當一家企業的核心決策——從信用審核到人才招聘、從產品定價到供應鏈管理——越來越多地由演算法而非人類做出時,公司治理的基本框架正面臨根本性的挑戰。董事會的受託責任(fiduciary duty)是否延伸至對 AI 系統的監督?演算法偏見導致的損害由誰承擔法律責任?當 AI 的決策邏輯對董事自身都是黑箱時,「盡職調查」的標準應如何重新定義?這些問題不再是理論假設——它們是每一位獨立董事、每一個審計委員會、每一家上市公司的董事會今天就必須面對的現實。作為一位法學博士出身的商學院教育者,我在浙江大學國際聯合商學院主持 MBA 課程與高管教育的過程中,持續協助企業決策者理解 AI 對治理的衝擊。本文結合法律分析、管理實務與賽局理論的洞見,為 AI 時代的董事會治理提出系統性的思考框架。

一、AI 帶來的三類新型治理風險

公司治理的核心功能是管理風險——確保企業在追求股東價值最大化的同時,不會因未受控的風險暴露而遭受災難性損失。AI 的大規模應用並未改變這一核心功能,但它從根本上改變了風險的性質與形態。在我的研究與顧問實務中,我將 AI 帶來的新型治理風險歸納為三類。

第一類是「演算法偏見風險」(algorithmic bias risk)。AI 系統在訓練數據中學習模式,如果訓練數據反映了歷史性的偏見——種族歧視、性別歧視、地域歧視——AI 系統將「繼承」並放大這些偏見。這不是假設性的風險:亞馬遜的 AI 招聘系統因系統性地歧視女性求職者而被廢棄;美國的刑事司法風險評估系統 COMPAS 被研究證實對非裔被告存在偏見;多家銀行的 AI 信用評估模型被發現對特定少數族裔群體不利。對董事會而言,演算法偏見風險的治理挑戰在於其「隱蔽性」——偏見不是被人刻意寫入的,而是從數據中「湧現」(emerge)的,這使得傳統的合規審查流程難以偵測。[1]

第二類是「AI 決策問責風險」(AI accountability risk)。當一個 AI 系統做出了導致重大損失的決策——例如自動交易系統引發的市場閃崩、自動駕駛系統導致的人身傷害、醫療 AI 的誤診——問責的鏈條應如何追溯?是部署 AI 的企業?開發 AI 的技術團隊?還是批准部署 AI 的董事會?歐盟的《AI 責任指令》(AI Liability Directive)正在試圖建立法律框架來回答這些問題,但從公司治理的角度看,更關鍵的是事前的問責機制設計,而非事後的法律追責。Wilson 教授在我們的對話中反覆強調的機制設計原則在此高度適用:好的機制應該讓參與者在事前就有誘因做出負責任的決策,而非僅依賴事後的處罰來矯正行為。[2]

第三類是「數據治理風險」(data governance risk)。AI 系統的能力建立在數據之上——數據的品質決定了 AI 的品質,數據的安全決定了企業的安全,數據的合規決定了企業的法律風險。GDPR、中國的《個人信息保護法》、以及越來越多法域的數據保護立法,意味著企業的數據治理不僅是技術問題,更是法律義務與治理責任。然而,我在高管教育中觀察到一個普遍的現象:大多數董事會對企業的數據資產——有多少、在哪裡、如何被使用、是否合規——缺乏基本的能見度。當董事會無法「看見」數據,就無法「治理」數據,這在 AI 時代構成了嚴重的治理盲區。[3]

這三類風險的共同特徵是「技術性」——它們的識別、評估與管理需要董事會成員具備一定程度的技術理解力。然而,現實是大多數董事會的組成仍以財務、法律與行業經驗為主要考量,技術專業能力嚴重不足。這種「能力缺口」是 AI 時代董事會治理面臨的最根本挑戰。

二、受託責任的重新定義:從財務監督到演算法監督

公司治理法的核心概念是「受託責任」——董事作為股東的受託人,負有忠實義務(duty of loyalty)與注意義務(duty of care)。在 AI 時代,這兩項義務的內涵需要根本性的擴展。

