ການຄຸ້ມຄອງ AI ຄືຫຍັງ? ຄູ່ມືປະຕິບັດຕົວຈິງຕັ້ງແຕ່ການຮັບມືກັບ EU AI Act ຈົນເຖິງການຈັດລະບຽບກົດລະບຽບພາຍໃນອົງກອນ

AI Governance ແມ່ນກອບການເຮັດວຽກຂອງອົງກອນ ເພື່ອຮັບປະກັນການຄຸ້ມຄອງຄວາມສ່ຽງ, ຄວາມໂປ່ງໃສ ແລະ ຄວາມຮັບຜິດຊອບ ຕະຫຼອດຂະບວນການພັດທະນາ, ນຳໃຊ້ ແລະ ຕັດສິນໃຈຂອງລະບົບ AI.

ໃນຍຸກທີ່ລະບົບ AI ເຂົ້າມາມີສ່ວນຮ່ວມຢ່າງເລິກເຊິ່ງໃນການຕັດສິນໃຈທາງທຸລະກິດ, ການຂາດ Governance ເຊື່ອມໂຍງໂດຍກົງກັບຄວາມສ່ຽງທາງກົດໝາຍ ແລະ ການສູນເສຍຄວາມໄວ້ວາງໃຈ. EU AI Act ທີ່ມີຜົນບັງຄັບໃຊ້ຢ່າງເຕັມຮູບແບບແລ້ວນັ້ນ ຄອບຄຸມການນຳໃຊ້ນອກອານາເຂດດ້ວຍ, ຈຶ່ງບໍ່ແມ່ນເລື່ອງທີ່ບໍ່ກ່ຽວຂ້ອງສຳລັບບໍລິສັດທີ່ດຳເນີນທຸລະກິດໃນໄທ ແລະ ອາຊຽນ. ບົດຄວາມນີ້ຈະອະທິບາຍຕັ້ງແຕ່ແນວຄິດພື້ນຖານຂອງ AI Governance, ການຮັບມືດ້ານປະຕິບັດຕໍ່ EU AI Act, ໄປຈົນເຖິງຂັ້ນຕອນສະເພາະໃນການຈັດຕັ້ງກົດລະບຽບພາຍໃນອົງກອນ. ເປົ້າໝາຍຄືໃຫ້ຜູ້ຮັບຜິດຊອບດ້ານປະຕິບັດທີ່ "ບໍ່ຮູ້ວ່າຈະເລີ່ມຕົ້ນຈາກໃສ" ສາມາດລົງມືສ້າງໂຄງສ້າງ Governance ຂອງອົງກອນຕົນເອງໄດ້ຫຼັງຈາກອ່ານຈົບ.

ຂໍ້ສັງເກດ: ບົດຄວາມນີ້ມີຈຸດປະສົງເພື່ອໃຫ້ຂໍ້ມູນເທົ່ານັ້ນ ແລະ ບໍ່ຖືວ່າເປັນຄຳແນະນຳທາງກົດໝາຍ. ສຳລັບການດຳເນີນການທາງກົດໝາຍສະເພາະ, ກະລຸນາປຶກສາທະນາຍຄວາມຜູ້ຊ່ຽວຊານ.

AI governance ແມ່ນກອບການຈັດຕັ້ງທີ່ໃຊ້ເພື່ອຈັດການຄວາມສ່ຽງ ແລະ ຮັບປະກັນຄວາມຍຸຕິທຳ, ຄວາມໂປ່ງໃສ, ແລະ ຄວາມຮັບຜິດຊອບໃນການພັດທະນາ, ການນຳໃຊ້, ແລະ ການດຳເນີນງານຂອງລະບົບ AI. ໃນຂະນະທີ່ IT governance ແບບດັ້ງເດີມ (ເຊັ່ນ: COBIT ແລະ ITIL) ສຸມໃສ່ການຈັດການໂຄງສ້າງພື້ນຖານ ແລະ ການບໍລິການ, AI governance ແຕກຕ່າງຢ່າງພື້ນຖານຕາມທີ່ວ່າມັນລວມເອົາຂະບວນການຕັດສິນໃຈຂອງ model ເອງເປັນສ່ວນໜຶ່ງຂອງສິ່ງທີ່ຕ້ອງໄດ້ຮັບການຄຸ້ມຄອງ.

ຫາກພະຍາຍາມຄຸ້ມຄອງ AI ໂດຍຕໍ່ຍອດຈາກ IT Governance ກໍ່ຈະເຮັດໃຫ້ມອງຂ້າມຄວາມແຕກຕ່າງທີ່ເປັນສາລະສຳຄັນ ນັ້ນຄື ຜົນລັບທີ່ເປັນຄ່າຄວາມໜ້າຈະເປັນ (probabilistic output) ຂອງໂມເດວ. ອັດຕາການເຮັດວຽກຂອງເຊີບເວີສາມາດກຳນົດໄດ້ຊັດເຈນວ່າ 99.9% ແຕ່ "ຄວາມຖືກຕ້ອງ" ຂອງໂມເດວ AI ນັ້ນຂຶ້ນຢູ່ກັບສະພາບການ ແລະ ເຖິງແມ່ນຈະໃຊ້ຂໍ້ມູນນຳເຂົ້າດຽວກັນ ຜົນລັບກໍ່ອາດປ່ຽນແປງໄດ້.

ການນຳໃຊ້ AI ສ້າງສັນໃນທຸລະກິດໄດ້ຂະຫຍາຍຕົວຢ່າງໄວວາ ແລະ ຄວາມຈຳເປັນຂອງ governance ໄດ້ປ່ຽນຈາກທິດສະດີໄປສູ່ບັນຫາພາກປະຕິບັດ. ໃນຂະນະທີ່ບໍລິສັດຂອງພວກເຮົາດຳເນີນການໃຫ້ຄຳປຶກສາດ້ານ AI ໃນປະເທດໄທ ພວກເຮົາໄດ້ຍິນກໍລະນີຕ່າງໆເພີ່ມຂຶ້ນເລື້ອຍໆ ເຊັ່ນ: "ພະນັກງານໄດ້ປ້ອນຂໍ້ມູນລູກຄ້າເຂົ້າໃນ ChatGPT" ຫຼື "ສົ່ງສັນຍາທີ່ AI ສ້າງຂຶ້ນໂດຍບໍ່ທັນສັງເກດເຫັນຄວາມຜິດພາດ".

