信息化觀察網

引言

AI倒逼通信業(yè)“重構建”通信行業(yè)一方面要全面認識以AI為主的智能技術的潛在風險，深入分析技術與風險的內在聯(lián)系，另一方面需要建立完整謹慎的智能技術發(fā)展決策體系，以推動企業(yè)轉型，特別是要構建起完善的發(fā)展決策體系。

■文/李強（中國移動通信集團浙江有限公司內審部專項審計部經理）

2021年4月，來自于亞信科技、中國移動、中國電信、清華大學以及其他中外運營商和高校的資深專家們，以一篇《通信人工智能的下一個十年》，就移動通信與人工智能的協(xié)同發(fā)展，對沿革進行了梳理，對未來進行了展望。中國移動抓住時代機遇，全面推進數(shù)智化轉型，打造基于大數(shù)據(jù)、AI等技術的一站式解決方案。其中，中國移動創(chuàng)新研究院落地杭州上城區(qū)，是移動公司踐行數(shù)智化轉型過程中堅實有力的一步。中國聯(lián)通陜西省政府、天津市政府分別簽訂戰(zhàn)略合作協(xié)議，致力于將5G技術與應用于數(shù)字政府、智慧城市、智慧醫(yī)療、智慧教育等多個領域。

01

風險不可避免

然而，智能技術的不確定性與高滲透率決定了其構建與應用必將帶來一定的風險。對于任何一家通信企業(yè)或科技企業(yè)而言，這些風險不易避免。通信行業(yè)將全面認識以AI為主的智能技術的潛在風險，深入分析技術與風險的內在聯(lián)系。

●戰(zhàn)略風險

內外部危機。對內，數(shù)智化轉型勢必使內部資源向智能技術研發(fā)等新業(yè)務傾斜，導致傳統(tǒng)業(yè)務可能面臨結構及人員的調整問題。對外，AI創(chuàng)新企業(yè)間的競爭會導致企業(yè)盲目發(fā)展非優(yōu)勢產業(yè)，形成惡性競爭；技術相關部門間的競爭可能引發(fā)重復建設問題，甚至導致業(yè)務分割。

數(shù)據(jù)與技術壟斷。AI算法的訓練過程依賴于數(shù)據(jù)產生的正反饋循環(huán)，擁有著大量數(shù)據(jù)的企業(yè)能夠訓練出更優(yōu)秀的數(shù)據(jù)模型，從而帶來更好的體驗與更多的拓展功能；另一方面，更多的客戶被上述條件所吸引，從而帶來更多數(shù)據(jù)與模型。因此，智能技術行業(yè)也不可避免地傾向于壟斷。類似移動集團這樣的通信公司，雖然擁有著大量用戶數(shù)據(jù)和行為數(shù)據(jù)，但在外部數(shù)據(jù)積累、算法、算力等方面還依賴于第三方供應商，尤其對芯片、操作系統(tǒng)、底層算法通用架構等。存在個別供應商有能力壟斷這些技術的輸出權與定價權，隨時實施網絡監(jiān)控或禁止合作，制約通信行業(yè)在人工智能領域的發(fā)展。

●技術風險

基礎薄弱。智能技術創(chuàng)新所需要的相關技術不成熟、相應數(shù)據(jù)能力不完備、相關技術人員能力不足、現(xiàn)有設備計算能力不足或存在固有漏洞等，不足以匹配智能應用對外部資源的要求，會導致企業(yè)數(shù)智化轉型起步遲緩且易暴露于外部攻擊造成信息泄露等。

“偽”人工智能。人工代替AI工作、AI成果造假從而獲取企業(yè)資金投入、把預設程序稱為AI等“偽”人工智能行為，可能導致AI的“虛假繁華”；內部人員為應對企業(yè)轉型任務，可能會劍走偏鋒，通過成果造假、數(shù)據(jù)造假、成果竊取等手段應對上層的轉型需求。

