算法審計方法論
2024-11-06 00:00:00鄭石橋
財會月刊·上半月 2024年11期
【摘要】本文從方法論的角度聚焦算法審計方法, 以經典審計理論為基礎, 提出算法審計方法的一個理論框架, 主要闡釋以下問題: 算法審計組織方式、 算法審計取證模式、 算法審計取證方法體系、 算法審計基本原則、 算法審計標準、 算法審計準則。
【關鍵詞】算法審計;審計組織方式;審計取證模式;審計取證方法體系;審計基本原則;審計標準;審計準則
【中圖分類號】 F239.44 【文獻標識碼】A 【文章編號】1004-0994(2024)21-0071-6
一、 引言
人工智能的發展對于提升技術水平、 推動經濟發展、 解決社會問題、 提升生產力和生產效率、 改善醫療和健康狀況、 優化智能交通和城市管理等具有重要的作用。算法作為人工智能的核心, 不僅是解決復雜問題的有效工具, 也是提高效率、 優化資源配置的關鍵手段。然而, 算法也可能帶來一些負面問題, 例如, 涉及隱私侵犯和數據安全風險, 放大社會偏見, 導致不公平的決策結果, 并在倫理和道德層面提出挑戰。為了應對這些負面問題, 需要政府、 企業、 研究機構和公眾共同努力, 建構算法治理體系, 算法審計以審計固有功能在算法治理中發揮作用。
算法審計要發揮作用, 必須建構科學的算法審計制度, 而制度自信的基礎是理論自信, 正確地認識算法審計的各個基礎性問題, 是科學地建構算法審計制度的基礎。在算法審計諸多基礎性問題中, 本文從方法論的角度聚焦算法審計方法, 即算法審計怎么審計。現有文獻已經涉及算法審計方法的多個方面, 但呈現出碎片化特征, 關于算法審計方法尚缺乏一個系統化的理論框架。本文以經典審計理論為基礎, 從方法論的角度提出算法審計方法的一個理論框架, 以深化對算法審計方法的認知, 并為完善算法審計方法相關制度提供理論參考。
二、 文獻綜述
算法審計方法的核心問題是如何審計, 現有文獻涉及算法審計方法的多個方面, 包括審計取證技術、 審計組織方式、 審計基本原則、 審計流程、 審計標準和審計準則。
關于算法審計取證技術, 多數文獻的共識是既有審計的大部分方法都可以用于算法審計, 但是, 算法審計還有自己獨特的方法, 主要包括: 代碼審計、 抓取審計、 馬甲審計、 協作式審計和非侵入式審計(張欣和宋雨鑫,2022;張永忠和張寶山,2022;劉建業,2023;王玉鳳,2023; 陳雄燊,2023)。此外, 王兆毓(2023)將算法審計方法分為書面合規審計和技術合規審計, 前者是通過被審計單位的需求設計、 訓練日志和驗證結果等書面材料對算法合規要求的滿足程度進行定性分析, 后者是根據算法在特定環境中使用時表現的數據、 性能、 狀態等, 通過技術手段評估算法的合規性, 通常表現為通過定量分析手段得到定量或定性的結果。
關于算法審計組織方式, 張超(2021)將算法審計分為依托平臺的算法審計路徑和依托用戶的算法審計路徑。沈艷(2022)提出, 在算法審計路徑方面有兩種思路, 一種重視算法代碼透明化, 另一種重視對輸入輸出和結果的評估。Khoa Lam等(2023)將算法審計思路分為直接評估和間接驗證。張欣和宋雨鑫(2022)對算法審計做了兩種分類: 一是區分為強制算法審計與自愿算法審計; 二是區分為依托平臺的算法審計路徑與依托用戶的算法審計路徑。劉建業(2023)認為, 算法審計無法被現有審計類型所涵蓋, 應當在未來的制度審計中將算法審計確立為獨立審計類型。王玉鳳(2023)提出, 算法審計可選擇的審計模式有三種: 一是將模型算法審計嵌入信息系統審計; 二是將模型算法審計嵌入政策跟蹤審計、 經濟責任審計等傳統審計項目; 三是將模型算法審計作為專項審計項目進行單獨立項。
關于算法審計基本原則, 張超(2021)提出了針對資訊類推薦算法的算法審計四項原則: 公共利益原則、 介入無害原則、 最小必要原則和情境理解原則。王玉鳳(2023)認為, 模型算法審計作為特殊的審計類型, 除了遵循獨立性、 客觀公正性、 依法審計等一般性原則, 還要遵循分類審計、 全鏈條審計、 持續審計三項特定原則。陳雄燊(2023)提出, 算法審計實操中要遵循分級分類原則、 自愿性與強制性原則以及全鏈條持續性審計原則。