ຄວາມສ່ຽງຈາກການຂາດ governance ສາມາດແບ່ງອອກເປັນ 3 ປະເພດໃຫຍ່ໆ:

1. ຄວາມສ່ຽງທາງດ້ານກົດໝາຍ: ຄ່າປັບໄໝສູງສຸດ 35 ລ້ານເອີໂຣຈາກການລະເມີດ EU AI Act, ການລະເມີດກົດໝາຍຄຸ້ມຄອງຂໍ້ມູນສ່ວນຕົວ
2. ຄວາມສ່ຽງດ້ານຊື່ສຽງ: ການສູນເສຍຄວາມໄວ້ວາງໃຈເມື່ອການຕັດສິນໃຈຂອງ AI ທີ່ມີ bias ຖືກເປີດເຜີຍຕໍ່ສາທາລະນະ
3. ຄວາມສ່ຽງດ້ານການດຳເນີນງານ: ຄວາມລົ້ມເຫຼວຕໍ່ເນື່ອງຂອງການຕັດສິນໃຈທາງທຸລະກິດທີ່ອີງໃສ່ການຕັດສິນໃຈທີ່ຜິດພາດຂອງ AI

EU AI Act (ກົດໝາຍວ່າດ້ວຍປັນຍາປະດິດ) ແມ່ນກົດໝາຍຄວບຄຸມ AI ທີ່ຄອບຄຸມທົ່ວໄປສະບັບທຳອິດຂອງໂລກ ແລະ ມີການບັງຄັບໃຊ້ນອກອານາເຂດຄືກັນກັບ GDPR. ບໍລິສັດທີ່ໃຫ້ບໍລິການ AI ແກ່ຜູ້ໃຊ້ພາຍໃນ EU ຈະຖືກຄວບຄຸມໂດຍກົດໝາຍນີ້ ໂດຍບໍ່ຄຳນຶງເຖິງສະຖານທີ່ຕັ້ງຂອງສຳນັກງານໃຫຍ່.

ຫົວໃຈຂອງ EU AI Act ຢູ່ທີ່ການຈັດປະເພດລະບົບ AI ເປັນ 4 ລະດັບຕາມຄວາມສ່ຽງ ແລະ ກຳນົດພັນທະທີ່ແຕກຕ່າງກັນໃຫ້ແຕ່ລະລະດັບ.

1. ຖືກຫ້າມ (Unacceptable Risk) ການໃຫ້ຄະແນນຄວາມໜ້າເຊື່ອຖືທາງສັງຄົມ, ການພິສູດຕົວຕົນທາງຊີວະມິຕິທາງໄກແບບ real-time (ຍົກເວັ້ນກໍລະນີການບັງຄັບໃຊ້ກົດໝາຍ), ການຮັບຮູ້ອາລົມ (ໃນສະຖານທີ່ເຮັດວຽກ ແລະ ສະຖາບັນການສຶກສາ), ເຕັກນິກ subliminal ທີ່ຈັດການກຸ່ມຄົນທີ່ມີຄວາມສ່ຽງ. ຄ່າປັບໃນກໍລະນີລະເມີດສູງສຸດ 35 ລ້ານເອີໂຣ ຫຼື 7% ຂອງລາຍໄດ້ທົ່ວໂລກ.

2. ຄວາມສ່ຽງສູງ (High Risk) ການຈ້າງງານ ແລະ ການປະເມີນຊັບພະຍາກອນມະນຸດ, ການໃຫ້ຄະແນນສິນເຊື່ອ, ການຕັດສິນການຮັບເຂົ້າຮຽນ, ການຄຸ້ມຄອງຄວາມປອດໄພຂອງໂຄງສ້າງພື້ນຖານທີ່ສຳຄັນ, ການບັງຄັບໃຊ້ກົດໝາຍ, ການຄຸ້ມຄອງການເຂົ້າເມືອງ ແລະ ອື່ນໆ. ຕ້ອງມີການປະເມີນຄວາມສອດຄ່ອງ, CE marking ແລະ ການລົງທະບຽນໃນຖານຂໍ້ມູນ EU.

3. ຄວາມສ່ຽງຈຳກັດ (Limited Risk) Chatbot, ການສ້າງ deepfake ແລະ ອື່ນໆ. ຖືກກຳນົດພັນທະດ້ານຄວາມໂປ່ງໃສ (ການເປີດເຜີຍວ່າເປັນ AI).

4. ຄວາມສ່ຽງຕ່ຳສຸດ (Minimal Risk) ຕົວກອງ spam, AI ໃນເກມ ແລະ ອື່ນໆ. ບໍ່ມີພັນທະພິເສດ.

ສິ່ງທີ່ສ້າງຄວາມສັບສົນຫຼາຍທີ່ສຸດໃນການສົນທະນາຂອງຜູ້ຂຽນກັບບໍລິສັດໃນອາຊີຕາເວັນອອກສ່ຽງໃຕ້ ຄືການຕັດສິນວ່າລະບົບ AI ຂອງຕົນຈັດຢູ່ໃນປະເພດໃດ. ຕົວຢ່າງ, ເຄື່ອງມືຄັດເລືອກຜູ້ສະໝັກງານພາຍໃນຖືກຈັດເປັນ "ຄວາມສ່ຽງສູງ", ໃນຂະນະທີ່ chatbot ພາຍໃນຢູ່ໃນລະດັບ "ຄວາມສ່ຽງຈຳກັດ" ເທົ່ານັ້ນ. ມັກຈະມີການມອງຂ້າມຈຸດທີ່ວ່າ "ເຄື່ອງມື AI" ດຽວກັນອາດມີລະດັບການຄວບຄຸມທີ່ແຕກຕ່າງກັນຂຶ້ນຢູ່ກັບການນຳໃຊ້.

EU AI Act ແມ່ນຖືກບັງຄັບໃຊ້ເປັນຂັ້ນຕອນ, ໂດຍເວລາທີ່ນຳໃຊ້ຈະແຕກຕ່າງກັນຕາມປະເພດຂອງລະບົບ AI ທີ່ກ່ຽວຂ້ອງ.

