· 险企的AI合规 ·
随
着人工智能技术在保险领域的运用越来越广泛,人工智能管理迅速成为保险机构的必修课程。另一方面,随着人工智能立法的不断完善,法律纠纷时有发生,保险机构需要识别人工智能运用所适用的法律法规要求,并且将人工智能管理纳入风险合规管理的整体框架中,避免违法违规行为给公司造成的危害结果。
一些在华外资保险机构已经开始建立人工智能的合规治理框架,梳理业务活动中使用的人工智能技术,建立制度规范技术运用,在运用科技创新促进发展同时确保安全和合规。本文从保险机构人工智能运用场景出发讨论合规治理,亦期对其他行业公司建立人工智能合规管理体系提供借鉴。
纳入数据合规管理
随着《网络安全法》《数据安全法》及《个人信息保护法》的颁布,商业机构普遍建立了数据合规的治理框架,而人工智能合规管理可以并且通常应该纳入该框架内。人工智能合规管理与数据合规有着紧密的联系,因为人工智能系统的运作往往依赖于大量数据的处理和分析。将前者纳入数据合规中,有助于建立一个统一的合规框架,确保人工智能系统的开发、部署和使用不仅在技术层面上是安全的,而且在法律和伦理层面上也是可接受的。这样的整合有助于提高合规效率,降低法律风险。
对于所有保险机构人工智能运用场景,需运用已经建立的数据合规治理要求,评估人工智能处理数据的合法合规性。评估范畴包括:
数据来源审查,确保人工智能系统处理的数据来源合法,避免使用非法获取或未经授权的数据;
是否遵循数据最小化原则,只收集和存储实现特定目的所必需的数据; 在处理个人数据时,是否已获得数据主体同意,并告知数据的使用目的、范围和处理方式; 数据保护措施是否适当,能够防止数据泄露、损毁或未经授权的访问。
比如,员工在使用ChatGPT时,可能不慎将包含公司机密数据的代码、文档或其他信息复制粘贴到对话中,导致数据泄露。此前,已有公开新闻报导三星电子、亚马逊等公司员工发生此类数据泄露事故。一些公司已经开始采取措施限制员工使用ChatGPT,例如限制上传内容的字节数,或者完全禁止使用ChatGPT。
罗昉宜
安盛天平财产保险
法律合规负责人
这种数据泄露事件本身可能已经违反了数据保护法规,如欧盟的GDPR,因为未经授权的数据传输可能违反了数据最小化和数据安全的原则。如果还涉及客户个人信息,则公司不仅需承担数据泄露造成的商业损失,更可能因为个人信息的泄露招致处罚及声誉风险。
不过,人工智能技术的独特属性及法律法规要求意味着不能全盘照搬现有的数据合规管理,而是需要扩充规则,以确保没有重大疏漏。人工智能合规管理侧重于人工智能系统的决策过程、算法透明度、算法偏见、伦理和社会影响、用户权益保护等方面,需要结合技术特点,如算法复杂性、模型训练数据等,来制定相应的合规策略。
比如,保险机构想引入人工智能技术运用在核保上,就可能存在偏差的风险。人工智能核保系统通常基于历史数据和算法来评估风险和决定是否承保,以及制定保险费率。这些数据和算法当中存在的任何偏差都会被人工智能系统学习并放大,导致不公平的核保决策。
对此,保险机构需采取一系列措施来识别、评估和缓解潜在的偏见和歧视,包括使用多元化的数据集来训练人工智能核保模型,确保数据涵盖不同的地区、性别、年龄、种族和社会经济背景,定期对人工智能核保算法进行审计,以提高人工智能核保决策的透明度,确保决策过程可以解释等。
这些评估和风险缓释措施是原有数据合规管理体系所没有的,而是整合了透明度、可解释性、公平性和无偏见等人工智能特定的合规要求。
场景识别和合规评估
要对保险机构人工智能进行合规管理,首先要能够识别业务活动中存在多少人工智能运用场景。我们通常会从人工智能定义出发,结合实际行业运用场景,梳理并以列表方式制作人工智能运用场景清单。值得一提的是,这将是一个持续的和动态的过程,一方面运用场景会不断更新;另一方面,人工智能的定义以及范围也会随着技术发展、大众认知和立法不断更新。