關于算法審計流程, Raji等(2020)提出了算法審計的五個階段: 范圍界定、 映射、 證據收集、 測試和反思。Beckstrom(2022)將算法審計分為七個階段: 業務理解、 數據理解、 數據準備、 建模和開發、 部署前模型評估、 部署和伴隨的管理流程變更、 模型運行和生產績效。張萌和楊家明(2023)認為, 面向過程的日常算法審計模型聚焦于四個階段: 啟動審計; 觀察算法行為; 對觀察到的算法行為進行假設, 并測試一個算法系統; 進行某種形式的補救。Khoa Lam等(2023)將算法審計流程分為四個步驟, 即確定目標范圍、 收集和驗證證據、 公布審計報告、 認證; 其還提出, 算法系統的認證審計應具有標準化的審計流程和質量控制程序。陳雄燊(2023)將算法審計的實施程序分為五個階段: 審計計劃、 審計準備、 審計實施、 審計報告、 后續跟蹤。Abeba Birhane等(2024)將算法審計分為四個階段: 危害發現、 標準識別、 績效分析、 審計溝通與宣傳。
關于算法審計標準, 蘇宇(2020)發現, 國內外實務界正在由政府、 行業或企業推動形成一些初步的算法標準, 這些算法標準主要可以分為技術基礎型標準和表現基礎型標準, 二者皆有待深入發展。張永忠和張寶山(2022)提出, 有必要根據基本要求設置一定的標準, 這既可為算法主體設計、 算法訓練和營運提供指引, 也可為審計師進行算法審計提供參照系。王玉鳳(2023)提出, 開展模型算法審計必須依據模型算法治理的法律法規和監管標準規范, 我國關于模型算法的要求分散在《個人信息保護法》等法律法規中, 很多國家均出臺了模型算法專門的立法。陳雄燊(2023)提出: 一方面, 算法審計應當處于尊重性、 安全性等算法倫理準則的指導下; 另一方面, 法律法規作為底線, 也應被納入審計依據之中。
關于算法審計準則, Verhulst(2022)提出, 只要圍繞“審計”一詞的現有歧義存在, 算法審計準則就難以建立。英國數字監管合作論壇認為, 算法審計準則將在算法系統審計中發揮重要作用(DRCF,2022)。付冉冉(2023)提出, 算法審計不屬于傳統的審計范圍, 與傳統財務審計相比, 其在審計屬性上也有較大不同, 需要制定新的審計標準, 在法律層面, 立法者可建立適用于大部分領域的算法審計原則和規則, 在行政規章、 準則中制定各領域的算法審計規范。Khoa Lam等(2023)認為, 為遵守、 保證規范性要求而進行的算法系統審計目前缺乏明確的規范和標準化做法。
上述文獻表明, 現有文獻已經涉及算法審計方法的多個方面, 但每個方面的討論都是碎片化的, 缺乏深度, 整體來說, 對于算法審計方法的研究還處于起步階段, 算法審計方法尚缺乏一個系統化的理論框架。
三、 理論框架
本文的目的是以經典審計理論為基礎, 從方法論的角度提出算法審計方法的一個理論框架。為此, 需要闡釋以下問題: 算法審計組織方式、 算法審計取證模式、 算法審計取證方法體系、 算法審計基本原則、 算法審計標準、 算法審計準則。
1. 算法審計組織方式。前面的文獻綜述表明, 算法審計有兩種組織方式, 一是單獨審計模式, 二是融合審計模式, 這兩種組織方式各有利弊, 適用于不同的情形。
單獨審計模式是將算法審計作為獨立的審計項目來開展, 這種組織模式的優點在于: 第一, 由于算法審計最重要的審計主題是算法系統, 其可以分為輸入數據、 算法設計和算法影響三類審計標的, 根據經典審計理論, 審計活動是圍繞審計標的來制訂和實施審計方案的, 對于不同的審計標的, 審計風險可能存在差別, 因此, 審計程序的性質、 范圍和時間可能不同(鄭石橋,2021), 輸入數據、 算法設計和算法影響這些審計標的與既有審計項目的審計標的不同, 有其獨特的審計程序, 單獨審計模式可以制訂更具有針對性的審計方案, 獲取更有證明力的審計證據, 進而更能有效地發現算法系統中存在的問題, 為算法審計直接目標和終極目標的實現奠定更為堅實的基礎。第二, 由于算法審計具有一些獨特的審計程序, 單獨審計模式便于建構具有專業勝任能力的審計團隊, 真正做到審算法懂算法, 為高質量算法審計奠定基礎。但是, 單獨審計模式也有弊端: 一是審計客體要單獨配合算法審計, 而算法審計之外的其他審計也需要審計客體的配合, 因此, 整體來說, 會增加審計客體的配合成本; 二是如果審計客體的主要財務活動和業務活動都使用了人工智能, 那么算法審計事實上成為針對該審計客體的核心審計內容, 若與其他審計不能同步, 則可能影響對該審計客體的整體審計效果。
