执行工作场所生成式 AI 审计的 11 个步骤
快速阅读: 据《国家法律评论》最新报道,组织需定期审计AI工具,确保合规与公平。组建跨部门团队,评估法律风险、偏见及数据安全,并持续监测。
随着组织从初步尝试转向将生成式人工智能(AI)工具用于日常运营,特别是在人力资源领域,对全面AI审计的需求日益凸显。正如公司会定期评估薪酬公平性、工时合规性和数据安全一样,合规团队可能希望像关注这些方面一样,同样重视在全公司范围内推广负责任且合规的AI使用。一个计划周密的AI审计可以帮助在风险扩大之前识别潜在的法律、运营和声誉风险,并可为制定相关的AI政策以及开发适当的内部AI培训提供参考。
关键要点:
随着组织越来越多地将生成式AI工具整合到日常运营中,尤其是在人力资源领域,AI审计对于缓解法律、运营和声誉风险变得越来越重要。组建跨职能的审计团队并绘制正在使用的AI工具列表是进行全面AI审计的关键初步步骤,以确保AI使用的责任与合规性。定期进行AI审计,包括偏差评估和供应商合同审查,有助于组织遵守不断变化的法规,并在其AI项目中保持透明度和数据安全。组织可能希望至少每年或每季度进行一次全面的AI审计,当有新的AI工具部署、法规变更或发现合规问题时,应进行有针对性的审查。
一般来说,组织在AI审计方面应遵循一些共同的步骤:
1. 确定跨职能的审计团队
首先,由合规、人力资源、信息技术、法律以及其他对AI使用有重大利益关系的部门代表组成的跨职能审计团队的组建,可以让多样化的意见参与审计,并减少不同部门之间出现盲点或冲突指令的可能性。通常,内部法律顾问、合规负责人或人力资源高管会牵头审计工作,但最合适的领导者可能因公司的规模、行业和现有的AI举措而异。根据具体情况,若涉及保密性要求,可能需要聘请外部法律顾问主导审计工作。公司可能希望在保密协议下与外部法律顾问共同开展审计。
2. 进行AI使用映射
一旦审计团队组建完成,雇主可能希望绘制出整个组织中正在使用的AI工具和供应商。此类清单的编制应紧密模仿与组织数据隐私计划相关联的数据映射过程,不仅包括聊天机器人式的工具或自动化决策软件,还包括在人力资源领域中依赖机器学习的数据分析平台或软件。可能涵盖的AI工具示例包括自动职位筛选平台和候选人匹配系统,以及用于员工参与调查、绩效评估和人才发展的工具。组织可以与他们的AI治理负责人合作,建立一种可靠的程序,每当引入新AI工具时更新此清单,以确保AI地图保持最新且具有响应性。
3. 确定与审计相关的法律法规
美国尚未出台统一的国家级AI法律,组织可能希望了解迅速演变的联邦、州、地方和国际法规的复杂情况。一些美国州已经制定了与AI相关的法律框架,这些框架中包含了一些源自欧盟《人工智能法案》的内容,如对高风险AI系统的关注以及算法歧视的缓解。例如,纽约市的地方性法规144要求对自动化就业决策工具进行偏差审计,而伊利诺伊州众议院法案3773则规定了在招聘中使用AI的具体披露要求。其他州如德克萨斯州正在起草独特的州级AI法律,专注于管理AI工具有限的用途,同时采取措施鼓励AI技术的负责任发展。此外,康涅狄格州等州也在修订其消费者隐私法以规范AI。
尽管当前法律环境复杂且不断变化,但监控这些不同的法律发展,使企业了解相关监管框架,并据此调整其AI流程,是一个重要的合规步骤。在深入进行详细合规分析之前,企业可以根据其对就业决策的影响、数据敏感性和监管暴露程度对AI工具进行风险等级分类。高风险工具——如用于招聘、绩效评估或纪律处分的工具——通常需要立即且彻底的审查。中等风险工具如员工参与平台可能需要标准评估,而低风险工具如基本的日程安排助手可能只需较轻的审查。然而,风险等级并不一定是特定主题的;网络安全风险的程度可能取决于处理的信息类型(即敏感性水平),而不是用途。例如,处理高度敏感个人资料或机密商业数据的日程安排工具可能比仅处理汇总匿名数据的员工参与平台需要更高优先级的审查。这种优先级划分有助于有效分配审计资源,并确保关键合规领域得到适当关注。
4. 评估潜在偏见