ສຳລັບ provider ຂອງ AI model ທົ່ວໄປ (ເຊັ່ນ: GPT, Claude, Gemini ແລະ ອື່ນໆ) ແມ່ນມີພັນທະໃນການຈັດທຳເອກະສານດ້ານວິຊາການ, ການເປີດເຜີຍນະໂຍບາຍລິຂະສິດ ແລະ ການເປີດເຜີຍສະຫຼຸບຂໍ້ມູນທີ່ໃຊ້ໃນການຝຶກອົບຮົມ. ບໍລິສັດທີ່ໃຊ້ model ເຫຼົ່ານີ້ກໍ່ມີພັນທະໃນການເປີດເຜີຍວ່າເປັນ AI (ສຳລັບຄວາມສ່ຽງລະດັບຈຳກັດຂຶ້ນໄປ) ລວມທັງພັນທະໃນການຮ່ວມມືໃນການປະເມີນຄວາມສອດຄ່ອງສຳລັບການນຳໃຊ້ທີ່ມີຄວາມສ່ຽງສູງດ້ວຍ.

«ການບໍ່ມີຖານທີ່ຕັ້ງໃນ EU ຈຶ່ງບໍ່ກ່ຽວຂ້ອງ» ແມ່ນຄວາມເຂົ້າໃຈທີ່ຜິດ. ການນຳໃຊ້ກົດໝາຍນອກອານາເຂດເກີດຂຶ້ນໃນກໍລະນີດັ່ງຕໍ່ໄປນີ້:

• ໃນກໍລະນີທີ່ໃຫ້ບໍລິການທີ່ໃຊ້ AI ແກ່ລູກຄ້າພາຍໃນ EU
• ໃນກໍລະນີທີ່ໃຊ້ຂໍ້ມູນຜູ້ໃຊ້ພາຍໃນ EU ສຳລັບການຝຶກສອນ ແລະ ການອ້າງເຫດຜົນຂອງ AI
• ໃນກໍລະນີທີ່ຜົນຜະລິດຂອງລະບົບ AI ຖືກນຳໃຊ້ພາຍໃນ EU

ຫາກວິສາຫະກິດສົ່ງອອກຂອງໄທໃຊ້ລະບົບກວດສອບຄຸນນະພາບທີ່ອີງໃສ່ AI ສຳລັບຜູ້ຊື້ EU, ລະບົບດັ່ງກ່າວອາດຈະຕົກຢູ່ພາຍໃຕ້ການບັງຄັບໃຊ້ຂອງ EU AI Act. ໃນບັນດາລູກຄ້າຂອງພວກເຮົາ, ຈຳນວນວິສາຫະກິດທີ່ດຳເນີນ EC ສຳລັບຕະຫຼາດເອີຣົບ ແລະ ມາປຶກສາຫາລືກ່ຽວກັບພັນທະການເປີດເຜີຍຂໍ້ມູນ AI recommendation ກຳລັງເພີ່ມຂຶ້ນ.

ນອກຈາກນີ້, ລັດຖະບານໄທກຳລັງພິຈາລະນາກົດລະບຽບ AI ຂອງຕົນເອງ. MDES ໄທ (ກະຊວງເສດຖະກິດດິຈິຕອນ ແລະ ສັງຄົມ) ໄດ້ເຜີຍແຜ່ AI Governance Guidelines ແລະ ການຈັດຕັ້ງກົດໝາຍທີ່ອ້າງອີງ EU AI Act ກຳລັງດຳເນີນໄປ. ຫາກດຳເນີນການຮັບມືກັບ EU AI Act ລ່ວງໜ້າ, ກໍ່ຈະສາມາດຮັບມືກັບກົດລະບຽບພາຍໃນໄທໃນອະນາຄົດໄດ້ຢ່າງລາບລື່ນ.

EU AI Act ບໍ່ແມ່ນຄຳແນະນຳດ້ານ AI Governance ພຽງອັນດຽວ. ຈຳເປັນຕ້ອງເຂົ້າໃຈ Framework ຫຼາຍຮູບແບບ ແລະ ເລືອກໃຊ້ສິ່ງທີ່ເໝາະສົມກັບສະຖານະການຂອງບໍລິສັດຕົນເອງ.

ສຳລັບວິສາຫະກິດຂະໜາດກາງແລະຂະໜາດນ້ອຍ, ການຕັ້ງເປົ້າໝາຍຂໍການຢັ້ງຢືນ ISO 42001 ທັນທີນັ້ນບໍ່ແມ່ນເລື່ອງທີ່ເປັນໄປໄດ້ຈິງໃນດ້ານຄ່າໃຊ້ຈ່າຍ. ວິທີທີ່ສົມເຫດສົມຜົນຄືການເລີ່ມຕົ້ນດ້ວຍການຈັດລະບຽບຂະບວນການພາຍໃນໂດຍອີງໃສ່ NIST AI RMF ເປັນພື້ນຖານ, ແລ້ວຈຶ່ງຮັບມືກັບຂໍ້ກຳນົດຄວາມສ່ຽງສູງຂອງ EU AI Act ຕາມຄວາມຈຳເປັນ.

ມີແກນການຕັດສິນໃຈໃນການຄັດເລືອກ 3 ຂໍ້:

1. ຂອບເຂດທາງພູມິສາດຂອງທຸລະກິດ: ຖ້າກ່ຽວຂ້ອງກັບຕະຫຼາດ EU ການປະຕິບັດຕາມ EU AI Act ແມ່ນສິ່ງຈຳເປັນ. ຖ້າສຸມໃສ່ ASEAN ເປັນຫຼັກ, ກອບວຽກຂອງສິງກະໂປເປັນຂໍ້ອ້າງອີງທີ່ເໝາະສົມ
2. ລະດັບການນຳໃຊ້ AI: ຖ້າພຽງແຕ່ໃຊ້ AI API ທົ່ວໄປ, ການກວດສອບພັນທະດ້ານຄວາມໂປ່ງໃສກໍ່ພຽງພໍ. ຖ້າກຳລັງພັດທະນາ ຫຼື fine-tuning ໂມເດນດ້ວຍຕົນເອງ, ການຈັດການຢ່າງເປັນລະບົບດ້ວຍ NIST AI RMF ແມ່ນມີປະສິດທິຜົນ
3. ຄວາມຕ້ອງການຂອງລູກຄ້າ ແລະ ຄູ່ຄ້າທາງທຸລະກິດ: ໃນກໍລະນີທີ່ເຮັດທຸລະກິດ B2B ກັບບໍລິສັດຂະໜາດໃຫຍ່, ເລີ່ມມີກໍລະນີທີ່ການຮັບຮອງ ISO 42001 ກາຍເປັນເງື່ອນໄຂໃນການເຮັດທຸລະກຳ

ໃນຄວາມເປັນຈິງ, ກອບວຽກນັ້ນບໍ່ແມ່ນສິ່ງທີ່ "ຄັດເລືອກ" ແຕ່ເປັນສິ່ງທີ່ຕ້ອງ "ປະສົມປະສານ". ແຜນທີ່ເສັ້ນທາງທີ່ເປັນຈິງຄື: ໃຊ້ການຈັດປະເພດຄວາມສ່ຽງຂອງ EU AI Act ເປັນພື້ນຖານ, ນຳໃຊ້ກະບວນການຈັດການຂອງ NIST AI RMF, ແລ້ວຈັດຮູບແບບຢ່າງເປັນທາງການດ້ວຍ ISO 42001 ໃນອະນາຄົດ.

