金融業AI指引上路 金管會要求納入各公會自律規範

「金融業運用AI指引」草案在去年底公佈，在預告期間有不少金融業者提出意見，最終版本20日正式公佈且即日起上路，依照6大核心原則訂出指引，包含建立問責機制、重視公平及以人爲本、保護客戶隱私、確保系統穩健及安全、落實透明性及可解釋性、永續發展等。

金管會今年5月針對377家金融機構與周邊單位進行調查，有108家金融業使用AI，其中29家有用到生成式AI，金融業運用AI主要在三大業務，即內部行政作業、智能客服、行銷廣告，在108家金融業中以銀行業用AI最廣泛，有28家銀行都有用到AI，佔比74％，運用生成式AI也是銀行最多。

在金融業中AI被使用領域主要是內部行政作業佔20％、智能客服16％，另三項各佔1成，一是風險管理，主要是資本計提與評估客戶風險；二是KYC（認識客戶）與防範金融犯罪，像是防詐的客戶行爲偵測；三是精準行銷。

金管會表示，指引只是行政指導，類似指南或手冊，目的是要協助金融業負責任的使用AI，目前還不會有金檢或處罰。但後續將由各公會參考訂定自律規範，銀行公會已訂，證券、期貨、投信顧公會等，證期局已要求在指引發布後1個月內製定自律規範報金管會，壽險公會也將訂自律規範，在自律規範訂出後，各金融業就要訂到內稽內控中，檢查局在金檢時就可能會查覈。

指引中明訂，若金融業要使用AI，要建立組織架構及問責機制，如成立委員會，來負責整體監督管理AI系統的運用；並建立「緊急關閉機制」，參考歐盟規定，對民衆影響大的關鍵系統，將來碰到人員無法控制或介入時，可以有權利將整個系統都關閉。

其次是保護隱私及客戶權益，金融機構在訓練AI模型時，蒐集客戶資料要「最小化」，因訓練AI需要很多數據演算，但不是所有跟客戶有關的資料都可以使用，參考歐盟「一般資料保護規則」(GDPR)規定，個人適當、相關、攸關的範圍才能使用。例如要了解客戶買某金融商品的行爲，不需要特別瞭解客戶家人是誰；又或是洗錢防制上，沒有必要將客戶的婚姻狀況放到模型中。

此外，原本草案中有針對第三方業者，金融機構要衡量「集中度風險」，也就是若好幾家金融業者都委託同一家第三方業者，金融機構要衡量集中度風險的問題，但在徵詢期間，有金融業者指出，無法知道其他金融機構是否委託某一家第三方業者，集中度風險應是監理機關要關注的，因此指引中已刪除。