●運營風險

不準確性與不可解釋性。智能技術學習的準確性是由數(shù)據(jù)質量、特征維度、算法、訓練時間、參數(shù)設計等因素決定的。當使用智能技術手段輸出的結果不準確或偏離預期時，對內會與管理層的決策相悖，導致內部對智能技術的輸出不信任；對外會造成預測錯誤，影響客戶選擇，造成經濟損失。而由于算法黑箱的特性，包括技術人員在內的人常常無法對相關算法、模型及其給出的結果進行合理的解釋，甚至引發(fā)監(jiān)督審查困境。

算法偏見與歧視。智能技術的優(yōu)勢在于算法的中立，進而滿足推薦、分析、預測等場景應用的客觀化。但是，在沒有惡意的算法設計中，卻可能存在開發(fā)人員的“偏見”或采用了帶有“偏見”的數(shù)據(jù)，從而在輸出端表現(xiàn)為性別歧視、仇外思想、確認偏誤等，而這種機器偏見被隱藏在了科技的客觀性之下。

●監(jiān)管風險

知識產權與數(shù)據(jù)資產保護爭議。智能機器人能夠收集并儲存大量的他人已享有著作權的信息，這可能構成非法復制他人的作品，從而構成對他人著作權的侵害。若利用他人享有著作權的知識和信息進行學習并最終創(chuàng)作出有相似內容的作品，存在構成剽竊的可能?！睹穹倓t》第127條對數(shù)據(jù)的保護規(guī)則作出了規(guī)定，數(shù)據(jù)在性質上屬于新型財產權，但數(shù)據(jù)保護問題并不限于財產權的歸屬和分配問題，還涉及此類財產權的安全，特別是涉及國家安全。

隱私泄露。數(shù)據(jù)在技術中的大規(guī)模應用也極大地增加了隱私入侵的機會，對個人隱私實現(xiàn)了直接監(jiān)控，同時，其迷惑性的侵害隱私的行為能夠以類人的方式收集客戶信息。在國外，《健康保險可移植性和責任法案》（HIPAA）要求公司在披露個人健康信息之前必須獲得授權，歐盟的《通用隱私數(shù)據(jù)保護條例》（GDPR）等國際框架幫助消費者更好地控制個人數(shù)據(jù)的收集和使用。但我國仍未完善隱私保護的法律體系，未對隱私保護的技術路徑、市場機制和倫理原則引起足夠的重視。由智能技術導致的監(jiān)管風險，將會大大降低智能技術的可信度，提高合規(guī)成本。

●聲譽風險

企業(yè)不良形象。由AI應用導致的錯誤決策、違規(guī)行為、數(shù)據(jù)泄露等企業(yè)丑聞，即便企業(yè)花費大量的時間和精力用于事后的危機管理，也難于彌補對自身聲譽造成的實質性損害。公眾將對企業(yè)形成內部管理混亂、管理層能力不足、企業(yè)缺乏社會責任等不良印象。

內部信任危機。隨著智能技術系統(tǒng)的日趨復雜，企業(yè)或將難以對其進行密切監(jiān)控，而復雜的算法也不能對決策作出合理的解釋，企業(yè)無法完完全全將決策的權力交予機器，這就容易導致企業(yè)內部的信任危機。業(yè)務部門或許無法完全基于技術部門給出的智能運算結果開展業(yè)務，技術部門或許也無法完全信任業(yè)務部門提交的數(shù)據(jù)和指標。

02

應對智能技術風險

通信企業(yè)將著力于制定出更加科學的監(jiān)管制度和體系，深入挖掘數(shù)智化轉型的相關風險，通過以風險為導向的內部控制方式對其實現(xiàn)預測、監(jiān)督與管控，不斷完善規(guī)章制度體系建設，合理確定各種風險的應對策略。構建以智能技術發(fā)展決策為風險預防堡壘、以技術風險研究為導向、以內部審計為監(jiān)測手段、以多部門及相關企業(yè)聯(lián)合治理的“可信賴”智能技術風險防控機制。