ການເຂົ້າໃຈ framework ພຽງຢ່າງດຽວນັ້ນບໍ່ພຽງພໍ. ເພື່ອໃຫ້ governance ເຮັດວຽກໄດ້ຢ່າງມີປະສິດທິພາບພາຍໃນອົງກອນ, ຈຳເປັນຕ້ອງຈັດຕັ້ງ 3 ອົງປະກອບ ຄື policy, process ແລະ ຄົນ. ຕໍ່ໄປນີ້ຈະນຳສະເໜີວິທີການເປັນຂັ້ນຕອນ.

ຂັ້ນຕອນທຳອິດຄືການເຂົ້າໃຈວ່າເຄື່ອງມື AI ໃດ, ໂດຍໃຜ, ແລະເພື່ອຈຸດປະສົງຫຍັງທີ່ຖືກໃຊ້ງານພາຍໃນອົງກອນ. ໃນຫຼາຍບໍລິສັດ, "Shadow AI" (ການໃຊ້ AI ທີ່ພະແນກ IT ບໍ່ຮັບຮູ້) ໄດ້ກາຍເປັນບັນຫາທີ່ໜ້າກັງວົນ.

Checklist ການສຳຫຼວດ:

• ລາຍຊື່ເຄື່ອງມືແລະບໍລິການ AI ທີ່ກຳລັງໃຊ້ງານໃນແຕ່ລະພະແນກ
• ລະບຸປະເພດຂໍ້ມູນທີ່ປ້ອນເຂົ້າໃນແຕ່ລະເຄື່ອງມື (ຂໍ້ມູນສ່ວນຕົວ, ຂໍ້ມູນລັບ, ຂໍ້ມູນທົ່ວໄປ)
• ປະເມີນລະດັບທີ່ Output ຂອງ AI ມີຜົນຕໍ່ການຕັດສິນໃຈຂັ້ນສຸດທ້າຍ (ອ້າງອີງ, ຊ່ວຍເສີມ, ອັດຕະໂນມັດ)
• ກວດສອບວ່າມີການສົ່ງຂໍ້ມູນໄປຫາ API ພາຍນອກ (OpenAI, Claude, Gemini ແລະອື່ນໆ) ຫຼືບໍ່
• ກວດສອບວ່າມີ Model ທີ່ພັດທະນາຂຶ້ນເອງພາຍໃນ ແລະທີ່ມາຂອງຂໍ້ມູນທີ່ໃຊ້ຝຶກສອນ

ໃນກໍລະນີຂອງລູກຄ້າໃນອຸດສາຫະກຳການຜະລິດລາຍໜຶ່ງ, ຜົນການສຳຫຼວດພົບວ່າມີເຄື່ອງມື AI ທັງໝົດ 42 ລາຍການທີ່ຖືກໃຊ້ງານໃນ 17 ພະແນກ, ໃນຈຳນວນນັ້ນ 28 ລາຍການແມ່ນພະແນກ IT ບໍ່ຮັບຮູ້. ຍັງມີກໍລະນີທີ່ພະແນກຄວບຄຸມຄຸນນະພາບໄດ້ນຳໃຊ້ AI ກວດສອບຮູບພາບທີ່ພັດທະນາຂຶ້ນເອງໃນຜະລິດຕະພັນທີ່ສົ່ງອອກໄປ EU, ຊຶ່ງສະແດງໃຫ້ເຫັນວ່າຫາກບໍ່ມີການສຳຫຼວດ, ການຈຳແນກຄວາມສ່ຽງຕາມ EU AI Act ກໍ່ຈະບໍ່ສາມາດເລີ່ມຕົ້ນໄດ້ເລີຍ.

ອີງໃສ່ຜົນການສຳຫຼວດສິນຄ້າຄົງຄັງ, ໃຫ້ປະເມີນລະດັບຄວາມສ່ຽງຂອງການນຳໃຊ້ AI ແຕ່ລະອັນ ແລະ ກຳນົດນະໂຍບາຍ AI ພາຍໃນອົງກອນ.

ລາຍການທີ່ຄວນລວມໄວ້ໃນນະໂຍບາຍ AI:

ນະໂຍບາຍບໍ່ຈຳເປັນຕ້ອງສົມບູນແບບ. ວິທີທີ່ໃຊ້ໄດ້ຈິງຄືການເລີ່ມຕົ້ນດ້ວຍການກຳນົດ "ສິ່ງທີ່ຫ້າມເຮັດ" ໃຫ້ຊັດເຈນ ແລ້ວຄ່ອຍໆເພີ່ມລາຍລະອຽດເປັນຂັ້ນຕອນ. ສະບັບທຳອິດພຽງແຕ່ 2〜3 ໜ້າ A4 ທີ່ກະທັດຮັດກໍ່ພຽງພໍແລ້ວ.

ເພື່ອໃຫ້ນະໂຍບາຍມີປະສິດທິຜົນ, ໂຄງສ້າງອົງກອນທີ່ຮັບຜິດຊອບແມ່ນສິ່ງທີ່ຂາດບໍ່ໄດ້. ຂ້າງລຸ່ມນີ້ແມ່ນ 3 ຮູບແບບທີ່ເໝາະສົມຕາມຂະໜາດຂອງວິສາຫະກິດ.

ວິສາຫະກິດຂະໜາດນ້ອຍ (ສູງສຸດ 50 ຄົນ): ຜູ້ຮັບຜິດຊອບດ້ານ IT ທີ່ມີຢູ່ແລ້ວຮັບໜ້າທີ່ AI Governance ເພີ່ມເຕີມ. ທົບທວນການນຳໃຊ້ AI ທຸກເດືອນ.