融合審計模式是將算法審計與其他類型的審計業務融于一體, 具體又有兩種融合方式。一是將算法審計融于信息系統審計。這種融合事實上是在單獨開展信息系統審計時, 將信息系統中的算法也作為其審計內容。本文認為, 這種融合并不是真正意義上的融合, 信息系統審計本身就應該包括算法審計, 如果信息系統發展到人工智能階段, 則信息系統審計也就成為人工智能審計, 當然應該將算法作為人工智能審計的重要內容, 因此這種融合的實質還是單獨審計模式。二是真正意義上的融合審計模式, 即將算法審計與財務審計、 合規審計、 績效審計和制度審計等經典的基本審計業務融合起來(鄭石橋,2021), 在開展這些審計業務時, 同步開展相關的算法審計。對于算法審計結果, 可以單獨形成審計報告, 此時就是“一審多果”, 也可以將算法審計結果與其他方面的審計結果在同一個審計報告中描述。整合審計模式的優點是: 如果審計客體的財務活動和業務活動大量依賴人工智能, 那么在審計內容中將算法作為重要內容, 能夠對審計客體經管責任履行情況形成一個具有整體性且更為可靠的審計結果; 同時, 由于算法審計與其他方面的內容同步實施, 審計客體不需要多次配合審計工作, 不會增加其配合成本。當然, 融合審計模式也有其弊端, 主要是不利于建構具有算法審計專業勝任能力的審計團隊, 也不利于制定具有針對性的算法審計準則。
正是由于單獨審計模式和融合審計模式各有利弊, 本文建議: 當算法風險較高、 算法相對人對算法負面問題關注度較高時, 適宜采用單獨審計模式, 由專門的算法審計機構對算法形成專門的審計結論, 并向算法相對人公開; 其他情形下, 則可以采用融合審計模式, 僅將算法作為各類審計業務的審計內容組成部分, 不一定要單獨報告算法審計結果。
2. 算法審計取證模式。根據經典審計理論, 審計取證模式可以從不同的角度分類。從確定審計重點的方式來看, 審計取證模式區分為賬項基礎審計、 制度基礎審計和風險導向審計; 從審計結果定位來看, 審計取證模式區分為事實發現型取證模式和命題論證型取證模式(鄭石橋,2021)。對于算法審計取證來說, 同樣需要確定審計重點和選擇審計結果定位, 故也存在上述取證模式的選擇。
賬項基礎審計沒有明確的確定審計重點的方法, 主要依靠審計人員的經驗來確定審計重點, 通常要采取詳細審計的方式, 在算法審計中, 這種取證模式是否有價值呢?算法審計最重要的審計主題是算法系統, 可以分為輸入數據、 算法設計和算法影響三類審計標的, 對于這些審計標的, 憑經驗的詳查式審計取證思路是有一定價值的, 但是審計效率可能較低, 審計效果也不一定好。所以, 從提高審計效率和保障審計效果角度來說, 較為適宜的方法還是風險導向審計, 即通過一定的方法來評估潛在的風險。不同審計標的的風險不同: 輸入數據的風險是數據虛假、 數據偏見或不合法等; 算法設計的風險是漏洞、 無效率或不合法等; 算法影響的風險是偏見或不合法等。在識別和分析風險的基礎上, 將高風險領域作為審計重點。至于制度基礎審計, 可以將制度缺陷作為風險的一種影響因素, 因此也可以包含在風險導向審計中。整體來說, 算法審計的各類審計標的都適宜采用風險導向審計, 在難以評估風險時, 可采用賬項基礎審計。
根據經典審計理論, 事實發現型取證模式的審計結果定位是發現審計總體中存在的問題(鄭石橋,2021), 對于算法審計來說, 就是發現輸入數據、 算法設計和算法影響中存在的問題, 這些問題是算法審計所發現的“事實”, 其實質是算法系統的缺陷, 通過發現這些問題, 推動整改, 算法責任主體的算法責任履行情況越來越好, 其實質是算法系統越來越向善, 這種取證模式對于推動算法向善是有價值的。但是, 其缺陷是無法對審計總體形成整體性結論, 即無法對算法系統及其分解形成的輸入數據、 算法設計和算法影響各自形成整體性結論, 若利益相關者需要整體性結論, 則事實發現型取證模式難以實現。
