ผู้นำทางความคิด

การทำให้ตัวแทน AI น่าเชื่อถือโดยการออกแบบ ไม่ใช่โดยบังเอิญ

mm
เผยแพร่
อัปเดต
A photorealistic widescreen image of a compliance team overseeing an AI

ตัวแทน AI ที่มีพลังในการกระทำไม่ได้มาถึงพร้อมกับเสียงแตร แต่กำลังเข้ามาอยู่ในกระบวนการทำงานประจำวันขององค์กร ระบบที่เคยอยู่ในสถานะไม่ทำงานและรอคำสั่งจากมนุษย์ ตอนนี้กำลังเริ่มดำเนินการด้วยตนเอง การพัฒนานี้กำลังเกิดขึ้นภายในองค์กร แต่การอภิปรายเกี่ยวกับการกำกับดูแล AI ยังคงหยุดอยู่ในยุคที่แล้ว กฎหมายและโครงสร้างองค์กรของเราไม่เคยถูกสร้างขึ้นโดยคำนึงถึงตัวแทน AI ที่ไม่ใช่มนุษย์ สำหรับบริษัทที่ต้องปฏิบัติตาม GDPR นี่ไม่ใช่เรื่องที่เป็น理论 แต่เป็นเรื่องที่เกิดขึ้นจริงและเป็นเรื่องที่ต้องจัดการอย่างจริงจัง — และมันกำลังพัฒนาเร็วกว่าที่ทีมงานด้านการปฏิบัติตามกฎระเบียบสามารถจัดการได้อย่างสบายใจ

เมื่อเครื่องมือ AI เริ่มพูดคุยกลับ

เมื่อพูดถึงการกำกับดูแล การมุ่งเน้นมักจะอยู่ที่การปฏิบัติตามกฎระเบียบ การจัดการความเสี่ยง และการป้องกันการเกิดอันตราย แม้ว่าสิ่งเหล่านี้จะมีความสำคัญ แต่它们ถูกสร้างขึ้นสำหรับโลกที่ AI เป็นเพียงเครื่องมือที่ไม่มีการเปลี่ยนแปลง: ถูกฝึกฝน ทดสอบ เผยแพร่ และติดตามผลในรอบการทำงานที่คาดการณ์ได้

สามวิธีที่ตัวแทน AI ที่มีพลังในการกระทำทำลายสมมติฐาน GDPR ของวันนี้

เมื่อ GDPR ถูกออกแบบมา ไม่ได้ถูกเขียนสำหรับตัวแทน AI ที่มีพลังในการกระทำ อย่างไรก็ตาม 三หลักการสำคัญของ GDPR — การจำกัดวัตถุประสงค์ การลดข้อมูลให้เหลือน้อยที่สุด ความโปร่งใส และความรับผิดชอบ — มีความสำคัญ ตัวแทน AI ที่มีพลังในการกระทำส่งผลกระทบต่อทั้งสามด้านนี้ และมีสามพื้นที่ที่ต้องได้รับการแก้ไข

ความเสี่ยงแรกคือว่าตัวแทน AI “คิดผ่าน” งานให้เสร็จสิ้น ไม่ใช่การทำงานตามกระบวนการเดียว แต่จะแบ่งงานออกเป็นหลายขั้นตอน ซึ่งมีการเรียกใช้เครื่องมือภายนอก การดึงข้อมูลจากฐานข้อมูล การทำการเดา และจัดการข้อมูลส่วนบุคคลในระหว่างการทำงาน ซึ่งส่วนใหญ่เกิดขึ้นนอกสายตา การกำหนดข้อมูลที่ใช้ในการทำงาน ขั้นตอน และเหตุผลที่ใช้ในการทำงานนั้นเป็นเรื่องที่ยากที่จะทำได้ในการปฏิบัติ — แต่นั่นคือสิ่งที่ GDPR ต้องการในด้านความโปร่งใสและความรับผิดชอบ

