设计保证人工智能:负责任和道德人工智能实施的原则和工作实践

Tom Weeks, Technical Director, Informed Solutions

Last month, I was privileged to take part in the Digital Leaders’ 18th National Digital Conference, which explored the opportunities, benefits, risks, and societal impact of AI. 听到白天讨论的不同观点和出现的共同主题是令人着迷的.

其中一个特别突出的主题是，每个人都很重视负责任地、合乎道德地开发和使用人工智能. Society is becoming increasingly aware and questioning of AI and so, 正确地, 要赢得信任和信心，需要证明人工智能的开发和使用是考虑到人们的最大利益的.

这里是Informed, 人工智能在我们为客户提供的数字化转型项目中发挥着越来越重要的作用, and in the solutions we provide to our international customer and partner community. We want the solutions we deliver to have a positive impact, 所以对我们来说，负责任地、合乎道德地开发和使用人工智能非常重要. Taking part in the conference made me reflect on how we approach 人工智能的保证, 我想分享一些我们发现的能产生显著影响的原则和做法.

人工智能保障和其他信息保障功能如何协同工作

在过去的几年中，信息保障已成为每个组织中不可或缺的一部分. 英国的所有组织都有义务根据GDPR保护数据，但是, for most organisations, 数据保护只是一项信息保障功能，与信息安全和网络安全等其他功能并列. 人工智能是数据驱动的, 因此，人工智能保障与其他信息保障功能有着密切的关系.

同时AI保证, 数据保护, information security, and cyber security are complementary and inter-related, 这些保证职能的专家之间的协作水平通常是有限的. 例如, it isn’t often that we see data scientists, 数据保护专家和信息安全专家坐在一起，共同审查基于人工智能的新服务的数据保护影响评估, 或者集思广益，想出有助于确保人工智能解决方案安全的组织和技术措施, 安全, 透明的, 设计得很公平.  This sort of siloed working isn’t uncommon, 但这是一个错失的合作机会，可能会给人工智能保障带来更糟糕的结果.

人工智能的保证, 数据保护, information security, and cyber security may be different and very specialised disciplines, 但它们都有一个共同的结果——通过确保信息得到负责任的管理来建立信任和信心, ethically and legally. Given that shared outcome, 组织应反思其信息保障和信息安全的运营模式, 如果他们需要的话, make changes that require close collaboration between the different functions. 密切的合作会导致对风险和机会的更全面和更有凝聚力的理解，这比各部分的总和更大. 对风险和机会更全面、更连贯的理解会导致更有效的行动. 更有效的行动将带来更可靠的人工智能，以及更高水平的信任和信心.

改善保障职能部门之间的协作可能听起来说起来容易做起来难, but we have seen it done simply and well. 最好的例子是保证功能采用了敏捷产品团队中常见的工作方式. 计划-执行-检查-行动生命周期是许多ISO标准的主要内容，与Scrum冲刺计划密切相关, delivery and review/retrospective framework, 我们已经看到，保证职能部门非常成功地使用Scrum作为一种方法来运行多学科团队，这些团队协同工作，形成并同意共享的保证目标，并交付实现这些目标的积压工作.

Embed AI Assurance Techniques Into Delivery Methods

设计安全性, 隐私的设计和数据保护的设计和默认是我们都熟悉和赞同的概念. These concepts say that security, 隐私和数据保护方面的考虑应该“融入”到日常工作实践中，以便在整个交付生命周期中确保它们是理所当然的, rather than every so often. 将同样的原则应用于人工智能保障将有助于确保人工智能在设计上是安全和合乎道德的，并考虑到人们的最大利益.

大多数数字化转型项目都涉及新产品的交付, services and capabilities using agile methodologies based on frameworks like Scrum, Nexus和SAFe. These methodologies involve muti-disciplined teams of User Researchers, 服务设计人员, 架构师, 数据科学家和开发人员以用户为中心和迭代的方式交付产品和服务. 团队经常检查和调整他们交付的内容，以确保满足用户需求, 质量高, and risks are being mitigated. This ‘baked in’ focus on user needs, 质量和风险意味着敏捷交付方法可以用相对较少的努力来嵌入人工智能保证技术.

下面是一个简单的例子，说明我们如何将人工智能保证技术嵌入到为期两周的发现冲刺中，其目标是了解用户对包含人工智能的新数字服务的需求:

• 在Sprint计划期间，整个团队进行头脑风暴，并就他们希望在即将到来的Sprint中实现的研究目标达成一致. This includes identifying the users that we want to conduct research with, and the research techniques we plan to use (Focus Groups, interviews and surveys etc). 研究目标是使用假设驱动开发用户故事结构的假设，并根据我们在之前的Sprint中所学到的内容进行阐述.
• 在Sprint交付的早期，我们运行了一个基于优秀工具包的结果扫描仪式 doteveryone.org.uk. This is a whole-team ceremony that brings together team members from user research, 服务设计, 数据科学, 和技术架构，从不同的角度考虑基于人工智能的服务的后果. We also involve assurance specialists from 我们的客户 人工智能的保证, 数据保护, information security, 以及网络安全保障功能，这样交付团队和保障功能就能肩并肩地合作. During the ceremony, 我们采取在Sprint计划期间形成的假设，并考虑这些假设可能产生的预期和意外后果. 我们经常使用由隐私未来论坛开发的“自动化决策的潜在危害”框架作为提示，以确保我们广泛思考可能导致个人或集体利益或伤害的不同类别的后果. Once we have a sense of what the consequences could be, 我们用这些来完善我们的假设，并为指导我们研究的讨论指南或调查提供信息.
• We run our research and elicit user feedback on the hypotheses and consequences. 我们综合这些反馈，得出我们用来完善我们对用户角色和需求的理解的发现和见解. As well as capturing user needs in our personas, 我们还捕获用户对我们已经确定的结果的看法，并将这些结果作为潜在风险加以阐明, 危害, 和机会. This helps to keep these topics at the forefront of the team’s mind.
• During Sprint Review, 整个团队会检查用户研究的结果，并反思我们所学到的知识，以及我们的假设是否正确. 我们利用我们所学到的知识，为下一个Sprint提供信息并调整研究目标. The cycle then starts again.

这些都是简单的事情，但是将它们嵌入到您的交付方法中会带来显著的好处. 整体方法允许组织平衡敏捷性和创新与控制, 在人工智能的规管及保证方面，这与政府最近提出的以创新为本的方针的精神是一致的 UK Government white paper. 检查和调整的频率降低了更多潜在风险的可能性, such as bias in data and models, creeping in unnoticed. 定期举办论坛，让保证专家参与交付，并让不同的保证职能部门并肩工作. 快速协调团队成员可能拥有的不同观点更为直接, 例如，如何平衡通过研究确定的用户需求与保证专家确定的遵从性义务. 将人工智能保证技术(例如在人工智能保证技术的CDEI组合中列出的那些技术)作为新的需求进行调整更为直接, standards and guidance emerge.

人工智能保障与其他信息保障功能密切相关，应以“设计”的心态来处理. AI, 数据保护, information security, and cyber security assurance functions should collaborate closely, and 人工智能的保证 techniques should be baked in your delivery approach. Agile delivery frameworks like Scrum can be readily adapted to allow this and, 通过这样做, 人工智能的保证 becomes an everyday team sport. 最终, 这只会带来更高程度的信任和信心，即人工智能的开发和使用是为了人们的最大利益.