根據經典審計理論, 命題論證型取證模式將審計直接目標作為要證明的總命題, 首先是將總命題分解為具體命題, 并落實到審計標的(與此同時,審計主題也要分解為審計標的)上, 每個審計標的與每個具體審計命題組合形成一個審計事項, 所有的審計標的與所有的具體審計命題的組合形成審計事項清單。在此基礎上, 進行命題證明, 也就是對審計事項進行風險評估, 并根據風險評估結果制訂審計方案, 為所有的審計事項獲得審計證據, 形成每個審計事項的審計發現, 根據這些審計發現, 形成審計標的和審計主題的審計結論(鄭石橋,2021)。算法審計的命題論證型取證模式也由命題分解和命題證明兩個邏輯步驟組成。從命題分解來說, 算法審計的直接目標是健全性, 需要分解為具體審計目標, 不同審計標的的具體目標不同, 算法審計的審計主題是算法系統, 需要分解為輸入數據、 算法設計和算法影響等審計標的, 同時, 將具體目標與審計標的匹配組合以形成算法審計事項清單。在此基礎上, 對算法審計事項清單進行風險評估, 并基于風險評估結果, 以算法審計標的為對象, 設計和實施算法審計方案, 獲取算法審計證據, 形成對每個算法審計事項的審計發現, 進而對算法審計標的和算法審計主題形成結論, 這個過程就是算法審計命題證明。整體來說, 算法審計如果采取命題論證型取證模式, 則既能發現算法系統及其分解形成的輸入數據、 算法設計和算法影響所存在的問題, 也能根據所發現的問題來推斷算法系統及其分解形成的輸入數據、 算法設計和算法影響的整體狀況, 并分別形成針對上述四方面的整體性結論, 更好地滿足算法利益相關者的需求。
3. 算法審計取證方法體系。前面的文獻綜述表明, 既有審計的大部分方法都可以用于算法審計, 但是, 算法審計還有自己獨特的審計取證方法。根據經典審計理論, 不同的審計主題、 不同的審計標的, 由于承載的審計目標不同、 審計載體不同, 其審計取證方法也不同(鄭石橋,2021)。算法審計的審計主題是算法系統, 輸入數據、 算法設計和算法影響是其主要審計標的, 不同審計標的的審計程序存在差異。
就輸入數據來說, 對輸入數據的合法性、 真實性和偏見性的檢查至關重要。合法性檢查主要包括: 合規性審查, 對照相關法律法規、 行業標準和內部政策, 檢查輸入數據是否遵守了所有適用的規定; 數據來源驗證, 確認數據的來源是否合法, 是否經過了適當的授權和許可; 數據處理過程審核, 審查數據收集、 存儲、 處理和傳輸的過程, 確保這些環節均符合法律規定; 權限和隱私保護檢查, 檢查是否有適當的數據訪問控制措施, 并確保個人隱私得到了妥善保護。真實性檢查主要包括: 數據驗證, 通過交叉驗證、 邏輯檢查和其他數據驗證技術, 確認數據是否一致、 完整且無誤; 數據溯源, 追蹤數據的歷史記錄和變更軌跡, 以驗證數據的真實性和可靠性; 抽樣檢查, 對數據樣本進行深入分析, 以評估整體數據集的真實性; 專家咨詢, 在必要時咨詢領域專家, 以確定數據是否反映了真實情況。偏見性檢查主要包括: 數據多樣性分析, 評估數據集中不同群體的代表性, 確保沒有忽略或排除任何重要的群體; 統計分析, 運用統計學方法, 如方差分析、 回歸分析等, 識別數據中的潛在偏見; 算法公平性測試, 設計專門的測試來評估算法在不同數據子集上的表現, 以揭示可能的偏見; 敏感性分析, 分析輸入數據中敏感屬性的分布, 檢查算法是否對特定屬性存在過度依賴或歧視。
就算法設計來說, 對其合法性、 安全性和效率效果性的檢查是確保算法質量和合規性的關鍵環節。合法性檢查主要包括: 合規性評估, 審查算法設計是否遵守了相關的法律法規、 行業標準和最佳實踐, 特別是涉及隱私保護、 數據安全和反歧視等方面的規定; 倫理準則審查, 評估算法設計是否符合倫理準則和社會價值觀; 知識產權審查, 檢查算法設計是否侵犯了他人的專利、 版權或其他知識產權。安全性檢查主要包括: 代碼審查, 對算法的源代碼進行詳細審查, 以發現潛在的安全漏洞; 滲透測試, 模擬黑客攻擊, 測試算法系統的防御能力, 識別可能被利用的安全弱點; 模糊測試, 通過輸入大量隨機數據來檢測算法是否會產生未預期的行為或崩潰, 以此發現隱藏的漏洞; 加密和認證機制檢查, 確保算法使用了合適的加密技術和認證機制來保護數據的安全。效率效果性檢查主要包括: 性能基準測試, 通過設定性能指標, 如響應時間、 吞吐量和資源消耗等, 來評估算法的營運效率; 優化技術應用, 采用各種優化技術, 如算法復雜度分析、 數據結構優化、 并行計算等, 來提升算法的營運效率; 負載測試, 模擬實際工作負載, 測試算法在高負載情況下的表現, 以評估其穩定性和效率; 資源管理分析, 檢查算法如何管理和分配計算資源, 如內存、 CPU和網絡帶寬, 以確保資源得到高效利用。
