• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CISO精選

AI 國際法遵需求迫在眉睫 人工智慧風險管理成顯學

2024-03-15
分類 : CISO精選
0
A A
0
1200 Ethical Issues Ai Collage

Image by Freepik

人工智慧風險管理的國際發展與應用

AI 發展日新月異,憂心類似電影情節威脅到人類,歐盟與美國陸續公布在 AI 風險管理的內容,值得相關發展此應用的廠商及企業借鏡。

文/梁日誠


200 梁日誠
◤ 作者梁日誠現為 CMMC PI/CCP/CCA Candidate/SME,ISO/IEC JTC1/SC27、SC42、ISO/TC22/SC32、IEC/TC65 技術組委員,ISO 27001/ISO 27701/ ISO 22301/ ISO20000-1/IEC 62443-2-1 主導稽核師及講師,TCIC 環奧國際驗證公司全球營運總經理。

隨著歐盟人工智慧法案(EU AI Act)於歐洲議會獲得委員會層級的通過後,美國則在拜登總統令(EO 14110)的引領下,近日於商務部下成立了 U.S. AI Safety Institute Consortium(AISIC),匯整資源以建立安全與可信任的 AI,在可預見的將來,AI 科技的創新與衝擊將取得新的平衡,以使得消費者在享受 AI 先進產品與服務的同時,基本人權得以維護。

其中,在歐美 AI 相關法規的推動內容中,可以發現 AI 的風險與機會是衡量輕重(例如,不同高低風險等級的適法性)的共同點,而 AI 風險管理則顯現於相關法規內容中,也將成為合規的具體要求。

[ 推薦文章:透過 AI 尋找潛在合作夥伴 ]

內容目錄 隱藏
人工智慧風險管理的國際發展與應用
歐盟 AI 相關法規推動狀況
美國 AI 相關法規推動狀況
AI 風險管理(AIRM)漸受重視
AI 原則(Principles)
AIRM 功能(Functions)
AI 系統生命週期(Lifecycle)
AI 控制措施(Controls)
AI 關注方(Interested Parties)
AIRM 在衝擊評鑑上的要求

歐盟 AI 相關法規推動狀況

從歐盟的 AI 法規化推動進程方面來看,EU AI Act 於 Article 9 Risk Management System 與 Article 17 Quality Management System Para.1.(g) 對風險管理系統提出要求,歐盟執委會進一步以 2023-05-22 的執行決定要求 CEN 與 CENELEC 偕同 ISO(依據維也納協議)、IEC(依據法蘭克福協議)及 ETSI 制定 AI 相關歐盟標準(共 10 項)以支持歐盟的 AI 政策。

在 CEN/CENELEC/JTC 21 的工作計畫所顯示的最新進度中,相關於 Article 9 的 EN ISO/IEC 23894:2024 Information Technology – Artificial Intelligence – Guidance on Risk Management 已經核准,為等同採用 ISO&IEC 標準;至於相關於 Article 17 的 prEN ISO/IEC 42001 Information Technology – Artificial Intelligence – Management System 則處於發展階段,此亦為等同採用 ISO&IEC 標準,各涉及 EU AI Act 的組織可以做為合規機制的參考。

[ 推薦文章:企業面臨的 4 大項 LLM 威脅 ]

美國 AI 相關法規推動狀況

至於美國的 AI 法規化推動進程方面,在於 EO 14110 總統令中,要求依據 AI Risk Management Framework(NIST AI 100-1 AI RMF)進一步發展相關的資源及實作,並研議以 Secure Software Development Framework(NIST SP800-218 SSDF)來支持 Generative AI 與 Dual Use Foundation Models 的安全發展。

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]

此外,NIST 初擬 NIST AI RMF 的可信任特性與 OECD Recommendation on AI、EU AI Act 間,及 AI RMF 與 ISO 23894 間的多個交互對應文件,供各界參考應用,若涉及美國市場的 AI 相關組織或可酌參,以規劃對應的合規機制。再者,相關於 OECD Recommendation on AI 的 OECD AI 風險管理互通性框架(AI RMIF)可見於 OECD Governing And Managing Risks Throughout The Lifecycle For Trustworthy AI 的文件。

值得注意的是,美國聯邦貿易委員會(FTC)於 2023 年 11 月間,授權了 AI 相關產品與服務的強制程序條款,並於 2024 年 1 月公開提醒 AI 公司遵從其隱私與機密性承諾。