注意義務的擴展。傳統上,董事的注意義務要求其在決策時「合理地」蒐集資訊、評估風險、聽取專業意見。在 AI 語境下,這意味著董事有義務理解企業 AI 系統的基本運作邏輯、潛在風險與合規要求。這不要求董事成為 AI 工程師,但要求他們具備足夠的「AI 素養」(AI literacy)來提出正確的問題:我們的 AI 系統是否經過偏見測試?AI 決策的可解釋性是否符合監管要求?數據治理的框架是否到位?我在名古屋大學攻讀法學博士期間研究的金融監管法框架提供了一個有用的類比——董事不需要理解每一筆衍生性金融商品的定價公式,但他們需要理解企業的風險暴露結構。同樣的邏輯適用於 AI:董事不需要理解深度學習的數學原理,但他們需要理解 AI 決策可能對企業造成的法律、聲譽與財務影響。[4]

忠實義務的新維度。忠實義務要求董事將股東(及在某些法域中,利害關係人)的利益置於個人利益之上。在 AI 語境下,這一義務產生了新的維度:董事不應因為對 AI 的不理解或恐懼而阻礙企業的合理 AI 投資(這構成了消極的失職),也不應因為對 AI 的過度樂觀而忽視其風險(這構成了積極的失職)。Aumann 教授在我們討論誘因設計時提出的一個核心觀察在此特別切題:在不確定性極高的環境中,最危險的不是做出錯誤的決策,而是根本沒有建立處理不確定性的決策程序。對董事會而言,AI 治理的首要義務不是「做對每一個 AI 決策」,而是「建立正確的 AI 決策程序」。

監督義務的技術化。美國德拉瓦州的 Caremark 標準確立了董事對企業合規體系的監督義務——董事有義務建立並維護合理的資訊回報系統,以偵測違法或重大風險。在 AI 時代,這一監督義務邏輯上延伸至 AI 系統的治理:董事會需要確保企業建立了 AI 風險的識別、監控與回報機制。具體而言,這意味著董事會應要求管理層定期報告 AI 系統的運行狀況、偏見測試結果、合規審計發現,以及與 AI 相關的客戶投訴與法律風險。[5]

三、董事會的能力重構:五項新核心能力

受託責任的擴展意味著董事會需要新的能力組合。基於我在高管教育中與數百位企業決策者的互動,以及從賽局理論中獲得的制度設計啟發,我提出 AI 時代董事會需要建構的五項核心能力。

第一項能力:「AI 提問力」(AI questioning competency)。董事會的價值不在於自己開發 AI,而在於向管理層提出正確的問題。在 AI 治理的語境中,這些問題包括:我們的 AI 系統在哪些場景中做出影響客戶權益的決策?這些決策的可解釋性是否符合目前及可預見的監管要求?我們是否有獨立的機制來審計 AI 系統的公平性?如果 AI 系統明天造成重大損害,我們的法律與保險準備是否足夠?一位不懂 AI 但懂得提問的董事,比一位懂 AI 但不問問題的董事對企業更有價值。[6]

第二項能力:「風險想像力」(risk imagination)。AI 風險的一個重要特徵是「非線性」——一個在正常條件下表現完美的 AI 系統,可能在極端條件下產生災難性的失敗。2010 年的「閃電崩盤」(Flash Crash)便是高頻交易演算法在特定市場條件下相互作用引發的系統性事件——事前幾乎無人預見。董事會需要培養一種「預想最壞情境」的能力——不是悲觀主義,而是系統性地思考 AI 可能出錯的方式。Gostin 教授在我們討論全球衛生法時的一個觀點對此高度適用:大流行病的教訓是,最嚴重的風險往往來自「我們知道可能發生但選擇不去準備」的事件。AI 風險管理也是如此——董事會的職責不是預測每一個風險,而是確保企業有韌性應對未預見的風險。[7]

第三項能力:「誘因設計力」(incentive design competency)。Aumann 教授告訴我,理解世界最重要的鏡片是「誘因」。這個洞見在 AI 治理中有極為具體的應用。企業的 AI 團隊面對什麼樣的誘因結構?如果績效考核只看 AI 模型的預測準確率而不看公平性指標,工程師自然會優先追求準確率而忽視偏見問題。如果 AI 項目的上線時間表由商業壓力決定而非由安全測試的完成度決定,匆忙部署便是理性回應。董事會的責任是設計正確的誘因結構——將 AI 的安全性、公平性與合規性納入績效考核、薪酬設計與資源分配的框架中。正如 Aumann 教授所言:不要期待員工自發做正確的事——設計讓做正確的事成為最有利選擇的制度。[8]

