(Окончание, начало см. http://rusrim.blogspot.com/2026/05/1_7.html )
Прозрачность зависит от документирования
Отчёт Счётной палаты представляет похожую картину при обсуждении прозрачности, формулируя проблему как неосведомлённость общественности о том, как организации используют свои данные. Такая формулировка предполагает проблему информационного обмена, но на самом деле это проблема документирования.
Невозможно объяснить то, что нельзя реконструировать.
Прозрачность опирается на документы, которые захватывают использованные данные, сведения о применённых видах обработки, использованную логику и принятые решения. Это не какие-то опциональные артефакты; данные сведения являются основой объяснимости.
Если такие документы отсутствуют или неполны, то прозрачность становится скорее показной, чем реальной, поскольку организациям приходится описывать процессы, которые они не могут в полной мере продемонстрировать.
Проблема отделения чувствительных данных
В отчете сложность отделения чувствительных данных после их включения в системы рассматривается как техническое ограничение, которое трудно преодолеть.
С точки зрения управления документами и информацией, те системы, которые не поддерживают структурированные взаимосвязи между элементами данных, их происхождением и преобразованиями, - приводят к этому предсказуемому результату.
Если не заложить эти взаимосвязи в систему как часть её документационного слоя, то будет потеряна возможность отделять, интерпретировать и/или контролировать данные и управлять ими во времени.
Восстановить отделение «задним числом» невозможно. Его необходимо запроектировать на этапе создания и сбора данных, и эта архитектура основывается на выработанные в течение десятилетий принципах управления документами.
Оценки воздействия на защиту ПДн и иллюзия контроля
Обсуждение в отчёте Счётной палаты оценок воздействия ИИ на защиту ПДн столь же показательно, поскольку оно высвечивает непоследовательность в том, как федеральные органы исполнительной власти документируют и оценивают риски.
По своей сути, оценка воздействия на защиту ПДн документирует обоснование риска. В её рамках следует документировать выявленные риски, сделанные предположения, принятые компромиссы и реализованные меры по смягчению риска.
Когда эти оценки непоследовательны, то это не только процедурная проблема, а также и отражение неспособность стандартизировать создание документов, относящихся к стратегическому управлению.
В отсутствие таких документов организации не имеют возможности сравнивать решения в различных системах, эффективно проводить их аудит и накапливать институциональные знания о том, что работает, а что нет.
Как результат, возникает видимость контроля, при этом отсутствуют доказательства, необходимые для поддержки реального контроля и управления.
Одних лишь руководств недостаточно
Счётная палата рекомендует разработать дополнительные руководства, улучшить координацию и обеспечить более структурированный обмен информацией, - и это разумные шаги в рамках её полномочий.
Ограничение заключается в том, что руководства функционируют на уровне политики, в то время как проблема существует на уровне доказательств.
Можно выпустить всесторонние и хорошо разработанные руководства и рекомендации, и всё равно потерпеть неудачу, если сами системы не производят документы, которые необходимы для демонстрации исполнения законодательно-нормативных требований и для поддержки подотчётности.
В отсутствие фундамента в виде архитектуры доказательств, руководства приводят к принятию в больших масштабах недокументированных решений, что со временем скорее увеличивает, чем уменьшает риски.
Недостающий слой: эпиданные стратегического управления
Чего не хватает - и на что косвенно указывает отчёт Счётной палаты, не говоря это прямо – так это слоя структурированной документации, которая фиксирует не только то, что делают системы, но и как и почему они это делают.
Именно здесь становится полезным понятие эпиданных стратегического управления (governance epidata), поскольку оно фокусирует внимание на документировании обоснований решений, а не только их результатов.
Мой комментарий: В другом своём посте (см. https://steffclarke.substack.com/p/beyond-metadata-why-epidata-is-the ) Эндрю Поттер следующим образом объясняет понятие «эпиданные»:
«Необходимым эволюционным скачком является понятие «эпиданных» (epidata). Термин «эпиданные», образованный с помощью греческого префикса «epi» (ἐπί), означающего «на» или «над», означает не просто дополнительные метаданные; это модель абстракции более высокого уровня, которая предназначена для управления информацией как целостным, единым и стратегическим бизнес-активом, переносимым между системами и, что особенно важно, между контекстами.
… Эпиданные определяется как динамический, активный и целостный уровень абстракции, располагающийся над разрозненными хранилищами данных и платформами организации. Это не новая база данных и не отдельный продукт, - а новая модель для описания, установления связей и для стратегического управления информацией как стратегическим активом.
Это «семантический слой», обеспечивающий «единообразное понимание» информации. Его задача заключается в том, чтобы сделать информацию переносимой не только между системами (интероперабельность), но и между контекстами и сценариями использования. Он состоит из трёх интегрированных компонентов:
- Компонент 1: Семантическая схема (онтология, метамоделирование и моделирование сущностей)
- Компонент 2: Механизм взаимосвязей (графы знаний)
- Компонент 3: Контекстная оболочка (эпистемология, происхождение и многосущностные модели)»
Сюда входит документирование рассмотренных доказательств, оцененных альтернатив, выявленных неопределённостей, а также принятых или отклонённых рисков.
Это элементы, которые обеспечивают возможность понимать, оспаривать и совершенствовать решения с течением времени, и без них подотчётность остаётся неполной.
Хорошо знакомая проблема
Существует тенденция рассматривать ИИ как принципиально новую проблему для стратегического управления. Тем не менее, с точки зрения управления документами и информатики, мы, по-видимому, а данном случае имеем дело с «обострением» давно известной проблемы.
Организации всегда генерировали больше знаний, чем они могли захватить, организовать и передать, - и управление документами как раз и существует для преодоления этого дисбаланса.
Что ИИ изменяет, так это масштабы, скорость и непрозрачность принятия решений, делая отсутствие надежной доказательной инфраструктуры гораздо более заметным и приводящим к более существенным последствиям.
В этом плане отчет Счётной палаты читается не столько как описание новой проблемы, сколько как отражение современного состояния старой проблемы.
Реальное решение
Если воспринимать отчёт Счётной палаты серьёзно, то путь вперед - это не просто улучшенная политика защита персональных данных или более детальные руководства и рекомендации.
Это требует интеграции документо-ориентированного мышления непосредственно в процесс проектирования систем ИИ, чтобы в этих системах производство доказательств выполнялось в качестве основной функции, а не было каким-то «довеском».
Организации должны захватывать сведения о происхождении и трансформациях данных в виде документов; стандартизировать способы документирования обоснований рисков; внедрять механизмы контроля и управления жизненным циклом и использованием в архитектуру данных и относиться к документации как к инфраструктуре, а не как к дополнительному бремени, связанному с исполнением законодательно-нормативных требований.
Это не постепенные изменения, а сдвиг в том, как организации думают о системах – переход от представления о системах как о производящих результаты инструментах, к представлению о системах, которые производят доказательства.
Заключительные мысли
В отчёте Счётной палаты правильно определены риски и точно указаны пробелы, но он не смог ухватить суть описываемой в нём проблемы.
Проблема заключается не просто в отсутствии достаточных правил и руководств, а в отсутствии документов, необходимых для того, чтобы эти правила были осмысленными и исполнимыми.
Пока это не изменится, стратегическое управление ИИ будет продолжит опираться на системы, которые функционируют, не обладая при этом способностью в полной мере объяснить свои действия, что является весьма хрупкой основой для подотчетности в любой области.
Эндрю Поттер (Andrew Potter)
Источник: сайт Substack
https://metaarchivist.substack.com/p/gao-diagnoses-ai-privacy-risk-it
Комментариев нет:
Отправить комментарий