因此,有必要在公司采购流程、项目管理流程中嵌入人工智能技术运用的识别以及合规尽职调查程序,以确保尽早识别并对人工智能新运用场景进行风险管控。同时,有必要进行定期回顾,发现有无遗漏的人工智能场景,并根据技术和立法的发展重新审视人工智能的技术运用范围。
保险行业的人工智能应用场景十分广泛,目前普遍从以下几个方面进行识别:
客户服务:包括聊天机器人,用于自动回答客户的常见问题,提供24/7的服务;以及语音识别,将客户的语音转换为文本,以便更快地处理索赔和查询;
核保流程:包括自动化风险评估,使用人工智能分析客户数据,快速评估风险并决定是否承保;以及保险欺诈检测,通过人工智能识别潜在的欺诈模式,帮助保险公司减少欺诈损失; 索赔处理:包括自动化索赔审核,通过图像识别技术识别并分析索赔文件,自动识别符合条件的索赔,加快处理速度;以及损失评估,利用图像识别技术评估车辆损坏或其他财产损失; 产品开发:包括需求预测,通过人工智能帮助预测市场趋势和消费者需求,指导新产品的开发;以及个性化推荐,基于客户数据提供个性化的保险产品推荐; 风险管理:包括风险建模,通过人工智能分析大量数据,帮助识别和评估潜在的风险; 合规管理:包括在反洗钱和反欺诈领域运用人工智能检测可疑的交易模式。
针对广泛的运用场景,能够进行风险等级评估,对不同风险的场景进行区别化风险管控,既能抓住重点,又能合理分配资源,是非常有必要的。
在欧盟人工智能法案框架下,上述保险机构人工智能应用场景中不乏一些可能被视为高风险场景,比如自动化核保系统中使用敏感特征(如性别、种族、健康状况)来评估风险,并且这些特征可能导致不公平的决策;又如,服务客户的聊天机器人被用于提供敏感的金融建议或处理敏感的个人数据,而没有适当的人类监督或透明度;以及,在运用生物特征识别(如人脸或语音识别)时可能涉及隐私侵犯和生物特征数据的滥用风险。
此外,《生成式人工智能服务管理暂行办法》对生成式人工智能服务提供者有特别的安全评估要求,并需进行算法备案,因此也建议将此类场景作为高风险场景进行管理。
为应对这些高风险场景,保险机构需要确保其人工智能系统在设计和实施层面保持安全、可靠和合规。建议采取的管控措施包括:(1)采取更高频率的风险评估以识别潜在的风险和漏洞;(2)采取严格的数据保护措施,包括加密、访问控制和匿名化;(3)定期审计人工智能算法,以防止偏见和歧视;(4)进行伦理审查,确保人工智能系统的设计和应用符合伦理标准;(5)在高风险决策中保留人类监督的角色,以便在必要时进行干预;(6)制定和实施风险管理计划,以应对潜在的系统故障或安全事件。
挑战和未来方向
正如大家普遍认识到人工智能技术运用是时代趋势一样,对于人工智能的合规管理也势在必行。数据合规是实现这一点的基础,因为人工智能系统的有效性取决于数据的质量和可用性。针对更加复杂的数据来源和更大量的数据处理,保险机构需要建立更强大的数据治理框架,以确保数据的质量、安全和合规性。
同时,人工智能系统的设计和实施可能非常复杂,除了技术问题,还涉及到业务、法律和伦理等诸多方面,因此,跨部门合作和沟通将是未来发展的关键。
随着监管环境的变化,保险机构需要始终确保其人工智能应用符合新的技术标准和法规要求,持续识别业务活动中的人工智能运用场景,并有针对性地开展合规管理,以更有效地确保机构的合法合规性。
往期精选
长按扫码关注我们
为了让您第一时间获取专业法律资源
请常点“在看”
并将“CBLJ 商法”设为星标
阅读原文,查看更多商法专题的相关内容