ວິສາຫະກິດຂະໜາດກາງ (50–500 ຄົນ): ຈັດຕັ້ງຄະນະກຳມະການ AI Governance. ປະກອບດ້ວຍຕົວແທນຈາກພະແນກ IT, ກົດໝາຍ, ແລະ ພະແນກທຸລະກິດ, ທົບທວນນະໂຍບາຍທຸກໄຕຣມາດ.

ວິສາຫະກິດຂະໜາດໃຫຍ່ (500 ຄົນຂຶ້ນໄປ): ແຕ່ງຕັ້ງ AI Governance Officer ທີ່ອຸທິດຕົນ (Chief AI Officer). ຈັດຕັ້ງຄະນະກຳມະການດ້ານຈັນຍາບັນ AI ແລະ ນຳໃຊ້ຂະບວນການອະນຸມັດລ່ວງໜ້າສຳລັບການນຳໃຊ້ ຫຼື ການປ່ຽນແປງ AI ທີ່ມີຄວາມສ່ຽງສູງ.

ສິ່ງທີ່ສຳຄັນທີ່ສຸດໃນການອອກແບບໂຄງສ້າງອົງກອນ ຄື AI Governance ຕ້ອງບໍ່ເປັນຄວາມຮັບຜິດຊອບຂອງພະແນກ IT ພຽງຜ່າຍດຽວ. ຜົນກະທົບຂອງ AI ແຜ່ຂະຫຍາຍໄປຫຼາຍພະແນກ ທັງດ້ານການຕັດສິນໃຈທຸລະກິດ, ກົດໝາຍ, HR, ການຕະຫຼາດ ແລະ ອື່ນໆ. ຖ້າຂາດການສະໜັບສະໜູນຈາກຜູ້ບໍລິຫານລະດັບສູງ, Governance ກໍຈະກາຍເປັນພຽງແຕ່ຮູບແບບທີ່ບໍ່ມີເນື້ອໃນ.

ລະບົບການຄຸ້ມຄອງບໍ່ແມ່ນສ້າງຂຶ້ນມາແລ້ວກໍ່ຈົບ. AI model ຈະມີຄວາມຖືກຕ້ອງຫຼຸດລົງຕາມໄລຍະເວລາ (model drift) ແລະ ສະພາບແວດລ້ອມດ້ານກົດລະບຽບກໍ່ປ່ຽນແປງຢູ່ຕະຫຼອດ.

ອົງປະກອບຂອງການຕິດຕາມຢ່າງຕໍ່ເນື່ອງ:

• ປະສິດທິພາບຂອງ model: ການວັດແທກຕົວຊີ້ວັດຄວາມຖືກຕ້ອງ ແລະ ຄວາມເປັນທຳເປັນໄລຍະ. ແຈ້ງເຕືອນເມື່ອຕ່ຳກວ່າຄ່າທີ່ກຳນົດ
• ຄຸນນະພາບຂໍ້ມູນ: ຕິດຕາມຄວາມແຕກຕ່າງຂອງການກະຈາຍລະຫວ່າງຂໍ້ມູນຝຶກສອນ ແລະ ຂໍ້ມູນໃນການໃຊ້ງານຈິງ
• ການບັນທຶກເຫດການ: ບັນທຶກຂໍ້ບົກພ່ອງ ແລະ ຄຳຮ້ອງທຸກທີ່ກ່ຽວຂ້ອງກັບ AI ແລະ ດຳເນີນການວິເຄາະຫາສາເຫດຕົ້ນຕໍ
• ທ່າອ່ຽງດ້ານກົດລະບຽບ: ຕິດຕາມການອັບເດດຄຳແນະນຳການບັງຄັບໃຊ້ EU AI Act ແລະ ກົດລະບຽບໃໝ່ຂອງແຕ່ລະປະເທດ
• ສະຖານະການປະຕິບັດຕາມພາຍໃນ: ການກວດສອບອັດຕາການປະຕິບັດຕາມນະໂຍບາຍເປັນໄລຍະ, ການແບ່ງປັນກໍລະນີລະເມີດ ແລະ ການແກ້ໄຂ

ໃນການທົບທວນ governance ລາຍໄຕມາດ, ແນະນຳໃຫ້ຕິດຕາມ KPI ດັ່ງຕໍ່ໄປນີ້:

1. ຈຳນວນເຫດການ AI (ທຽບກັບໄຕມາດກ່ອນໜ້າ)
2. ອັດຕາການປະຕິບັດຕາມນະໂຍບາຍ (ຜົນການກວດສອບ)
3. ອັດຕາການເປີດເຜີຍການໃຊ້ງານ AI (ລະດັບການປະຕິບັດຕາມພັນທະດ້ານຄວາມໂປ່ງໃສ)
4. ອັດຕາການຝຶກອົບຮົມພະນັກງານສຳເລັດ

ການນຳໃຊ້ AI Governance ໃນອົງກອນ: ຂຸມພາດທີ່ມັກເກີດຂຶ້ນຈາກປະສົບການຕົວຈິງ.

ການກຳກັບດູແລທີ່ເຄັ່ງຄັດເກີນໄປ ເຮັດໃຫ້ພະນັກງານໃນພາກສະໜາມລັງເລທີ່ຈະໃຊ້ AI ນັ້ນບໍ່ແມ່ນເລື່ອງແປກ. ລູກຄ້າລາຍໜຶ່ງໄດ້ກຳນົດຂັ້ນຕອນການອະນຸມັດ 3 ຂັ້ນຕອນສຳລັບການນຳໃຊ້ເຄື່ອງມື AI ສົ່ງຜົນໃຫ້ການອະນຸມັດໃຊ້ເວລາສະເລ່ຍ 45 ວັນ ແລະ ຫົວໜ້າພະແນກຈຶ່ງຕັດສິນໃຈລະທິ້ງການນຳໃຊ້ AI ໂດຍກ່າວວ່າ "Excel ກໍ່ພຽງພໍແລ້ວ".