就算法影響來說, 對算法在社會、 經濟、 法律和個人權益等方面的影響進行評估是算法審計的主要內容, 評估方法通常包括但不限于代碼審計、 抓取審計、 馬甲審計、 協作式審計和非侵入式審計等。
代碼審計是對算法實現的核心部分——軟件代碼進行深入檢查的過程, 旨在發現代碼中的錯誤、 漏洞、 不一致性以及潛在的安全風險。代碼審計通常包括以下幾個方面: 靜態分析, 在不執行代碼的情況下, 使用工具分析代碼的結構和邏輯錯誤; 動態分析, 在執行代碼的過程中, 監控代碼的行為, 以發現營運時的錯誤和性能問題; 人工審查, 由經驗豐富的開發者或安全專家手動檢查代碼, 以發現自動化工具可能遺漏的問題。
抓取審計主要針對的是數據抓取和爬蟲技術, 這些技術經常被用于從互聯網上收集數據以供算法使用。抓取審計的目的是確保數據收集過程的合法性、 道德性和效率效果性, 具體包括: 合規性檢查, 確保數據抓取遵守相關的法律法規, 如版權法、 隱私法等; 數據質量評估, 檢查抓取到的數據的質量, 包括準確性、 完整性和時效性; 抓取策略分析, 評估數據抓取的策略和方法, 以減少對目標網站的影響和避免不必要的法律糾紛。
馬甲審計是指對在線環境中使用虛假身份開展的活動進行審查, 旨在揭示和防止濫用馬甲賬號操縱輿論、 誤導公眾或實施其他不當行為。馬甲審計可能包括: 身份驗證, 檢查賬號的身份真實性, 識別和清除虛假賬號; 行為分析, 分析賬號的行為模式, 識別異常行為和潛在的操縱行為; 內容審查, 檢查發布的內容, 以識別、 防止傳播虛假信息和有害內容。
協作式審計是一種多方參與的審計方式, 涉及算法的開發者、 使用者、 營運者、 監管者及可能受算法影響的利益相關者, 這種審計方式的目的是通過集合各方的知識和資源, 共同對算法的設計、 實施、 影響進行全面評估和監督, 以確保算法的公正性、 透明性和安全性。協作式審計的步驟可能包括: 問題識別, 確定需要審計的算法及其潛在的問題點; 數據收集, 收集算法的相關數據, 包括源代碼、 使用記錄、 影響評估等; 分析評估, 對收集到的數據進行分析, 評估算法的性能、 公平性和安全性; 報告總結, 編寫審計報告, 總結審計結果, 提出改進建議; 后續跟進, 根據審計報告的建議, 對算法進行調整和優化。
非侵入式審計允許審計人員在不干擾或改變被審計系統正常營運的前提下, 對系統的功能、 性能、 安全性等方面進行檢查和評估。其目的是確保系統的合規性、 可靠性和安全性, 同時最小化對系統營運的影響。非侵入式審計的技術手段通常包括: 監控和日志分析, 通過收集和分析系統的日志文件, 了解系統的營運狀態和歷史行為; 網絡流量分析, 通過監測網絡流量, 發現潛在的安全威脅和異常行為; 被動掃描, 使用被動掃描工具來探測網絡上的設備和服務, 而不發送任何可能被系統攔截的主動請求; 代理審計, 使用代理服務器來記錄客戶端和服務器之間的通信, 以便審計人員分析通信內容。
4. 算法審計基本原則。根據經典審計理論, 審計要遵守的基本原則主要包括獨立性原則、 客觀公正性原則、 依法審計原則等(鄭石橋,2021), 算法審計也要遵守這些原則。然而, 算法審計來源于特殊的委托代理關系, 有獨特的情景、 審計內容及方法, 因此, 還應該有自己獨特的審計原則, 主要包括分級分類審計原則、 全鏈條審計原則、 持續動態審計原則和情境理解原則(王玉鳳,2023;陳雄燊,2023;張超,2021)。nHJUPp1bUEnzW8NktwPHzQ==
