還記得湯姆·克魯斯的《少數(shù)派報告》嗎?人工智能可識別昭示未來風(fēng)險的員工行為。該如何有效且有道德地使用這一數(shù)據(jù)呢?

[[242441]]

為保護(hù)公司網(wǎng)絡(luò)不受惡意軟件、數(shù)據(jù)滲漏和其他威脅的侵害，安全部門設(shè)置了多套系統(tǒng)以監(jiān)視電子郵件流量、URL和雇員行為。運(yùn)用人工智能(AI)和機(jī)器學(xué)習(xí)(ML)，這些監(jiān)視數(shù)據(jù)也能用于預(yù)測，看員工是否計劃盜取數(shù)據(jù)、欺瞞公司、參與內(nèi)部人交易、性騷擾其他員工等。

隨著AI越來越強(qiáng)大，公司企業(yè)需作出道德上的判斷，確定如何使用該新能力監(jiān)視員工，尤其要確認(rèn)該注意哪些行為，以及確定何種干預(yù)才是恰當(dāng)?shù)?。信息安全團(tuán)隊將奮戰(zhàn)在AI運(yùn)用第一線。

事實上，某些有關(guān)員工行為的預(yù)測現(xiàn)在就可行了。比如在員工提交離職申請之前就預(yù)判其辭職意圖，已經(jīng)是相當(dāng)容易做到的事。某財富500強(qiáng)公司在10年前就開始做員工離職意圖預(yù)測，可靠性相當(dāng)高。

我們來舉個例子，即將離開公司的雇員會向其私人郵箱發(fā)送更多帶附件的電子郵件。安全團(tuán)隊需對此多加關(guān)注，因為有意離職的員工可能想要在離開時帶走一些敏感信息，會試圖在向經(jīng)理透露離職計劃前早點兒下載好所需一切。

這種安全上的顧慮并非空穴來風(fēng)，而員工也早就知曉公司的工作郵箱監(jiān)控政策。大多數(shù)情況下，如果公司知道某員工打算離職，會將其放入高風(fēng)險用戶列表中加以更加嚴(yán)格的管控。

信息安全人員不會向該雇員的經(jīng)理透露其離職意圖。但如果該雇員在偷取公司信息，情況就不同了，安全團(tuán)隊會向經(jīng)理發(fā)出警報，并與涉事員工商談此事。

什么情況下可以讀取雇員電子郵件?

大多數(shù)公司都會告知員工他們的電子郵件通信和互聯(lián)網(wǎng)使用情況處在公司監(jiān)視之下。很少有公司會密切關(guān)注員工的個人通信。即便使用AI和ML發(fā)現(xiàn)網(wǎng)絡(luò)威脅，也不會去讀取員工的電子郵件內(nèi)容。

比如說，公司企業(yè)可以從員工的日常行為中判斷出某人是否在找尋其他工作機(jī)會，但這種判斷未必準(zhǔn)確，因為員工可能得不到另謀高就的機(jī)會，或者拒絕其他公司的聘請。

數(shù)據(jù)科學(xué)家如今對人的理解比以前更加完備了。如果有人懷疑自己可能得了癌癥，他們或許會上網(wǎng)查找相關(guān)信息，監(jiān)視搜索動作就有可能在他們證實自己的病情之前就了解到這事兒。

還有的公司想要預(yù)測更多，比如員工是否吸毒、是否招妓、是否有辦公室戀情等等。

對員工行為監(jiān)視太緊的風(fēng)險之一，是可能會傷害到員工士氣。員工確實或顯式或隱式地同意被監(jiān)視。監(jiān)視是合法的，沒有問題，他們簽署了這項權(quán)利。但沒人會去讀取他們的郵件內(nèi)容，公司也一直在提醒員工他們的郵箱是被監(jiān)視的。

在某些領(lǐng)域，比如金融服務(wù)業(yè)，雇員會定期收到自己的通信處于監(jiān)視之下的提醒。絕大多數(shù)工作場所都會反復(fù)提醒員工這一點。

不僅僅是電子郵件和瀏覽歷史會饋送給AI系統(tǒng)。將同樣的智能和分析工具應(yīng)用到從其他源收集來的雇員軟性數(shù)據(jù)上并不是太難。這些軟性數(shù)據(jù)包括與其他雇員的互動、從安全攝像頭和大樓訪問控制系統(tǒng)中抽取的信息等等。

什么時候針對預(yù)測采取行動?