AI 風險管理(AIRM)漸受重視

目前來看,幾個主要經濟體的 AI 發展與法遵要求正同時並進,AI 風險管理(AIRM)也於其中扮演基礎的支撐角色,如何選擇適合的 AIRM 機制來支持 AI 業務並達到 AI 法規遵循,便是各組織的重要課題。目前 AI 領域經常被討論或採用的 AIRM 機制包含如 NIST AI RMF、OECD AI RMIF、ISO 23894 等,因應 AI 領域的風險管理特性,此些 AIRM(以下簡稱 AIRMs)機制也於以下幾個例舉的 AI 議題(如:AI 原則、AIRM 功能、AI 系統生命週期、AI 控制措施、AI 關注方)中異曲同工的展現支撐 AI 特性的共通性。分述如下:

AI 原則(Principles)

Trustworthy AI 是國際間所關注的 AI 須具備的特性,影響無法達到 Trustworthiness 的 AI 風險,便成為風險管理的焦點。AIRMs 將 Trustworthiness 相關的 AI 原則詮釋於其各自機制中,作為風險管理的目標或來源,如【表一】。

◤ <表一> AI 原則(Principles)。
◤ 表一 AI 原則(Principles)。

AIRM 功能(Functions)

AIRMs 的功能(Functions)或稱步驟(Steps)或過程(Processes)具有迭代(Iterative)的特性,持續地動態運轉與優化於組織中,並與組織內的其他的現有風險管理機制共存,綜整如【表二】。

◤ 表二 AIRMs功能
◤ 表二 AIRMs功能

AI 系統生命週期(Lifecycle)

AI 的各式產品、服務、機制與應用建立於 AI 系統之上,AI 系統具備生命週期的迭代特性並與資料生命週期(Data Lifecycle,參考 ISO 8183)與資料品質管理生命週期(Data Quality Management Lifecycle,參考 ISO 5259-3-發展中)交相並存,AI 各項議題須完整地涵蓋 AI 系統生命週期,AIRMs 的 AI 系統生命週期展現於【表三】。

◤ 表三 AI系統生命週期。
◤ 表三 AI系統生命週期。

AI 控制措施(Controls)

選擇控制措施處理風險,是風險處理的選項之一,並須衡量風險與機會間的得失,控制措施的選擇與施作須完整地涵蓋 AI 系統生命週期與 AI 原則/Trustworthiness,方能有效的管理 AI 風險,AIRMs 相關的可考量 AI 控制措施說明於【表四】。

◤表四 AI 控制措施。
◤表四 AI 控制措施。

AI 關注方(Interested Parties)

關注方與其對應的風險,須於 AI 系統生命週期中識別,包含如 Human-in/on-the-loop、Multi-Stakeholder Feedback 與供應鏈的情境,以兼顧關注方的外部威脅與內部威脅,AIRMs 的 AI 關注方列舉如下:

▓ NIST AI RMF:NIST AI RMF Appendix A 的各 AI Actor

▓ OECD AI RMIF:OECD Advancing Accountability in AI Chapter 2.3 Actors

▓ ISO 23894(爰引ISO 22989):ISO 22989 Clause 5.19 AI Stakeholder Roles

以上例舉的各 AI 議題間的關聯性(AI 系統生命週期以 ISO 22989 為例),如【圖一】所示,若增/併考量其他的 AI 議題時,也須充分考量各 AI 議題間的完整關聯性。

◤圖一 AI 議題間的關聯性
◤圖一 AI 議題間的關聯性

AIRM 在衝擊評鑑上的要求

進行 AI 風險管理時,經常會同時考量如 AI 系統衝擊評鑑(AI System Impact Assessment,參考 ISO 42005-發展中,為 ISO 42001 要求事項)、人權衝擊評鑑(Human Rights Impact Assessment)、道德衝擊評鑑(Ethics Impact Assessment)、演算衝擊評鑑(Algorithmic Impact Assessment)等的進行,以符合不同地區對 AI 治理的合規要求,此些評鑑也均具有迭代的特性,需要持續地動態管理與優化。

對於 AI 風險管理的威脅與脆弱點識別時(包含 Trustworthiness 的各特性),業界已經持續累積 AI 領域經驗可供參考,如:OWASP LLM Top 10(v1.1)、OWASP ML Top 10(v0.3)、OWASP Top 10 API Security Risks – 2023(若 AI 產品與服務涉及API)、MITRE ATLAS Machine Learning Threat Matrix 與由國際間多國合作產出的 Guidelines For Secure AI System Development 等,可供選擇控制措施時之借鏡。