分級分類審計原則是指在進行算法審計時, 根據算法的不同特性和風險等級, 采用不同的審計強制程度、 審計頻度要求、 審計內容, 以確保審計資源的有效分配和審計活動的針對性, 協調利益相關者的多方訴求。遵守分級分類審計原則非常重要, 原因如下: 通過對不同風險等級的算法采取不同的審計方法, 可以更加高效地識別和管理風險, 避免資源浪費; 有助于確保審計活動的深度和廣度, 從而提高審計質量, 確保審計結果的準確性和可靠性; 能夠更好地適應算法的場景化、 動態化、 跨域性特征, 確保審計工作的針對性和有效性; 有助于平衡各方利益, 確保審計工作的公正性和透明性; 通過明確不同等級的算法審計標準, 可以鼓勵更多社會力量參與算法審計, 形成合力, 共同推動算法治理的進步。
全鏈條審計原則是指在進行算法審計時, 應考慮算法的整個生命周期, 包括算法的設計、 開發、 部署、 營運和維護等各個環節。這種原則強調審計工pMl0MDmgpvqrXoyLx75RVg==作應該貫穿算法的始終, 確保每個階段都得到適當的審查和評估, 以保證算法的安全性、 公平性和透明性。遵守全鏈條審計原則的原因包括: 通過覆蓋算法的整個生命周期, 可以確保審計的全面性, 不遺漏任何可能影響算法性能和安全性的環節; 有助于集中資源和注意力, 針對關鍵環節進行深入審查, 提高審計的效率和效果; 通過早期介入和持續監控, 可以及時發現和解決潛在的風險問題, 防止問題惡化; 可以增強公眾對算法的信任, 因為它顯示了對數據處理和決策過程的嚴格監督; 有助于確保算法符合相關法律法規和倫理標準, 避免違規行為; 通過持續的審計和評估, 可以不斷優化算法, 提高其性能和效率。
持續動態審計原則是指應當考慮算法的動態變化和更新, 以及算法在不同環境和情境下的表現來持續開展算法審計。這種原則強調審計工作應該能夠適應算法的不斷演化, 及時捕捉和評估新出現的風險與問題, 確保算法的持續安全和合規性。遵守持續動態審計原則的原因包括: 算法技術快速發展, 新的算法和應用場景不斷出現, 持續動態審計原則有助于及時應對這些變化, 確保審計工作的時效性和有效性; 有助于及時發現算法動態變化帶來的新風險, 防止它們成為安全隱患; 算法的更新和迭代可能會影響其合規性, 持續動態審計原則有助于確保算法始終符合法律法規和倫理標準; 通過持續的審計和評估, 可以提高審計效率, 降低因算法變化帶來的額外審計成本; 有助于提高算法的透明度, 讓用戶和監管機構能夠更好地理解算法的實時狀態與潛在影響。
情境理解原則是指在進行算法審計時, 需要充分理解算法所處的具體應用場景和上下文環境, 以便更準確地評估算法的性能、 安全性和合規性。這一原則強調審計工作不能脫離實際應用環境, 而應考慮算法在不同情境下的表現和影響。遵守情境理解原則的原因包括: 有助于審計人員更準確地識別和評估算法的潛在問題, 如偏差、 不公平或安全漏洞; 有助于確保審計工作與算法的實際用途緊密相關, 避免抽象的評估導致誤解或忽視重要的實際問題; 通過深入理解算法的使用環境, 可以更有效地提出解決方案, 改進算法的設計和實施; 有助于確保算法的合規性, 因為合規性往往取決于算法在特定環境下的表現和適用性; 當算法審計工作能夠反映算法在實際應用中的表現時, 公眾對算法的信任度可能會提高, 因為他們看到了審計工作的實用性和相關性。
5. 算法審計標準。根據經典審計理論, 審計標準也被稱為審計依據, 是審計過程中判斷被審計事項是否存在偏差的既定標準(鄭石橋,2021)。算法審計標準也是如此, 它是算法的既定標準, 為審計人員提供了檢查輸入數據、 算法設計和算法影響的既定標準。目前, 不同國家和地區根據自身的法律體系、 文化背景和技術發展水平, 形成了各具特色的算法審計標準。一些發達國家和地區, 如歐盟和美國, 已經在這個方面取得了一定的進展, 制定了相關的法律和指南。然而, 全球范圍內的算法審計標準尚未形成共識。
建構算法審計標準需要綜合考慮法律、 技術、 倫理和社會等多方面因素, 以下是一些關鍵內容: 一是法律框架, 即建立和完善相關的法律法規, 明確對算法透明度、 公平性、 安全性和責任追究等方面的要求; 二是技術標準, 即制定技術標準和操作指南, 涵蓋算法的輸入數據質量、 處理邏輯、 輸出結果的可解釋性和可追溯性等方面; 三是倫理原則, 即確立算法的倫理原則, 確保算法的設計和應用符合社會倫理與道德標準, 尊重人權和個人隱私。