第四項能力:「跨域整合力」(cross-domain integration)。AI 治理的複雜性在於它橫跨技術、法律、倫理與商業多個領域——沒有任何單一專業背景的董事能獨力處理。董事會需要的是跨域整合的能力——讓技術專家、法律專家、倫理專家與業務專家之間的對話有效進行。在我主持浙江大學國際聯合商學院高管教育課程的經驗中,最有價值的學習往往不是發生在單一學科的深度討論中,而是發生在不同背景的決策者開始理解彼此的語言與邏輯時。董事會需要建立類似的跨域對話機制。

第五項能力:「長期視角」(long-term perspective)。AI 的影響具有顯著的時間維度——短期內可能帶來效率提升與成本節省,但長期的法律、社會與聲譽風險可能遠超短期收益。Wilson 教授在我們討論拍賣設計時強調:機制設計的核心是確保短期的理性行為不會導致長期的系統性失敗。董事會在評估 AI 投資時需要同樣的長期視角——不僅計算 AI 部署的 ROI,更要評估 AI 風險的「尾端分佈」(tail risk)。一次演算法偏見的醜聞可能摧毀數十年建立的品牌信任。

四、治理機制的重新設計:從委員會到 AI 治理框架

能力重構需要機制重構的支撐。我提出 AI 時代董事會治理的四項機制創新。

第一,設立 AI 治理委員會或將 AI 議題納入既有委員會授權。對大型企業而言,設立專門的「AI 與科技治理委員會」是最直接的機制回應——由具備技術背景的獨立董事主持,定期審議企業的 AI 策略、風險管理與合規狀況。對中小型企業而言,更務實的做法是擴展審計委員會或風險管理委員會的授權範圍,將 AI 治理納入其常規議程。關鍵在於:AI 治理不能被視為「技術部門的事」——它必須進入董事會層級的議程。[9]

第二,建立「演算法影響評估」(Algorithmic Impact Assessment)制度。類比環境影響評估(EIA),企業應在部署高風險 AI 系統之前,進行系統性的影響評估——涵蓋偏見測試、隱私影響分析、安全性驗證與利害關係人影響評估。評估結果應向董事會報告,並作為部署決策的必要前置條件。這種「事前審計」機制的設計靈感來自 Wilson 教授的機制設計理論——透過程序性的要求,迫使組織在事前而非事後面對 AI 的潛在影響。

第三,引入「AI 倫理長」(Chief AI Ethics Officer)或同等功能的角色。就像企業設立財務長(CFO)來確保財務治理、設立法務長(CLO)來確保法律合規,AI 時代的企業需要一個高階管理角色來統籌 AI 治理。這個角色的核心職責包括:建立 AI 倫理準則、監督 AI 系統的偏見測試與合規審計、處理與 AI 相關的利害關係人申訴、以及向董事會報告 AI 治理狀況。這不是為了增加官僚層級,而是為了確保 AI 治理有明確的責任歸屬。

第四,重構董事會的資訊流(information flow)。在傳統的治理框架下,董事會的資訊主要來自財務報表、管理層報告與外部審計。在 AI 時代,董事會需要新型的資訊管道:AI 系統的定期績效與風險報告、獨立第三方的演算法審計結果、AI 相關的監管動態摘要、以及 AI 利害關係人(如受 AI 決策影響的客戶與員工)的回饋。Aumann 教授在賽局理論中反覆強調:決策品質取決於資訊品質。如果董事會無法獲得關於 AI 的高品質資訊,就無法對 AI 進行有效治理。[10]

五、邁向負責任的 AI 治理:董事的行動清單

將本文的分析轉化為董事個人的具體行動,我提出以下五點建議。

第一,投資個人的 AI 素養。每一位董事都應投入時間理解 AI 的基本概念——不需要學寫程式,但需要理解什麼是機器學習、什麼是訓練數據偏見、什麼是大型語言模型、什麼是幻覺(hallucination)。許多頂級商學院與專業機構已經開設面向董事的 AI 素養課程——這不是可選的進修,而是注意義務的要求。在我主持的高管教育課程中,最常見的突破時刻是當企業決策者第一次理解「AI 不是魔法,而是統計」時——這個基本的認知轉變,足以讓他們開始提出正確的問題。

第二,推動董事會組成的多元化。AI 治理需要技術視角——但目前全球上市公司的董事會中,具備深度技術背景的成員比例極低。董事會的提名委員會應將「技術治理能力」納入董事遴選的核心標準之一。這不意味著每個董事會都需要一位 AI 科學家——但至少需要一到兩位能夠理解技術風險語言、與技術團隊有效對話的成員。[11]

