金融業AI指引上路 金管會要求納入各公會自律規範
「金融業運用AI指引」草案在去年底公佈,在預告期間有不少金融業者提出意見,最終版本20日正式公佈且即日起上路,依照6大核心原則訂出指引,包含建立問責機制、重視公平及以人爲本、保護客戶隱私、確保系統穩健及安全、落實透明性及可解釋性、永續發展等。
金管會今年5月針對377家金融機構與周邊單位進行調查,有108家金融業使用AI,其中29家有用到生成式AI,金融業運用AI主要在三大業務,即內部行政作業、智能客服、行銷廣告,在108家金融業中以銀行業用AI最廣泛,有28家銀行都有用到AI,佔比74%,運用生成式AI也是銀行最多。
在金融業中AI被使用領域主要是內部行政作業佔20%、智能客服16%,另三項各佔1成,一是風險管理,主要是資本計提與評估客戶風險;二是KYC(認識客戶)與防範金融犯罪,像是防詐的客戶行爲偵測;三是精準行銷。
金管會表示,指引只是行政指導,類似指南或手冊,目的是要協助金融業負責任的使用AI,目前還不會有金檢或處罰。但後續將由各公會參考訂定自律規範,銀行公會已訂,證券、期貨、投信顧公會等,證期局已要求在指引發布後1個月內製定自律規範報金管會,壽險公會也將訂自律規範,在自律規範訂出後,各金融業就要訂到內稽內控中,檢查局在金檢時就可能會查覈。
指引中明訂,若金融業要使用AI,要建立組織架構及問責機制,如成立委員會,來負責整體監督管理AI系統的運用;並建立「緊急關閉機制」,參考歐盟規定,對民衆影響大的關鍵系統,將來碰到人員無法控制或介入時,可以有權利將整個系統都關閉。
其次是保護隱私及客戶權益,金融機構在訓練AI模型時,蒐集客戶資料要「最小化」,因訓練AI需要很多數據演算,但不是所有跟客戶有關的資料都可以使用,參考歐盟「一般資料保護規則」(GDPR)規定,個人適當、相關、攸關的範圍才能使用。例如要了解客戶買某金融商品的行爲,不需要特別瞭解客戶家人是誰;又或是洗錢防制上,沒有必要將客戶的婚姻狀況放到模型中。
此外,原本草案中有針對第三方業者,金融機構要衡量「集中度風險」,也就是若好幾家金融業者都委託同一家第三方業者,金融機構要衡量集中度風險的問題,但在徵詢期間,有金融業者指出,無法知道其他金融機構是否委託某一家第三方業者,集中度風險應是監理機關要關注的,因此指引中已刪除。