算法審計標準的建立要遵守謙抑原則, 平衡技術創新與社會責任, 確保算法相關法律法規既不過度限制技術發展, 又能有效保護利益相關者權益。通過遵循這一原則, 社會既可以有效應對算法技術帶來的挑戰, 也可以促進技術生態系統的健康持續發展。在算法立法中貫徹謙抑原則需要注意以下問題: 第一, 立法應具有前瞻性, 預見技術發展趨勢, 避免因反應遲緩而導致法律落后; 第二, 法律法規應具有一定的靈活性和適應性, 以便在技術迅速變化時及時進行調整; 第三, 應特別關注個人隱私和數據安全, 確保算法的使用不會侵犯公民的基本權利; 第四, 應鼓勵技術創新, 同時確保創新成果能夠造福社會, 避免壟斷和濫用市場力量; 第五, 立法過程應加強公眾參與, 提高立法的透明度, 確保法律反映公眾利益和意愿。
6. 算法審計準則。根據經典審計理論, 審計準則是審計過程中約束審計人員的行為規則, 其目的是保障審計質量(鄭石橋,2021)。算法審計準則也是如此, 它是用于指導和規范算法審計活動的一系列原則和標準, 旨在確保算法審計的獨立性、 客觀性、 專業性和有效性。算法審計準則的建立對于提升審計質量、 增強公眾信任、 保護數據主體權益以及促進算法技術的健康發展具有重要意義。目前, 不同國家和地區根據自身的法律環境、 技術發展和文化背景, 制定了一些不同的算法審計準則。然而, 全球范圍內尚未形成統一的算法審計準則。
從體系結構來說, 未來的算法審計準則建構應包括三個層次: 一是算法審計基本準則, 這是算法審計的總綱, 規定了算法審計必須達到的基本要求, 是制定其他相關標準、 規范、 準則和指南的基本依據。二是算法審計具體準則, 其依據基本準則制定, 對如何遵循算法審計的基本標準提供詳細規定和說明, 是算法審計人員開展審計業務、 出具審計報告的具體規范, 通常應按算法審計主題甚至是審計標的分別制定。如針對算法系統審計主題, 可分解為輸入數據、 算法設計和算法影響, 分別制定算法審計具體準則。三是算法審計實施指南, 其依據基本準則和具體準則制定, 是算法審計的操作規程和方法, 為算法審計人員開展審計業務提供具有可操作性的指導。
由于算法涉及的利益相關者較多, 為保障算法審計準則的全面性、 科學性和實用性, 同時有助于準則的廣泛接受和有效實施, 算法審計準則的制定通常需要多方面的參與, 主要包括: 政府部門負責制定和監督執行法律法規, 確保算法的合規性和安全性; 行業協會代表特定行業的利益, 可以提供行業內的專業知識和經驗, 幫助制定適應行業特點的審計準則; 學術機構進行算法研究和教育, 可以提供理論支持; 標準制定機構負責制定國家標準或國際標準, 這些標準往往被廣泛認可和采納, 對算法審計準則的國際化和標準化至關重要; 專業審計機構具備豐富的算法審計經驗和專業技能, 參與算法審計準則的制定可以提高算法審計準則的可操作性; 算法開發、 使用及營運單位在算法開發和應用方面具有豐富的實踐經驗, 可以提供寶貴的實踐建議和案例。
以上從方法論的角度闡釋了算法審計的幾個問題, 審計流程也是審計方法論中的重要問題, 但整體來說, 基本上還是五個階段, 即審計計劃、 審計準備、 審計實施、 審計報告、 后續跟蹤(陳雄燊,2023), 這里不再闡釋。
四、 結論
本文從方法論的角度聚焦算法審計方法, 以經典審計理論為基礎, 提出算法審計方法的一個理論框架。算法審計有兩種組織方式, 一是單獨審計模式, 二是融合審計模式, 這兩種組織方式各有利弊, 適用于不同的情形。算法審計的各類審計標的都適宜采用風險導向審計; 當難以評估風險時, 可以采用賬項基礎審計。當算法審計結果定位于問題導向時, 可以采用事實發現型取證模式; 當算法審計結果定位于結論導向時, 必須采用命題論證型取證模式。既有的大部分審計方法都可以用于算法審計, 但是, 算法審計還有自己獨特的審計方法, 算法審計的審計主題是算法系統, 輸入數據、 算法設計和算法影響是其主要的審計標的, 不同審計標的的審計程序存在差異。算法審計除了要遵守獨立性原則、 客觀公正性原則、 依法審計原則等通用性審計原則, 還要遵守自己獨特的審計原則, 主要包括分級分類審計原則、 全鏈條審計原則、 持續動態審計原則和情境理解原則。算法審計標準建構要遵守謙抑原則, 其關鍵內容包括法律框架、 技術標準和倫理原則。算法審計準則應該包括算法審計基本準則、 算法審計具體準則和算法審計實施指南三個層次, 由于算法涉及的利益相關者較多, 算法審計準則的制定通常需要多方參與。