第三,要求管理層建立 AI 治理的正式框架。董事會應明確要求管理層提出企業的 AI 治理政策——涵蓋 AI 的使用範圍界定、風險分類標準、偏見測試程序、資料治理規範、以及事故回應機制。這個框架不需要一步到位,但需要有明確的時間表與進展追蹤。沒有正式框架的 AI 治理,就像沒有財務會計準則的財務治理——形同虛設。

第四,將 AI 風險納入企業風險管理(ERM)框架。AI 風險不應被視為獨立的風險類別,而應被整合進企業既有的風險管理框架中——與市場風險、信用風險、營運風險並列。這意味著 AI 風險需要有量化的評估方法、明確的風險容忍度(risk appetite)、以及定期的壓力測試。Wilson 教授在機制設計中強調的「價格發現」原則在此有巧妙的類比應用:只有當 AI 風險被納入正式的風險管理框架,其「真實的成本」才能被組織準確感知——否則 AI 風險將持續被低估,直到危機爆發。

第五,在 ESG 報告中納入 AI 治理指標。隨著 ESG(環境、社會與治理)報告的制度化,AI 治理理應成為「G」(治理)維度的核心組成部分。企業應在 ESG 報告中揭露其 AI 使用的範圍與風險、偏見測試的結果、AI 倫理政策的實施狀況,以及 AI 相關的利害關係人申訴與處理情形。這不僅是對投資人的責任,更是推動企業內部持續改善 AI 治理的外部壓力機制。[12]

回顧全文,AI 時代的公司治理挑戰,本質上是一場「治理能力」與「技術變革」之間的競賽。技術不會等待治理追上——AI 正以指數級的速度滲透企業的每一個決策節點。如果董事會不主動提升自身的 AI 治理能力,它將從「企業的監督者」退化為「技術變革的旁觀者」——這不僅是失職,更是對股東、員工、客戶與社會的背叛。Aumann 教授教給我的最深刻的洞見是:好的制度不依賴美德,而是透過精心設計的誘因結構讓理性的行為者自然做出正確的選擇。AI 時代的董事會治理同理——我們不能期待每一位董事自發成為 AI 專家,但我們可以、也必須設計讓董事會有動力、有能力、有機制對 AI 進行有效監督的治理框架。

陳弘益教授,日本名古屋大學法學博士。歷任英國劍橋大學研究員暨亞太地區代表、浙江大學國際聯合商學院 MBA 主任暨高管教育主任,為世界銀行、聯合國等國際機構主持跨國政策研究。現帶領超智諮詢,結合商學專業與前沿科技,提供 AI 及量子運算等領域的軟體開發及策略制定服務。策劃全球思想領袖論壇邀集逾 50 位國際領袖、累計觀眾逾 30 萬人次。

References

  1. Obermeyer, Z. et al. (2019). Dissecting Racial Bias in an Algorithm Used to Manage the Health of Populations. Science, 366(6464), 447–453. doi.org
  2. European Commission. (2022). Proposal for a Directive on Adapting Non-Contractual Civil Liability Rules to Artificial Intelligence (AI Liability Directive). COM(2022) 496 final.
  3. Zuboff, S. (2019). The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power. Public Affairs.
  4. Eisenberg, M. A. (2005). The Duty of Care of Corporate Directors and Officers. University of Pittsburgh Law Review, 51, 945–972.
  5. In re Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996).
  6. Fenwick, M. & Vermeulen, E. P. M. (2019). Technology and Corporate Governance: Blockchain, Crypto, and Artificial Intelligence. Texas Journal of Business Law, 48(1), 1–22.
  7. Gostin, L. O. (2014). Global Health Law. Harvard University Press.
  8. Aumann, R. J. (2005). War and Peace. Nobel Prize Lecture. nobelprize.org
  9. OECD. (2023). G20/OECD Principles of Corporate Governance. oecd.org
  10. Wilson, R. B. (2002). Architecture of Power Markets. Econometrica, 70(4), 1299–1340.
  11. World Economic Forum. (2024). Artificial Intelligence Governance Alliance: Presidio AI Framework. weforum.org
  12. European Commission. (2023). European Sustainability Reporting Standards (ESRS). Delegated Regulation (EU) 2023/2772.
返回洞見