ความเสี่ยง第二คือว่าตัวแทน AI ใช้หน่วยความจำ หน่วยความจำสามารถเก็บข้อมูลส่วนบุคคลในระหว่างการทำงานและระหว่างเซสชั่น หากไม่มีการแบ่งแยกข้อมูลอย่างชัดเจน ข้อมูลจากการติดต่อของบุคคลหนึ่งอาจรั่วไหลไปยังอีกบุคคลหนึ่ง หากไม่มีการกำหนดระยะเวลาการเก็บข้อมูลที่ชัดเจน ข้อมูลส่วนบุคคลอาจยังคงอยู่หลังจากที่ควรจะถูกลบแล้ว ใน GDPR สิทธิในการลบข้อมูลส่วนบุคคลเป็นเรื่องที่ยากที่จะจัดการเมื่อข้อมูลอยู่ภายในหน่วยความจำของตัวแทน AI มากกว่าที่จะอยู่ในฐานข้อมูลที่ทีมงานด้านความเป็นส่วนตัวสามารถค้นหาและสอบถามได้อย่างง่ายดาย

ความเสี่ยง第三คือการฉีดข้อมูล — ซึ่งหมายถึงการหลอกลวงตัวแทน AI เมื่อตัวแทน AI อ่านเอกสาร เบราว์เซอร์เว็บ หรือประมวลผลข้อความที่มาจากภายนอก เนื้อหาที่เป็นอันตรายในแหล่งเหล่านั้นสามารถเข้าควบคุมพฤติกรรมของตัวแทน AI และกระตุ้นให้ทำการกระทำที่ไม่ได้รับอนุญาต หรือรั่วไหลข้อมูลส่วนบุคคล นี่เป็นรูปแบบการโจมตีที่ทราบแล้วซึ่งเฉพาะเจาะจงสำหรับตัวแทน AI ที่มีพลังในการกระทำ ซึ่งหมายความว่าคุณสามารถประสบการละเมิดข้อมูลได้ไม่ใช่เพราะระบบหลักถูกแฮก แต่เพราะตัวแทน AI ของคุณพบเนื้อหาที่เป็นอันตรายขณะทำงาน — และภายใต้ GDPR คุณยังคงรับผิดชอบ

การสร้างความไว้วางใจที่แท้จริง ไม่ใช่เพียงแค่การสร้างอินเทอร์เฟซที่เป็นมิตร

สิ่งสำคัญคือต้องเข้าใจว่ามีความแตกต่างระหว่างความไว้วางใจที่ถูกสร้างขึ้นและความไว้วางใจที่ได้รับ ความไว้วางใจที่ถูกสร้างขึ้นสามารถช่วยให้ผู้ใช้เชื่อถือในจุดสำคัญได้ โดยทั่วไปผ่านการสะท้อนอารมณ์ สัญญาณที่เหมือนมนุษย์ หรือการออกแบบที่มีจุดมุ่งหมาย

ความหมายของ Trust Stack คืออะไร?

ยุทธวิธีหนึ่งสำหรับองค์กรคือการใช้ Trust Stack ที่มีหลายชั้น ซึ่งหมายความว่าทุกชั้นจะต้องชัดเจนเกี่ยวกับความรับผิดชอบระหว่างมนุษย์และเครื่องจักร