ຈຸດປະສົງຂອງການກຳກັບດູແລບໍ່ແມ່ນການຫ້າມໃຊ້ AI ແຕ່ແມ່ນການສົ່ງເສີມການນຳໃຊ້ຄຽງຄູ່ກັບການຈັດການຄວາມສ່ຽງ. ວິທີການ "ອີງໃສ່ຄວາມສ່ຽງ" ທີ່ອະນຸຍາດໃຫ້ໃຊ້ AI ທີ່ມີຄວາມສ່ຽງຕ່ຳ (ເຊັ່ນ: ການແປພາສາ, ການສະຫຼຸບ, ການເຕີມ code ອັດຕະໂນມັດ) ໂດຍບໍ່ຕ້ອງຂໍອະນຸມັດລ່ວງໜ້າ ແລະ ນຳໃຊ້ຂັ້ນຕອນການກວດສອບສະເພາະກັບການນຳໃຊ້ທີ່ມີຄວາມສ່ຽງສູງເທົ່ານັ້ນ ຖືເປັນວິທີການສຳຄັນ.

ຮູບແບບທີ່ສ້າງເອກະສານນະໂຍບາຍ AI ທີ່ດີເລີດ ແຕ່ບໍ່ໄດ້ແຈ້ງໃຫ້ພາຍໃນອົງກອນຮັບຊາບ ແລະ ບໍ່ມີໃຜອ່ານ. ປະສິດທິຜົນຂອງນະໂຍບາຍຂຶ້ນຢູ່ກັບການສຶກສາ ແລະ ການສ້າງກົນໄກ.

• ຢ່າສົມມຸດວ່າທຸກຄົນຈະອ່ານນະໂຍບາຍທັງໝົດ. ໃຫ້ສ້າງ "ຄູ່ມືດ່ວນ" ທີ່ສະກັດສະເພາະສ່ວນທີ່ກ່ຽວຂ້ອງສຳລັບແຕ່ລະພະແນກ
• ໃຫ້ລວມລາຍການກວດສອບນະໂຍບາຍໄວ້ໃນແບບຟອມຂໍໃຊ້ເຄື່ອງມື AI ເພື່ອອອກແບບໃຫ້ຂະບວນການຍື່ນຄຳຮ້ອງຂໍເອງກາຍເປັນ governance
• ແບ່ງປັນກໍລະນີການລະເມີດ (ທີ່ຜ່ານການເຮັດໃຫ້ບໍ່ລະບຸຕົວຕົນແລ້ວ) ຢ່າງສະໝ່ຳສະເໝີ ເພື່ອໃຫ້ເຂົ້າໃຈ "ເປັນຫຍັງຈຶ່ງມີກົດລະບຽບນີ້" ຜ່ານຕົວຢ່າງທີ່ເປັນຮູບປະທຳ

AI ກໍາລັງຢູ່ໃນຈຸດຕັດຂວາງຂອງເຕັກໂນໂລຊີ ແລະ ກົດໝາຍ. ຖ້າທີມເຕັກໂນໂລຊີດຳເນີນການຢ່າງດຽວ ກໍຈະເບິ່ງຂ້າມຄວາມສ່ຽງທາງກົດໝາຍ, ແລະ ຖ້າຝ່າຍກົດໝາຍດຳເນີນການຢ່າງດຽວ ກໍຈະສ້າງກົດລະບຽບທີ່ບໍ່ສາມາດປະຕິບັດໄດ້ຈິງໃນທາງເຕັກໂນໂລຊີ.

ວິທີແກ້ໄຂທີ່ມີປະສິດທິພາບຄື ບົດບາດຂອງ "AI ກໍາລັງ Governance Translator". ນັ້ນຄື ການມີບຸກຄະລາກອນທີ່ເຂົ້າໃຈທັງດ້ານເຕັກໂນໂລຊີ ແລະ ກົດໝາຍ ແລະ ສາມາດອະທິບາຍໃນພາສາຂອງທັງສອງຝ່າຍໄດ້. ຖ້າການມີຜູ້ຮັບຜິດຊອບສະເພາະເປັນເລື່ອງຍາກ, ກໍສາມາດຈັດຕັ້ງ AI Governance Task Force ໂດຍຈັບຄູ່ຜູ້ຕາງໜ້າຈາກຝ່າຍເຕັກໂນໂລຊີ ແລະ ຝ່າຍກົດໝາຍ ຝ່າຍລະ 1 ຄົນ.

ໃນເວລາທີ່ບໍລິສັດຂອງພວກເຮົາດຳເນີນໂຄງການສະໜັບສະໜູນ AI Governance, ພວກເຮົາຈະໃຫ້ 3 ພະແນກ ໄດ້ແກ່ IT, ກົດໝາຍ ແລະ ວາງແຜນການຄຸ້ມຄອງ ເຂົ້າຮ່ວມ Workshop ຄັ້ງທຳອິດສະເໝີ. ຊ່ອງຫວ່າງດ້ານຄວາມເຂົ້າໃຈລະຫວ່າງພະແນກນັ້ນໃຫຍ່ກວ່າທີ່ຄາດໄວ້ຫຼາຍ, ໂດຍສ່ວນຫຼາຍ ຄວາມກັງວົນຂອງຜູ້ບໍລິຫານທີ່ວ່າ "AI ກຳລັງຕັດສິນໃຈດ້ວຍຕົນເອງ" ມັກຈະໄປຄົນລະທາງກັບຄວາມເຂົ້າໃຈຂອງທີມເຕັກໂນໂລຊີທີ່ວ່າ "ຄວບຄຸມດ້ວຍ Rule-based".

ຕໍ່ໄປນີ້ແມ່ນລາຍການກວດສອບທີ່ສະຫຼຸບລວມລາຍການທີ່ຄວນຢືນຢັນໃນເວລາແນະນຳ ແລະ ດຳເນີນງານລະບົບ AI. ໂດຍໄດ້ລວມເອົາຂໍ້ກຳນົດຄວາມສ່ຽງສູງຂອງ EU AI Act ແລະ ການປະຕິບັດທີ່ດີທີ່ສຸດຂອງ NIST AI RMF ເຂົ້າດ້ວຍກັນ.