[ CIO 必讀:生成式 AI 應用在軟體開發領域 ]

在面對不同的市場或經濟體時,或有不同 AIRM 機制的選擇考量,以利合規的達成,惟考量 AIRMs 的共通性與互通性時,ISO&IEC 領域(AI 由 JTC1/SC42 主責)的 AIRM ISO 23894 搭配 AIMS ISO 42001,不失為一進可攻退可守的選擇,再輔以已公告與開發中的 AI 相關國際標準,包含 ISO&IEC 與歐盟 CEN/CENELEC/JTC 21 合作的國際/歐盟等同標準,資源及永續性最為豐沛。

另一方面,AIRM 與 AIMS 等國際標準可提供各國政府在制定 AI 政策與法規時的工具,建立國際間各國的互信互認(例如,國際認證與驗證機制、符合性評鑑機制)與 AI 共通語言,更有助於企業的國際化 AI 發展。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

標籤: AIRM人工智慧\衝擊評鑑資安風險管理
上一篇文章

【專訪】遠傳電信資訊暨數位轉型科技群執行副總經理胡德民

下一篇文章

HPE攜手凌羣電腦 以HPE GreenLake助企業實踐數位轉型

相關文章

未治理 AI 將付出代價
CISO精選

未治理 AI 將付出代價

2026-07-11
主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題
CISO精選

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

2026-07-07
AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊
CISO精選

AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊

2026-07-04
下一篇文章
Syscom X Hpe Gl Digital Program 廣編稿照片

HPE攜手凌羣電腦 以HPE GreenLake助企業實踐數位轉型

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • GitHub Copilot 按 Token 計費  AI 成本治理時代來臨
  • AI 任意門聚焦商業與顧客經營應用 八大 AI 解方助企業打造智慧營運新模式
  • 企業如何守住加密貨幣這把「隱形金庫鑰匙」?
  • 從帳戶到錢包:企業加密貨幣治理的新內控挑戰
  • 人工智慧時代沒人管的代價是上億台幣!

📈 CIO點閱文章週排行

  • 【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

    【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

    0 分享
    分享 0 Tweet 0
  • 前沿 AI 壓縮漏洞利用時窗 金管會提金融業七大資安韌性策略

    0 分享
    分享 0 Tweet 0
  • 未治理 AI 將付出代價

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0
  • 歐美 AI 法規陸續底定,導入 ISO 42001 將事半功倍

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 尋求創新與隱私的平衡點 盤點歐美 AI 法規現況

    0 分享
    分享 0 Tweet 0
  • AI 國際法遵需求迫在眉睫 人工智慧風險管理成顯學

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

文/鄭宜芬 「虛擬資產服務法」草案 6 月 30 日三讀通過,正式建立臺灣虛擬資

從帳戶到錢包:企業加密貨幣治理的新內控挑戰

文/蔡孟凌 近期證交所與櫃買中心發布「持有加密貨幣內部控制制度指引」及「穩定幣交

說服比命令更有力量——AI 導入的真正關鍵

文/張瑞雄(資訊系教授、前台北商業大學校長) 今年(2026)五月初,美國軟體服

從五層 AI 供應鏈到三層現實治理:CIO 如何讓 AI 真正創造價值

蛋糕已在烤,但誰來確認端上桌的那塊值得吃? 文/林華庭(聯新國際醫療集團總執辦策

未治理 AI 將付出代價

企業 AI 治理現況、缺口與行動路徑 台灣《人工智慧基本法》上路,但全球沒有進行

軟體元件創造絕佳用戶體驗

文/葉宏謨 1960 年代至 1990 年代之前,企業資訊系統都是量身打造的,稱

【專訪】達運光電營運長戴家欣:推動策略三箭,勾勒未來願景

從通訊模組、熱影像技術,到反無人機系統與增材製造,產業競爭已不再只是單一硬體設備

Owennini1200

魏董事長說三星做夢 韓國人還關心台灣什麼事?

文/林宏文 近來韓國朋友對台灣電子業相當關注,除了 Computex 熱鬧開展,

GitHub Copilot 按 Token 計費  AI 成本治理時代來臨

當 AI 成本變成不可預測,品牌忠誠度也將被 ROI 所取代。GitHub Co

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音