  • เส้นทางการให้เหตุผลที่ชัดเจน: ตัวแทน AI ควรสามารถอธิบายได้ว่าทำไมจึงได้ผลลัพธ์นั้น — ไม่ใช่รายละเอียดทางเทคนิคที่ลึกซึ้ง แต่ในทางที่คุณสามารถติดตามและตรวจสอบได้ สิ่งนี้สอดคล้องกับกฎการโปร่งใสของ GDPR และสิทธิในการอธิบายการตัดสินใจอัตโนมัติภายใต้บทความ 22
  • ขอบเขตที่ชัดเจนของอำนาจ: ต้องมีขอบเขตที่ชัดเจนเกี่ยวกับสิ่งที่ตัวแทน AI ได้รับอนุญาตให้ทำ ตัดสิน หรือแนะนำ ไม่มีการขยายอำนาจอย่างเงียบๆ ในช่วงเวลา สำหรับวัตถุประสงค์ GDPR หมายความว่ามนุษย์ยังคงตัดสินใจ ตัวแทน AI เป็นเพียงเครื่องมือ ไม่ใช่ผู้ควบคุม
  • เป้าหมายที่เปิดเผย: เป้าหมายของตัวแทน AI ต้องถูกประกาศอย่างชัดเจน บุคคลควรทราบว่าตัวแทน AI กำลังปรับให้เหมาะสมสำหรับความถูกต้อง ความปลอดภัย ความเร็ว หรือผลประโยชน์ทางการค้า — และเป้าหมายนั้นต้องถูกเขียนและเข้าใจ
  • การท้าทายและปุ่มหยุดง่าย: บุคคลควรสามารถท้าทาย แก้ไข หรือหยุดการตัดสินใจของตัวแทน AI ได้โดยไม่มีการขัดขวาง วิธีการง่ายๆ ในการเลือกไม่ใช้งานเป็นสิ่งจำเป็นสำหรับความไว้วางใจ — และภายใต้บทความ 22 ก็เป็นข้อกำหนดทางกฎหมายด้วย
  • การกำกับดูแลที่ถูกสร้างขึ้น: การบันทึก การตรวจสอบ การควบคุมหน่วยความจำ และการกำกับดูแลต้องถูกสร้างขึ้นในระบบตั้งแต่วันแรก ไม่ใช่เพิ่มเข้ามาในภายหลัง การออกแบบด้วยความเป็นส่วนตัวไม่ใช่สิ่งที่ไม่จำเป็น แต่เป็นโครงสร้างพื้นฐานที่ทำให้ทุกสิ่งทำงาน

การใช้ Trust Stack ทำให้ความเป็นอิสระมีความปลอดภัยในการขยายขนาด

เมื่อการกำกับดูแลพบกับประสบการณ์จริง

การกำกับดูแลไม่ใช่แค่เรื่องของกฎและกระบวนการ แต่ยังเป็นเรื่องของวิธีการที่ระบบทำงานกับบุคคลที่ใช้งาน บุคคลต้องรู้สึกว่ายังคงมีการควบคุม พวกเขาต้องเห็นเมื่อ AI กำลังทำงาน ทำไมจึงทำเช่นนั้น และรู้วิธีการหยุดเมื่อควรหยุด

ระบบที่ผ่านการตรวจสอบการปฏิบัติตามกฎระเบียบ แต่รู้สึกเหมือนกล่องดำจะสูญเสียความไว้วางใจอย่างรวดเร็ว สิ่งนี้ต้องการการออกแบบที่มีจุดมุ่งหมายอย่างชัดเจน: ไม่มีสัญญาณที่เหมือนมนุษย์ที่บ่งบอกถึงความเห็นอกเห็นใจหรือการตัดสินตามหลักศีลธรรมที่ระบบไม่มี สัญญาณที่ชัดเจนเมื่อ AI ไม่แน่นอนหรือมีข้อจำกัด และไม่มีการปรับประสบการณ์เพื่อสร้างความพึ่งพาทางอารมณ์

ผู้นำควรพัฒนาตัวเองให้ไปไกลกว่าการถามว่า “AI ของเรามีความรับผิดชอบหรือไม่” ชุดคำถามที่ดีกว่าคือ: “พฤติกรรมใดที่ระบบนี้จะทำให้ปกติ? สิ่งใดที่จะผลักดันให้ผู้คนห่างเหิน? วิธีการใดที่จะเปลี่ยนแปลงการตัดสินใจในระยะยาว — และเราพร้อมที่จะตอบสนองต่อเรื่องนั้นหรือไม่?”

mm

อิวานา บาร์โตเลตตี เป็น Global Chief Privacy and AI Governance Officer ที่ Wipro ซึ่งเป็นบริษัทเทคโนโลยีและที่ปรึกษาที่มีพลังงานจาก AI ชั้นนำ ในฐานะผู้นำความคิดที่ได้รับการยอมรับในระดับนานาชาติในด้านความเป็นส่วนตัว การกำกับดูแล AI และเทคโนโลยีที่รับผิดชอบ อิวานา ทำหน้าที่เป็นผู้เชี่ยวชาญสำหรับสภายุโรป โดยที่เธอเป็นผู้เขียนร่วมในหนึ่งการศึกษาที่สำคัญซึ่งตรวจสอบผลกระทบของปัญญาประดิษฐ์ต่อความเท่าเทียมทางเพศ