• ກວດສອບການນຳໃຊ້ລະບົບ AI ແລະ ການຈັດປະເພດຄວາມສ່ຽງຕາມ EU AI Act ແລ້ວບໍ່
• ປະເມີນແຫຼ່ງທີ່ມາ, ໃບອະນຸຍາດ, ແລະ ຄວາມສ່ຽງດ້ານ bias ຂອງຂໍ້ມູນການຝຶກສອນແລ້ວບໍ່
• ລະບຸຜູ້ທີ່ໄດ້ຮັບຜົນກະທົບຈາກການຕັດສິນໃຈຂອງ AI (stakeholder) ແລ້ວບໍ່
• ອອກແບບການກວດສອບໂດຍມະນຸດ (Human-in-the-Loop / Human-on-the-Loop) ແລ້ວບໍ່
• ກຳນົດວິທີການເປີດເຜີຍວ່າເປັນ AI ແລ້ວບໍ່ (chatbot, ເນື້ອຫາທີ່ສ້າງຂຶ້ນ ແລະ ອື່ນໆ)
• ກວດສອບແລ້ວບໍ່ວ່າຈຳເປັນຕ້ອງມີການປະເມີນຜົນກະທົບດ້ານການປົກປ້ອງຂໍ້ມູນ (DPIA) ຫຼືບໍ່
• ກວດສອບນະໂຍບາຍ AI governance ແລະ ການຈັດການຂໍ້ມູນຂອງ vendor ແລ້ວບໍ່

• ວັດແທກຕົວຊີ້ວັດຄວາມຖືກຕ້ອງ ແລະ ຄວາມເປັນທຳຂອງໂມເດລຢ່າງສະໝ່ຳສະເໝີຫຼືບໍ່
• ບັນທຶກ ແລະ ວິເຄາະເຫດການ ແລະ ຄຳຮ້ອງທຸກທີ່ກ່ຽວຂ້ອງກັບ AI ຫຼືບໍ່
• ຕິດຕາມຄຸນນະພາບຂອງຂໍ້ມູນນຳເຂົ້າ ແລະ ການປ່ຽນແປງຂອງການກະຈາຍຂໍ້ມູນຫຼືບໍ່
• ຂະບວນການກວດສອບຜົນລັບ AI ໂດຍມະນຸດເຮັດວຽກໄດ້ຜົນດີຫຼືບໍ່
• ຕິດຕາມການປ່ຽນແປງຂອງສະພາບແວດລ້ອມດ້ານກົດລະບຽບ (ເຊັ່ນ: ການອັບເດດຄຳແນະນຳການບັງຄັບໃຊ້ EU AI Act ເປັນຕົ້ນ) ຫຼືບໍ່
• ຈັດຝຶກອົບຮົມ AI Literacy ສຳລັບພະນັກງານຢ່າງສະໝ່ຳສະເໝີຫຼືບໍ່
• ທົບທວນເງື່ອນໄຂສັນຍາຂອງເຄື່ອງມື AI ຂອງບຸກຄົນທີສາມຢ່າງສະໝ່ຳສະເໝີຫຼືບໍ່

ລາຍການກວດສອບນີ້ບໍ່ແມ່ນສິ່ງທີ່ຄົບຖ້ວນສົມບູນ ແລະ ຈຳເປັນຕ້ອງໄດ້ປັບແຕ່ງໃຫ້ເໝາະສົມຕາມປະເພດອຸດສາຫະກຳ, ຂະໜາດ ແລະ ລະດັບການນຳໃຊ້ AI ຂອງແຕ່ລະອົງກອນ. ສິ່ງທີ່ສຳຄັນກວ່າການມີລາຍການກວດສອບຢູ່ນັ້ນ ຄື ການປູກຝັງນິໄສການທົບທວນຢ່າງສະໝ່ຳສະເໝີໃຫ້ຝັງລຶກຢູ່ໃນອົງກອນ。

ຕອບຄຳຖາມທີ່ຖືກຖາມເລື້ອຍໆກ່ຽວກັບ AI governance.

ມັນເປັນສິ່ງຈຳເປັນ. ແຕ່ວ່າວິທີການນັ້ນແຕກຕ່າງກັນ. ບໍລິສັດທີ່ມີພະນັກງານຕໍ່າກວ່າ 50 ຄົນບໍ່ຈຳເປັນຕ້ອງໄດ້ຮັບການຮັບຮອງ ISO 42001. ຢ່າງໜ້ອຍທີ່ສຸດ ພຽງແຕ່ກຳນົດເປັນກົດລະບຽບ 2 ຂໍ້ຄື: «ມາດຕະຖານຂອງຂໍ້ມູນທີ່ຫ້າມປ້ອນເຂົ້າ AI» ແລະ «ຂັ້ນຕອນການກວດສອບໃນກໍລະນີທີ່ໃຊ້ຜົນລັບຈາກ AI ເປັນການຕັດສິນໃຈຂັ້ນສຸດທ້າຍ» ກໍ່ສາມາດຫຼຸດຜ່ອນຄວາມສ່ຽງໄດ້ຢ່າງຫຼວງຫຼາຍ. EU AI Act ກໍ່ໄດ້ກຽມ​ວິ​ທີ​ການ​ປະ​ຕິ​ບັດ​ຕາມ​ທີ່​ໄດ້​ຮັບ​ການ​ປັບ​ປຸງ​ໃຫ້​ງ່າຍ​ຂຶ້ນ​ສຳ​ລັບ​ວິ​ສາ​ຫະ​ກິດ​ຂະ​ໜາດ​ກາງ​ແລະ​ນ້ອຍ (regulatory sandbox, ເອກະສານແນະນຳ) ໄວ້ດ້ວຍ.

ກ່ອນອື່ນໝົດ, ໃຫ້ກຳນົດຄູ່ມືການນຳໃຊ້ຂຶ້ນມາ. ໂດຍສະເພາະແມ່ນ:

1. ການກຳນົດຂໍ້ມູນທີ່ຫ້າມປ້ອນ: ຂໍ້ມູນສ່ວນຕົວ, ຂໍ້ມູນລັບຂອງລູກຄ້າ, ແລະ ຂໍ້ມູນການບໍລິຫານທີ່ຍັງບໍ່ໄດ້ເປີດເຜີຍ ຫ້າມປ້ອນໂດຍເດັດຂາດ
2. ພັນທະໃນການກວດສອບຜົນລັບ: ເອກະສານ, ໂຄດ, ແລະ ຜົນການວິເຄາະທີ່ AI ສ້າງຂຶ້ນ ຕ້ອງຜ່ານການກວດທານໂດຍຜູ້ຮັບຜິດຊອບກ່ອນນຳໃຊ້ທຸກຄັ້ງ
3. ການກຳນົດເຄື່ອງມືທີ່ອະນຸຍາດ: ອະນຸຍາດໃຫ້ໃຊ້ສະເພາະເຄື່ອງມືທີ່ຝ່າຍ IT ອະນຸມັດເທົ່ານັ້ນ. ຫ້າມໃຊ້ບັນຊີສ່ວນຕົວສຳລັບວຽກງານທຸລະກິດ
4. ການເກັບຮັກສາ Log: ການໂຕ້ຕອບກັບ AI ທີ່ມີຄວາມສຳຄັນທາງທຸລະກິດຕ້ອງໄດ້ຮັບການບັນທຶກໄວ້

ວິທີທີ່ເປັນຈິງທີ່ສຸດໃນການເລີ່ມຕົ້ນ ຄືການສະຫຼຸບສິ່ງເຫຼົ່ານີ້ລົງໃນເຈ້ຍ A4 ໜຶ່ງໜ້າ ແລ້ວເຜີຍແຜ່ໄປທົ່ວທັງອົງກອນ.