一旦公司收集并分析了數(shù)據(jù)，形成了有關(guān)某些潛在危險行為的預(yù)測，可以采取一些相應(yīng)的措施加以應(yīng)對，輕至忽略預(yù)測，重至開除員工。

一些情況下，公司企業(yè)不應(yīng)越過法律界限，比如懷孕就是一種受保護(hù)的狀態(tài)，因為員工搜索生育相關(guān)的公司就炒掉員工，是不可取的行為。

其他情況則更多屬于灰色地帶。比如，某員工計劃滲漏敏感數(shù)據(jù)，或者在公司服務(wù)器上安裝未經(jīng)允許的加密貨幣挖礦軟件。這種情況會引起安全團(tuán)隊的注意。是否需要干預(yù)取決于他們會不會帶來傷害。直接炒掉，或者報告他們的經(jīng)理，可能會令他們背上污名。

處理潛在有害行為的一種方法，是查看其是否是更嚴(yán)重問題的表征。如果有員工計劃在公司服務(wù)器上安裝加密貨幣軟件，或許想這么干的人不止被發(fā)現(xiàn)的那幾個。

這種情況下，公司可以考慮采取更為廣泛的響應(yīng)。比如在全公司范圍內(nèi)設(shè)置網(wǎng)絡(luò)限速，這樣就不會凸顯出被預(yù)測想裝挖礦軟件的那些員工，他們不會因為尚未實施的罪行而受到懲罰。

類似的，如果某雇員想要離開公司，可能別的雇員也有想走的意愿，只是表現(xiàn)得沒那么明顯?？梢詫λ麄儾扇⌒┯杏玫拇胧热缯蚋深A(yù)，避免影響到他們的名譽(yù)和工作。

有時候會很難下決定。比如性騷擾，即便有相當(dāng)程度的預(yù)測準(zhǔn)確性，在“我也被騷擾”時代，揭示該預(yù)測結(jié)果肯定會對公司產(chǎn)生影響。這是個在道德上比較兩難的領(lǐng)域。

介入并懲罰“未來的”騷擾者，或者調(diào)離即將被騷擾的目標(biāo)對象，可能會影響到公司。應(yīng)與專精此類非共識性關(guān)系的社會科學(xué)家合作，找出既不因未發(fā)生的事懲罰某人，又切實消除可導(dǎo)致性騷擾發(fā)生的其他因素的介入方式。

洛杉磯郡人力資源部現(xiàn)在就很關(guān)心這個問題。洛杉磯郡有11.1萬名雇員，目前正在更新有關(guān)人際關(guān)系的策略和規(guī)程以防止雇員遭到傷害。

無論政府部門還是私營產(chǎn)業(yè)，洛杉磯郡在平等問題上一直都是急先鋒，推動了很多數(shù)字化轉(zhuǎn)型項目，還將AI用到了HR調(diào)查中。

過程自動化和行為模式分析也是洛杉磯郡想要部署的技術(shù)。但目的不是個人化跟蹤和分析，這有違道德準(zhǔn)線和法律準(zhǔn)繩。技術(shù)不是用來預(yù)測個人行為的。

相反，引入AI、自動化和行為分析等技術(shù)，是要找出特定行為模式的貢獻(xiàn)因素，找到行為集群，創(chuàng)建訓(xùn)練策略和干預(yù)方法，強(qiáng)化良性行為并最少化惡性行為。

洛杉磯郡使用OpenText的技術(shù)跟蹤人們的桌面電腦和電子郵件使用情況，在趨勢形成過程中看清趨勢本身，也就是在事發(fā)前主動作為，而不是事發(fā)后亡羊補(bǔ)牢。

但也有些情況是可以立即采取個人干預(yù)的，那就是在網(wǎng)絡(luò)安全領(lǐng)域。如果員工的行事方式昭示著潛在安全問題，那么與該員工或其經(jīng)理談話就是比較合適的處理方式?？梢詥枂柺欠裼惺裁礃I(yè)務(wù)上的原因讓他們這么做，或者是不是有什么不太好的事情發(fā)生。

如果某員工在用另一個人的電腦，從非常規(guī)地點登錄，并試圖導(dǎo)出大量數(shù)據(jù)，這有可能是良性的，也有可能是安全問題的指征。這種判斷與用AI和ML做確定性判定不一樣。當(dāng)前的AI和ML還做不到動機(jī)判斷。

比較合適的起點就是假設(shè)這些行為是中性的。這是與既當(dāng)法官又當(dāng)陪審團(tuán)的《少數(shù)派報告》的最主要差異。

尋求隱私專家的幫助

3年前，美國第三大健康保險公司Aetna開始尋找更好的身份驗證技術(shù)。

為輔助身份驗證，Aetna廣泛收集客戶和員工的行為數(shù)據(jù)。技術(shù)可以捕獲行為信息，但某些屬性并非良性，可破壞個人隱私。

這些行為信息，若加上機(jī)器學(xué)習(xí)分析，可令公司企業(yè)深入了解個人。或許了解到超出法律允許范圍的程度。為避免出現(xiàn)類似《少數(shù)派報告》中的情況，Aetna對所收集信息的類型和使用方法都做了限制。