●構建完善的發(fā)展決策體系

建立完整謹慎的智能技術發(fā)展決策體系，以推動企業(yè)轉型。發(fā)展決策體系是將企業(yè)的決策組織、決策流程、決策規(guī)范進行有機整合，防止權力的交叉或真空，以確保企業(yè)經營管理有序進行。具體包括：

設計并建立健全的決策組織。企業(yè)決策是一個從簡單到復雜的圖譜，所涉及的各領域問題也寬泛復雜，為了增加決策的有效性，必須明確規(guī)定權利主體。對于通信企業(yè)而言，推動智能技術創(chuàng)新的決策組織人員不宜過多，以輕量級、決策快為特點構建集權式、扁平化團隊。團隊成員應分別來自各核心的業(yè)務、技術、職能部門，熟悉公司業(yè)務且了解戰(zhàn)略發(fā)展，并建議由一位技術發(fā)展決策專員統(tǒng)一領導。其次，決策者的行為由利益驅動、由責任約束、由權力保障，因此需要根據(jù)組織團隊的特點，對決策進行全面梳理、模塊分類，建立與權力結構相適應的利益結構，實現(xiàn)團隊成員的職責劃分，做到權責統(tǒng)一。

制定清晰的決策流程?；诜从匙陨硗ㄟ^技術創(chuàng)新活動所要達到的經濟預期的目的，技術部門需要依據(jù)市場需求，在技術研發(fā)上制定需要達到的階段性目標，并且明確技術創(chuàng)新主體的主觀意志與服務對象，尤其當服務對象為大眾市場時。同時，根據(jù)團隊責任的劃分，共同議定項目評估流程，確定決策權重。并且依托權利保證、組織保證、信息系統(tǒng)保證等，作好方案評估、方案論證和決策宣傳，提供及時、準確、適用的信息支撐。

建立完善的決策規(guī)范。管理層需從操作、約束、權限等角度建立相應的規(guī)范。在數(shù)據(jù)方面，考慮數(shù)據(jù)集成、管控與共享等流程，并適當執(zhí)行數(shù)據(jù)治理流程，完善數(shù)據(jù)管理；在模型方面，考慮輸入數(shù)據(jù)結構、模型操作與權限約束；在客戶方面，考慮多渠道收集信息、全方面刻畫客戶畫像、注重個性化服務。始終滿足（1）監(jiān)管要求；（2）制度層面能夠防范AI風險；（3）實際執(zhí)行能夠滿足規(guī)范要求。

●建立技術風險研究組織

在大力推動智能技術發(fā)展的同時，也不能忽略對其風險自身的研究，并適時開展內部審計工作，因此需要建立相應的研究與監(jiān)控組織，具體包括：

技術研究與風險研究并行。盲目地推動顛覆性技術發(fā)展會弱化對風險研究的重視，技術的大幅進步更容易隱藏業(yè)務安全隱患。因此，建議企業(yè)設立相應的智能技術風險研究崗位，深度探究智能技術發(fā)展為企業(yè)內部、技術本身、對外合作等方面帶來的影響與風險應對措施。該組織的人員需具備一定的技術能力、了解技術風險點和業(yè)務流程，并熟悉風險管理理念，從技術的角度將風險扼殺于萌芽階段。

構建專業(yè)審計團隊。針對智能技術的審計工作將檢查相關部門是否按計劃執(zhí)行技術實施工作、能否達到有效的創(chuàng)新效益、是否存在信息泄露或違規(guī)操作等。相關審計人員將具備一定的軟硬件基礎知識和智能技術常識，審計團隊中應適當加入信息安全專家、IT系統(tǒng)專家、算法專家等成員。由于智能技術更新周期短、涉及范圍廣，企業(yè)應引入培訓機制定期對審計團隊進行相關技術的培訓。

