用AI識別內部人威脅面臨的道德規范
責編:gltian |2018-09-03 15:19:29還記得湯姆·克魯斯的《少數派報告》嗎?人工智能可識別昭示未來風險的員工行為。該如何有效且有道德地使用這一數據呢?
為保護公司網絡不受惡意軟件、數據滲漏和其他威脅的侵害,安全部門設置了多套系統以監視電子郵件流量、URL和雇員行為。運用人工智能(AI)和機器學習(ML),這些監視數據也能用于預測,看員工是否計劃盜取數據、欺瞞公司、參與內部人交易、性騷擾其他員工等。
隨著AI越來越強大,公司企業需作出道德上的判斷,確定如何使用該新能力監視員工,尤其要確認該注意哪些行為,以及確定何種干預才是恰當的。信息安全團隊將奮戰在AI運用第一線。
事實上,某些有關員工行為的預測現在就可行了。比如在員工提交離職申請之前就預判其辭職意圖,已經是相當容易做到的事。某財富500強公司在10年前就開始做員工離職意圖預測,可靠性相當高。
我們來舉個例子,即將離開公司的雇員會向其私人郵箱發送更多帶附件的電子郵件。安全團隊需對此多加關注,因為有意離職的員工可能想要在離開時帶走一些敏感信息,會試圖在向經理透露離職計劃前早點兒下載好所需一切。
這種安全上的顧慮并非空穴來風,而員工也早就知曉公司的工作郵箱監控政策。大多數情況下,如果公司知道某員工打算離職,會將其放入高風險用戶列表中加以更加嚴格的管控。
信息安全人員不會向該雇員的經理透露其離職意圖。但如果該雇員在偷取公司信息,情況就不同了,安全團隊會向經理發出警報,并與涉事員工商談此事。
什么情況下可以讀取雇員電子郵件?
大多數公司都會告知員工他們的電子郵件通信和互聯網使用情況處在公司監視之下。很少有公司會密切關注員工的個人通信。即便使用AI和ML發現網絡威脅,也不會去讀取員工的電子郵件內容。
比如說,公司企業可以從員工的日常行為中判斷出某人是否在找尋其他工作機會,但這種判斷未必準確,因為員工可能得不到另謀高就的機會,或者拒絕其他公司的聘請。
數據科學家如今對人的理解比以前更加完備了。如果有人懷疑自己可能得了癌癥,他們或許會上網查找相關信息,監視搜索動作就有可能在他們證實自己的病情之前就了解到這事兒。
還有的公司想要預測更多,比如員工是否吸毒、是否招妓、是否有辦公室戀情等等。
對員工行為監視太緊的風險之一,是可能會傷害到員工士氣。員工確實或顯式或隱式地同意被監視。監視是合法的,沒有問題,他們簽署了這項權利。但沒人會去讀取他們的郵件內容,公司也一直在提醒員工他們的郵箱是被監視的。
在某些領域,比如金融服務業,雇員會定期收到自己的通信處于監視之下的提醒。絕大多數工作場所都會反復提醒員工這一點。
不僅僅是電子郵件和瀏覽歷史會饋送給AI系統。將同樣的智能和分析工具應用到從其他源收集來的雇員軟性數據上并不是太難。這些軟性數據包括與其他雇員的互動、從安全攝像頭和大樓訪問控制系統中抽取的信息等等。
什么時候針對預測采取行動?
一旦公司收集并分析了數據,形成了有關某些潛在危險行為的預測,可以采取一些相應的措施加以應對,輕至忽略預測,重至開除員工。
一些情況下,公司企業不應越過法律界限,比如懷孕就是一種受保護的狀態,因為員工搜索生育相關的公司就炒掉員工,是不可取的行為。
其他情況則更多屬于灰色地帶。比如,某員工計劃滲漏敏感數據,或者在公司服務器上安裝未經允許的加密貨幣挖礦軟件。這種情況會引起安全團隊的注意。是否需要干預取決于他們會不會帶來傷害。直接炒掉,或者報告他們的經理,可能會令他們背上污名。
處理潛在有害行為的一種方法,是查看其是否是更嚴重問題的表征。如果有員工計劃在公司服務器上安裝加密貨幣軟件,或許想這么干的人不止被發現的那幾個。
這種情況下,公司可以考慮采取更為廣泛的響應。比如在全公司范圍內設置網絡限速,這樣就不會凸顯出被預測想裝挖礦軟件的那些員工,他們不會因為尚未實施的罪行而受到懲罰。
類似的,如果某雇員想要離開公司,可能別的雇員也有想走的意愿,只是表現得沒那么明顯。可以對他們采取些有用的措施,比如正向干預,避免影響到他們的名譽和工作。
有時候會很難下決定。比如性騷擾,即便有相當程度的預測準確性,在“我也被騷擾”時代,揭示該預測結果肯定會對公司產生影響。這是個在道德上比較兩難的領域。
介入并懲罰“未來的”騷擾者,或者調離即將被騷擾的目標對象,可能會影響到公司。應與專精此類非共識性關系的社會科學家合作,找出既不因未發生的事懲罰某人,又切實消除可導致性騷擾發生的其他因素的介入方式。