首先，該公司引入一些專家，秉承公司核心價值來確定應(yīng)該收集和不應(yīng)當(dāng)收集的數(shù)據(jù)點。首席隱私官及其團(tuán)隊都被納入進(jìn)來，幫公司挑出那些不會引發(fā)隱私問題的數(shù)據(jù)點。最終有20-25%本可以捕獲的屬性被剔除了。

例如，消費(fèi)者和雇員的瀏覽器歷史信息就是可以收集而未被納入的一類。

其次，移動App之類收集的行為信息經(jīng)處理，以便留下每位用戶的行為模式，而要評估的新行為模式，則從不暴露。只要這些信息有丁點兒暴露，就毫無隱私敏感性可言了。這就是一堆數(shù)字和公式。比如，地理定位的使用就很謹(jǐn)慎，只用于做對比，從不存儲。

即便黑客深入風(fēng)險引擎系統(tǒng)，能夠解碼公式，這些公式也是隨時在變的。公司價值有助確定實際控制措施的設(shè)計。Aetna設(shè)計了可接受算法公式而非實際屬性和特征的風(fēng)險引擎。

有關(guān)AI在員工行為預(yù)測中的用法，任何公司的策略都應(yīng)把公司價值和透明性，還有人的判斷，放在核心位置。AI應(yīng)被看作是有指導(dǎo)的學(xué)習(xí)系統(tǒng)，由人做出最終決策。基于透明性和價值統(tǒng)一建立起道德策略，并通過保留人在預(yù)測過程中的位置來實施該策略。

使用行為數(shù)據(jù)有哪些法律問題?

使用AI預(yù)測并阻止危險雇員行為的公司企業(yè)，需做好保護(hù)雇員、客戶及公司本身，與維護(hù)雇員人權(quán)之間的平衡。有跡象表明美國法律可能朝著嚴(yán)加保護(hù)個人隱私的方向發(fā)展，包括雇員的個人隱私。

另外，AI技術(shù)本身也可能并不準(zhǔn)確，或者說，不公平。舉個例子，如果測試發(fā)現(xiàn)從臺位上站起次數(shù)越多就越有可能是騷擾者，而一部分女性因為懷孕或擠奶而不得不頻繁站起，那測試對懷孕女性就不公平了。如果測試可靠、有效、無偏頗，雇主就可以像使用其他性格測試或任意可觀方法一樣，用該測試來針對所標(biāo)出的人了。

關(guān)鍵就在于規(guī)則應(yīng)用的一致性。如果雇主想要基于AI學(xué)到的東西(比如AI標(biāo)記不恰當(dāng)網(wǎng)上言論)采取行動，就得確定出能觸發(fā)行動的閾值，然后確保在以后的案例中一直照此執(zhí)行。

所采取的動作也需恰當(dāng)可行。比如說，如果有人告訴HR某同事利用病假去旅行，恰當(dāng)?shù)捻憫?yīng)應(yīng)該是去調(diào)查，即便尚無任何確切證據(jù)指征不當(dāng)行為。紀(jì)律處分應(yīng)在調(diào)查之后進(jìn)行。

雇主是不是通過AI系統(tǒng)獲知潛在不當(dāng)行為倒是無關(guān)緊要。關(guān)鍵在于處理過程中的風(fēng)險和一致性。

如果AI預(yù)測準(zhǔn)確，而公司沒能做出保護(hù)員工的舉動，那就有可能導(dǎo)致法律責(zé)任了。比如說，如果公司知道或應(yīng)該知道有員工會性騷擾其他員工或?qū)ν伦龀霾划?dāng)舉動，那公司可能面臨“留任失當(dāng)”的起訴。雖然這些起訴通常五花八門難以證明，當(dāng)涉及監(jiān)視雇員社交媒體使用和在線發(fā)帖情況的時候，雇主就已經(jīng)某種程度上面臨這種問題了。

公司企業(yè)應(yīng)謹(jǐn)慎選擇用AI監(jiān)視雇員以預(yù)測潛在不當(dāng)行為，除非工作場所AI使用方面的法律更加明確，且AI系統(tǒng)被證明是可靠的。否則，公司或許要為依賴有可能影響到部分人群的系統(tǒng)而擔(dān)責(zé)。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文