即使AI工具以善意使用,偏见也可能源于历史数据的不平衡、有缺陷的训练方法或其他潜在的设计问题。在完成AI使用清单后,组织需要确定适用于其使用AI技术的法律和监管要求,并评估其合规性。组织可能希望由专业人员或专家团队对每个AI工具进行详细的偏见评估。检测和减轻偏见的方法包括技术评估和与关键利益相关者的访谈,通常包括评估基础训练数据集的代表性、该工具在不同群体中的表现差异,以及是否存在对特定群体的无意不利影响。在可能的情况下,组织可能希望使用先进的去偏技术、彻底的模型再训练和充分的人工监督来纠正已观察到或潜在的偏见。
5. 保持透明度和适当的文档记录
使用内部开发的生成式AI工具的组织应重视关于AI工具如何开发、训练和实施的透明度需求。从合规和政策的角度来看,这一点至关重要。实际上,这意味着记录用于训练工具的数据来源,并记录AI模型的参数,同时记录为解决偏见或提高准确性而采取的任何干预措施。同样,如果一个组织依赖于来自第三方供应商的AI技术,其供应商尽职调查流程很可能包括从供应商处获取此类文件,组织如同保留专有AI工具的文档一样保存这些文件。这种内部文档为相关利益相关者提供了清晰的信息,支持审计活动,并且在外部监管机构询问组织的AI使用情况时,可以作为有价值的资源(通常是法定要求的)。
6. 审查供应商合同
采用第三方AI解决方案的组织可能希望仔细审查供应商合同。需要注意的关键因素包括涉及关键问题的条款,如对偏见索赔的责任、因违反监管规定而产生的赔偿责任,以及遵守隐私和数据安全标准。在此合同审查过程中,让内部法律顾问或外部法律专家参与通常能有效保障公司的利益。
7. 更新内部AI使用和治理政策
组织可能希望制定或完善适用于整个组织的内部AI使用政策。此类政策通常会明确公司批准的AI工具,明确可接受的用途,并包括网络安全和数据隐私考虑、合规义务、监督程序和道德准则。同样,组织可能希望在审计过程中重新审视其AI治理政策,重点在于明确界定公司在AI治理和监督方面的责任,建立AI技术实施、监控和安全的标准,以及明确负责任的AI开发和损害缓解的声明。推动对这些治理原则的共识有助于建立AI使用中共享的责任文化。
8. 评估和实施AI使用培训
组织可能希望确认处理或依赖AI工具的员工在接受这些技术之前获得适当的角色培训。培训模块可能强调数据伦理、隐私风险及相关事项以及负责任的使用。深度参与AI流程的人员,如HR决策者或IT开发人员,可能需要关于偏见识别的高级指导(例如进行差异影响分析)、报告担忧或错误的适当用例和程序,以及遵守适用法律的要求,如通知、申诉及文档要求。
9. 确保数据隐私和安全
鉴于AI驱动系统处理的往往是敏感数据,组织可能希望在AI生命周期的每个阶段都实施强有力的数据保护措施。这包括限制对敏感个人信息的访问,在必要时加密数据,并防止意外泄露专有商业信息和个人信息。审计人员还可能希望确认供应商和合作伙伴在保护组织数据方面遵循同等或更高的标准。
10. 提供披露和通知
最后,组织可能希望确保相关利益相关者(无论是员工还是应聘者)都能收到有关AI使用的适当披露。当AI在筛选候选人、做出人力资源决策或影响就业结果中发挥重要作用时,披露这一事实有助于建立信任并防止隐藏不公平的指控。在适用情况下,组织还可能希望确认员工是否获得了有关自动化工具如何影响其就业、绩效评估或其他工作场所体验方面的有意义信息,以及他们如何行使与使用AI处理的个人数据相关的数据主体权利(如有)。
11. 建立持续的监测和指标
除了初始审计之外,对流程和结果的持续监测对于跟踪AI性能和合规性至关重要。关键绩效指标通常包括跨人口群体的偏见指标、准确率、用户满意度评分和合规事件报告。为员工提供报告AI相关问题的反馈机制,并辅以明确的调查和解决问题的程序,可以成为重要的质量控制工具。
通过遵循这一全面的AI工具审计框架,组织可以显著降低法律风险,保障数据安全与完整性,并增强对其AI驱动的项目信心。通过充分的准备和跨部门协作,人力资源团队和内部法律顾问可以构建一个合规、公正且具有前瞻性的AI环境。
(以上内容均由Ai生成)