【 主 要 參 考 文 獻 】
陳雄燊.人工智能倫理風險及其治理——基于算法審計制度的路徑[ J].自然辯證法研究,2023(10):138 ~ 141.
付冉冉.大數據時代算法審計構想[ J].網絡安全與數據治理,2023(2):48 ~ 52.
劉建業.論我國算法審計的法治化建構[ J].河南財經政法大學學報,2023(3):14 ~ 23.
沈艷.推行算法審計大有可為[EB/OL].https://m.thepaper.cn/baijiahao_19396823,2022-08-10.
蘇宇.算法規制的譜系[ J].中國法學,2020(3):165 ~ 184.
王玉鳳.模型算法審計:理論內涵、國際經驗與審計框架[ J].審計研究,2023(3):11 ~ 18.
王兆毓.生成式人工智能視閾下算法審計的制度構建與路徑創新[ J].網絡安全與數據治理,2023(8):6 ~ 12.
張超.資訊類推薦算法的算法審計路徑、倫理與可審計機制[ J].中國出版,2021(7):31 ~ 35.
張萌,楊家明.日常算法審計與計算基礎設施修復——基于倒置視角的考察[ J].新聞大學,2023(8):88 ~ 100+120.
張欣,宋雨鑫.算法審計的制度邏輯和本土化構建[ J].鄭州大學學報(哲學社會科學版),2022(6):33 ~ 42.
張永忠,張寶山.算法規制的路徑創新:論我國算法審計制度的構建[ J].電子政務,2022(10):48 ~ 61.
鄭石橋.審計基礎理論[M].北京:中國人民大學出版社,2021.
Abeba Birhane, Ryan Steed, Victor Ojewale, et al.. AI auditing: The broken bus on the road to AI accountability[EB/OL]. https://arxiv.org/pdf/2401.
14462.pdf,2024-01-25.
Beckstrom J. R.. Auditing machine learning algorithms:A white paper for public auditors[EB/OL]. http://intosaijournal.org/auditing-machine-learning-algorithms/,2022-06-20.
DRCF. Auditing algorithms: The existing role of regulators and future outlook[EB/OL]. https://www.gov.uk/government/publications/findings-from-the-drcf-algorithmic-processing-workstream-spring-2022,2022-09-23.
Khoa Lam, Benjamin Lange, Borhane B. H., et al.. A framework for assu-rance audits of algorithmic systems[EB/OL].https://arxiv.org/pdf/2401.14908.pdf,2023-01-26.
Raji I. D., Smart A., White R. N., et al.. Closing the AI accountability gap: Defining an end-to-end framework for internal algorithmic auditing[EB/OL]. https://arxiv.org/abs/2001.00973,2020-01-03.
Verhulst S.. AI audit washing and accountability[EB/OL]. http://theli-vinglib.org/ai-audit-washing-and-accountability/,2022-10-02.