風險研究與內部審計柔性結合。風險研究組織將與內部審計團隊緊密聯(lián)系，適當時可組建風險防控的柔性組織，形成信息互通、能力互補、技術共享，工作內容包括預警模型設計、風險信息管理、持續(xù)監(jiān)測并定期擬定相關風險分析報告。例如，內部審計團隊能夠搭建特定的審計框架與數(shù)據(jù)需求，IT技術團隊負責承接技術需求并幫助內審團隊獲取、整合和分析數(shù)據(jù)，從而共同發(fā)現(xiàn)審計問題與風險。

03

建立針對智能技術的審計方式

風險管控部門需要持續(xù)監(jiān)測智能技術相關系統(tǒng)的建設與應用，確保系統(tǒng)性能的可靠性、完整性與前瞻性。具體包括：

持續(xù)風控/審計模型的構建與應用。通信企業(yè)在過去的審計與風控工作中，積累了大量審計/風控規(guī)則，能應用于搭建具備可持續(xù)挖掘審計問題/風險的規(guī)則模型；同時，企業(yè)積累了大量的業(yè)務數(shù)據(jù)、客戶信息、行為數(shù)據(jù)，有能力設計并提取有效的風險特征，用于搭建機器學習模型進行訓練，使用邏輯回歸、GBDT、神經網絡等技術在訓練數(shù)據(jù)上搭建風控模型，通過AUC等指標判斷模型的準確率，不斷完善模型框架并最終進行信息化落地。

提高算法的透明度。鼓勵技術人員將算法的可解釋性作為在模型投入生產之前獲得合規(guī)批準的必要步驟。在技術部門的協(xié)助下，制定算法透明度度量標準，根據(jù)任務重要程度適當調整算法的透明度。

建立針對智能技術的審計方式。定期針對技術領域開展1?2個專項審計，例如：客戶敏感信息審計、系統(tǒng)日志審計、重要系統(tǒng)賬號口令審計等。同時，依托企業(yè)內部的審計經驗及相關技術資源積累，利用互聯(lián)網Web應用訪問日志、網絡流量日志、設備監(jiān)控日志、安全威脅態(tài)勢等信息，開展AI建設與應用審計工作，及時發(fā)現(xiàn)潛在安全威脅及已經面臨的風險。

04

敏捷且動態(tài)地治理

風險管控相關部門通過運用敏捷且動態(tài)的智能技術風險治理方式，聯(lián)合其他組織部門，形成多方聯(lián)動機制。具體包括：

持續(xù)跟進多領域的智能技術風險問題。設專人及時追蹤社會、監(jiān)管、企業(yè)聲譽、倫理等領域新出現(xiàn)的智能技術相關問題，并及時反饋至管理層，從而及時對企業(yè)內部系統(tǒng)完整性、數(shù)據(jù)采購及管理、模型訓練及使用進行企業(yè)內部自查，并及時做出調整。

建立多部門聯(lián)動機制。在企業(yè)數(shù)字化轉型之初，管理層需強化部門協(xié)調聯(lián)動，通過建立部門間信息溝通、規(guī)劃統(tǒng)籌、協(xié)調服務、跟蹤問效等多項制度，完善牽頭部門負責、相關部門配合、集團公司監(jiān)督的部門協(xié)調聯(lián)動機制，幫助智能技術服務在企業(yè)內外部高效落地。對涉及部門灌輸和培養(yǎng)風險優(yōu)化的意識，從產品設計之初就將信任的概念嵌入到服務和產品中，使得利益相關方能夠在技術服務中建立信任，追求長期的價值。

數(shù)字化浪潮帶來了新的機遇，也帶來了新的風險和困難。對于通信企業(yè)而言，需要擁抱機遇，積極應對智能技術風險，提前部署體制，規(guī)范落實機制，謹防風險管理與企業(yè)戰(zhàn)略產生割裂，避免風險預警與管控缺乏時效性，大力推動企業(yè)數(shù)字化轉型進程，在時代的風雪中抱薪前行。