ມີການກຳນົດຄ່າປັບໄໝ 3 ລະດັບຕາມປະເພດຂອງການລະເມີດ:

• ການໃຊ້ AI ທີ່ຖືກຫ້າມ: ສູງສຸດ 35 ລ້ານເອີໂຣ ຫຼື 7% ຂອງຍອດຂາຍລາຍປີທົ່ວໂລກ ແລ້ວແຕ່ອັນໃດຈະສູງກວ່າ
• ການລະເມີດພັນທະຂອງ AI ຄວາມສ່ຽງສູງ: ສູງສຸດ 15 ລ້ານເອີໂຣ ຫຼື 3% ຂອງຍອດຂາຍລາຍປີທົ່ວໂລກ
• ການລະເມີດພັນທະການໃຫ້ຂໍ້ມູນ: ສູງສຸດ 7.5 ລ້ານເອີໂຣ ຫຼື 1% ຂອງຍອດຂາຍລາຍປີທົ່ວໂລກ

ສຳລັບວິສາຫະກິດຂະໜາດກາງ ແລະ ຂະໜາດນ້ອຍ (SMEs) ແລະ Startup ຈະໃຊ້ເພດານທີ່ສົມສ່ວນ (ຕ່ຳກວ່າ). ຢ່າງໃດກໍຕາມ ຄ່າປັບໄໝບໍ່ແມ່ນຄວາມສ່ຽງດຽວເທົ່ານັ້ນ. ໃນບາງກໍລະນີ ການຖືກຕັດອອກຈາກຕະຫຼາດ EU, ການສູນເສຍຄວາມໄວ້ວາງໃຈຈາກຄູ່ຄ້າທາງທຸລະກິດ, ແລະ ຄວາມເສຍຫາຍດ້ານຊື່ສຽງ (Reputation Damage) ຈາກການລາຍງານຂ່າວຂອງສື່ມວນຊົນ ອາດສົ່ງຜົນກະທົບຕໍ່ທຸລະກິດຫຼາຍກວ່າ.

AI Governance ບໍ່ແມ່ນ "ສິ່ງທີ່ມີໄວ້ສຳລັບບໍລິສັດໃຫຍ່" ແຕ່ເປັນພື້ນຖານທີ່ຈຳເປັນສຳລັບທຸກອົງກອນທີ່ນຳໃຊ້ AI ໃນການດຳເນີນງານ. ດ້ວຍການບັງຄັບໃຊ້ EU AI Act ຢ່າງເຕັມຮູບແບບ, ຄວາມສ່ຽງຈາກການຂາດ Governance ໄດ້ຖືກກຳນົດໄວ້ຢ່າງຊັດເຈນໃນທາງກົດໝາຍ.

3 ການດຳເນີນການທີ່ສາມາດເລີ່ມຕົ້ນໄດ້ຕັ້ງແຕ່ວັນນີ້:

1. ການສຳຫຼວດ: ລວບລວມ AI Tools ແລະ Services ທັງໝົດທີ່ຖືກນຳໃຊ້ພາຍໃນອົງກອນ
2. Policy ຂັ້ນຕ່ຳ: ບັນທຶກເປັນເອກະສານກ່ຽວກັບ "ຂໍ້ມູນທີ່ຫ້າມປ້ອນເຂົ້າ AI" ແລະ "ຂັ້ນຕອນການກວດສອບ Output ຂອງ AI"
3. ການແຕ່ງຕັ້ງຜູ້ຮັບຜິດຊອບ: ກຳນົດຜູ້ຮັບຜິດຊອບໃນການຂັບເຄື່ອນ AI Governance ຈຳນວນ 1 ທ່ານ (ສາມາດດຳລົງຕຳແໜ່ງຄຽງຄູ່ກັນໄດ້)

ພຽງແຕ່ດຳເນີນການທັງ 3 ຂໍ້ນີ້, ຫຼາຍບໍລິສັດກໍ່ສາມາດກ້າວຍ່າງທຳອິດໃນດ້ານ AI Governance ໄດ້. ບໍ່ຈຳເປັນຕ້ອງມຸ່ງໄປສູ່ລະບົບທີ່ສົມບູນແບບຕັ້ງແຕ່ເລີ່ມຕົ້ນ. ວິທີການເລີ່ມຕົ້ນຈາກສິ່ງນ້ອຍໆ ແລ້ວຄ່ອຍໆຂະຫຍາຍຕາມ Incident ທີ່ເກີດຂຶ້ນ ແລະ ການປ່ຽນແປງຂອງກົດລະບຽບເປັນວິທີທີ່ມີປະສິດທິຜົນທີ່ສຸດພາຍໃຕ້ຊັບພະຍາກອນທີ່ຈຳກັດ.

ບໍລິສັດຂອງພວກເຮົາໃຫ້ການສະໜັບສະໜູນໃນການສ້າງລະບົບ AI Governance ສຳລັບບໍລິສັດໃນໄທ ແລະ ອາຊີຕາເວັນອອກສ່ຽງໃຕ້. ຕັ້ງແຕ່ການສຳຫຼວດ, ການກຳນົດ Policy, ໄປຈົນເຖິງການອອກແບບໂຄງສ້າງອົງກອນ, ຫາກທ່ານສົນໃຈໃນການສ້າງ Roadmap ທີ່ເໝາະສົມກັບສະຖານະການຂອງອົງກອນຕົນເອງ, ກະລຸນາຢ່າລັງເລທີ່ຈະຕິດຕໍ່ປຶກສາຫາລືກັບພວກເຮົາ.