洛杉磯郡人力資源部現在就很關心這個問題。洛杉磯郡有11.1萬名雇員,目前正在更新有關人際關系的策略和規程以防止雇員遭到傷害。
無論政府部門還是私營產業,洛杉磯郡在平等問題上一直都是急先鋒,推動了很多數字化轉型項目,還將AI用到了HR調查中。
過程自動化和行為模式分析也是洛杉磯郡想要部署的技術。但目的不是個人化跟蹤和分析,這有違道德準線和法律準繩。技術不是用來預測個人行為的。
相反,引入AI、自動化和行為分析等技術,是要找出特定行為模式的貢獻因素,找到行為集群,創建訓練策略和干預方法,強化良性行為并最少化惡性行為。
洛杉磯郡使用OpenText的技術跟蹤人們的桌面電腦和電子郵件使用情況,在趨勢形成過程中看清趨勢本身,也就是在事發前主動作為,而不是事發后亡羊補牢。
但也有些情況是可以立即采取個人干預的,那就是在網絡安全領域。如果員工的行事方式昭示著潛在安全問題,那么與該員工或其經理談話就是比較合適的處理方式。可以問問是否有什么業務上的原因讓他們這么做,或者是不是有什么不太好的事情發生。
如果某員工在用另一個人的電腦,從非常規地點登錄,并試圖導出大量數據,這有可能是良性的,也有可能是安全問題的指征。這種判斷與用AI和ML做確定性判定不一樣。當前的AI和ML還做不到動機判斷。
比較合適的起點就是假設這些行為是中性的。這是與既當法官又當陪審團的《少數派報告》的最主要差異。
尋求隱私專家的幫助
3年前,美國第三大健康保險公司Aetna開始尋找更好的身份驗證技術。
為輔助身份驗證,Aetna廣泛收集客戶和員工的行為數據。技術可以捕獲行為信息,但某些屬性并非良性,可破壞個人隱私。
這些行為信息,若加上機器學習分析,可令公司企業深入了解個人。或許了解到超出法律允許范圍的程度。為避免出現類似《少數派報告》中的情況,Aetna對所收集信息的類型和使用方法都做了限制。
首先,該公司引入一些專家,秉承公司核心價值來確定應該收集和不應當收集的數據點。首席隱私官及其團隊都被納入進來,幫公司挑出那些不會引發隱私問題的數據點。最終有20-25%本可以捕獲的屬性被剔除了。
例如,消費者和雇員的瀏覽器歷史信息就是可以收集而未被納入的一類。
其次,移動App之類收集的行為信息經處理,以便留下每位用戶的行為模式,而要評估的新行為模式,則從不暴露。只要這些信息有丁點兒暴露,就毫無隱私敏感性可言了。這就是一堆數字和公式。比如,地理定位的使用就很謹慎,只用于做對比,從不存儲。
即便黑客深入風險引擎系統,能夠解碼公式,這些公式也是隨時在變的。公司價值有助確定實際控制措施的設計。Aetna設計了可接受算法公式而非實際屬性和特征的風險引擎。
有關AI在員工行為預測中的用法,任何公司的策略都應把公司價值和透明性,還有人的判斷,放在核心位置。AI應被看作是有指導的學習系統,由人做出最終決策。基于透明性和價值統一建立起道德策略,并通過保留人在預測過程中的位置來實施該策略。
使用行為數據有哪些法律問題?
使用AI預測并阻止危險雇員行為的公司企業,需做好保護雇員、客戶及公司本身,與維護雇員人權之間的平衡。有跡象表明美國法律可能朝著嚴加保護個人隱私的方向發展,包括雇員的個人隱私。
另外,AI技術本身也可能并不準確,或者說,不公平。舉個例子,如果測試發現從臺位上站起次數越多就越有可能是騷擾者,而一部分女性因為懷孕或擠奶而不得不頻繁站起,那測試對懷孕女性就不公平了。如果測試可靠、有效、無偏頗,雇主就可以像使用其他性格測試或任意可觀方法一樣,用該測試來針對所標出的人了。
關鍵就在于規則應用的一致性。如果雇主想要基于AI學到的東西(比如AI標記不恰當網上言論)采取行動,就得確定出能觸發行動的閾值,然后確保在以后的案例中一直照此執行。
所采取的動作也需恰當可行。比如說,如果有人告訴HR某同事利用病假去旅行,恰當的響應應該是去調查,即便尚無任何確切證據指征不當行為。紀律處分應在調查之后進行。
雇主是不是通過AI系統獲知潛在不當行為倒是無關緊要。關鍵在于處理過程中的風險和一致性。
如果AI預測準確,而公司沒能做出保護員工的舉動,那就有可能導致法律責任了。比如說,如果公司知道或應該知道有員工會性騷擾其他員工或對同事做出不當舉動,那公司可能面臨“留任失當”的起訴。雖然這些起訴通常五花八門難以證明,當涉及監視雇員社交媒體使用和在線發帖情況的時候,雇主就已經某種程度上面臨這種問題了。
公司企業應謹慎選擇用AI監視雇員以預測潛在不當行為,除非工作場所AI使用方面的法律更加明確,且AI系統被證明是可靠的。否則,公司或許要為依賴有可能影響到部分人群的系統而擔責。