技术本身、对外合作等方面带来的影响与风险应对措施。该组织的人员需具备一定的技术能力、了解技术风险点和业务流程,并熟悉风险管理理念,从技术的角度将风险扼杀于萌芽阶段。
构建专业审计团队。针对智能技术的审计工作将检查相关部门是否按计划执行技术实施工作、能否达到有效的创新效益、是否存在信息泄露或违规操作等。相关审计人员将具备一定的软硬件基础知识和智能技术常识,审计团队中应适当加入信息安全专家、IT系统专家、算法专家等成员。由于智能技术更新周期短、涉及范围广,企业应引入培训机制定期对审计团队进行相关技术的培训。
风险研究与内部审计柔性结合。风险研究组织将与内部审计团队紧密联系,适当时可组建风险防控的柔性组织,形成信息互通、能力互补、技术共享,工作内容包括预警模型设计、风险信息管理、持续监测并定期拟定相关风险分析报告。例如,内部审计团队能够搭建特定的审计框架与数据需求,IT技术团队负责承接技术需求并帮助内审团队获取、整合和分析数据,从而共同发现审计问题与风险。
03
建立针对智能技术的审计方式
风险管控部门需要持续监测智能技术相关系统的建设与应用,确保系统性能的可靠性、完整性与前瞻性。具体包括:
持续风控/审计模型的构建与应用。通信企业在过去的审计与风控工作中,积累了大量审计/风控规则,能应用于搭建具备可持续挖掘审计问题/风险的规则模型;同时,企业积累了大量的业务数据、客户信息、行为数据,有能力设计并提取有效的风险特征,用于搭建机器学习模型进行训练,使用逻辑回归、GBDT、神经网络等技术在训练数据上搭建风控模型,通过AUC等指标判断模型的准确率,不断完善模型框架并最终进行信息化落地。
提高算法的透明度。鼓励技术人员将算法的可解释性作为在模型投入生产之前获得合规批准的必要步骤。在技术部门的协助下,制定算法透明度度量标准,根据任务重要程度适当调整算法的透明度。
建立针对智能技术的审计方式。定期针对技术领域开展1〜2个专项审计,例如:客户敏感信息审计、系统日志审计、重要系统账号口令审计等。同时,依托企业内部的审计经验及相关技术资源积累,利用互联网Web应用访问日志、网络流量日志、设备监控日志、安全威胁态势等信息,开展AI建设与应用审计工作,及时发现潜在安全威胁及已经面临的风险。
04
敏捷且动态地治理
风险管控相关部门通过运用敏捷且动态的智能技术风险治理方式,联合其他组织部门,形成多方联动机制。具体包括:
持续跟进多领域的智能技术风险问题。设专人及时追踪社会、监管、企业声誉、伦理等领域新出现的智能技术相关问题,并及时反馈至管理层,从而及时对企业内部系统完整性、数据采购及管理、模型训练及使用进行企业内部自查,并及时做出调整。
建立多部门联动机制。在企业数字化转型之初,管理层需强化部门协调联动,通过建立部门间信息沟通、规划统筹、协调服务、跟踪问效等多项制度,完善牵头部门负责、相关部门配合、集团公司监督的部门协调联动机制,帮助智能技术服务在企业内外部高效落地。对涉及部门灌输和培养风险优化的意识,从产品设计之初就将信任的概念嵌入到服务和产品中,使得利益相关方能够在技术服务中建立信任,追求长期的价值。
数字化浪潮带来了新的机遇,也带来了新的风险和困难。对于通信企业而言,需要拥抱机遇,积极应对智能技术风险,提前部署体制,规范落实机制,谨防风险管理与企业战略产生割裂,避免风险预警与管控缺乏时效性,大力推动企业数字化转型进程,在时代的风雪中抱薪前行。
