為鼓勵金融機構善用科技,以負責任創新為核心,應用可信賴的人工智慧(AI),發展更貼近民眾需求的金融服務,金融監督管理委員會(下稱金管會)於今日發布「金融業運用人工智慧(AI)指引」。
金管會於去(112)年10月17日發布「金融業運用人工智慧(AI)之核心原則與相關推動政策」後,就依據6大核心原則草擬指引內容,期間參考他國政府及國際組織發布的相關指引文件,並於公共政策網路參與平臺、金融科技相關會議及二次AI指引諮詢會議中徵詢各界及專家學者意見,經歷多次調整後,在今日發布「金融業運用AI指引」(詳附件),做為金融機構導入、使用及管理AI的參考。
本次發布的「金融業運用AI指引」主要分為總則及6大章節,其中總則主要說明AI相關定義、AI系統生命週期、風險評估考量因素、以風險為基礎落實核心原則的方式、第三方業者的監督管理等共通事項;6大章節則分別說明金融業在落實6項核心原則時,依AI生命週期及所評估的風險,宜關注的重點以及可採行的措施,包括目的、主要概念,以及各原則相應的注意事項、落實方式或採行措施等。
本指引草案對外徵詢意見期間,獲業者提供諸多建議,為使本指引更具彈性並符合業者運作情況,已進行調整。以下針對金融機構所關注的事項,說明指引的重要內容:
一、 前言:為利金融機構彈性選擇適宜的風險管理措施,明訂「金融機構可依AI系統具體使用情境所涉風險,依各核心原則宜注意之事項,合理選擇緩解風險之機制及落實方法,包括採取更具成本效益之方法達成目的」。
二、總則章:
(一)針對第三方業者的監督管理,金融機構重視責任的分工,因此明訂「金融機構運用AI系統時宜辨識可自行監控風險的程度,並對自身較無控制權的部分或事項,透過契約等方式與合作廠商明訂風險監控的責任分工」,並明訂金融機構委託第三方業者導入AI系統相關作業時宜採行的監督管理措施,包括就停止委託的情形,訂定適當的資料或系統遷移機制等。
(二)金融機構運用AI系統時,係以風險為基礎落實核心原則,為利金融機構評估風險宜考量的因素,指引中列舉例子供其參考,並明確說明「所舉例子係為協助說明風險評估情境,非就相關使用情境之風險等級加以規範,運用AI系統之風險高低仍由金融機構綜合考量各風險評估因素後自行判斷」。
三、第一章:金融機構的風險管理可能涉及外部審查,為提供金融機構彈性依本身專業及資源程度,採行審查機制,明訂「金融機構可於評估AI系統風險、內部資源及專業程度後,視需要得建立由具AI專業之獨立第三人進行審查、評測之機制」。
四、第二章:考量金融機構不盡然能掌握生成式AI產出之結果,但為確保AI系統的公平性及人類可控,明訂「金融機構使用第三方業者開發之生成式AI,如無法掌握訓練過程及確保其數據或運算所得出之結果符合公平性時,金融機構對其產出之資訊,仍需由其人員就其風險進行客觀且專業的管控」。
五、第三章:為保護客戶隱私,參考歐盟「一般資料保護規則」(GDPR),說明金融機構應採用「資料最小化原則」,避免蒐集過多或不必要的資訊,其中「資料最小化」係指「蒐集個人資料必須適當、相關且於資料處理目的之必要範圍內」。
六、第五章:
(一) 金融機構應確保AI系統運作的可解釋性,但考量金融機構如委託其他業者研發或購入AI系統,可能因業者商業機密無法完全得知AI系統運作細節,因此將「可解釋性」限縮在金融機構可清楚說明「自行或委託研發並使用之AI系統」如何運作及其預測或決策過程背後之邏輯。
(二)在透明性部分,為提升市場對金融機構AI系統的信任度,明訂金融機構如有需要,亦可規劃透過發布報告、技術文件或於網站上揭露相關資訊等方式,主動讓利害關係人(stakeholder)知悉其運用AI系統之做法。
金管會表示,本指引主要提供金融業者於導入及使用AI 時可注意的事項,是屬於行政指導性質。金融業相關公會如訂有運用AI之自律規範,可參考本指引納入相關重點及措施;如未訂定相關自律規範,則建議金融機構參考本指引導入、使用及管理AI系統。金融機構在運用AI系統辦理金融創新業務時,如有必要,金管會鼓勵金融業者可透過金融科技創新實驗或金融業務試辦等機制進行測試。
未來金管會將持續關注金融業導入AI科技所面臨的挑戰及機會,督促金融機構強化風險控管、消費者保護、資訊安全及弱勢族群數位權益,並引導業者在兼顧消費者權益及金融市場秩序下,投入科技創新,提升金融服務效率、品質及競爭力。
金管會於去(112)年10月17日發布「金融業運用人工智慧(AI)之核心原則與相關推動政策」後,就依據6大核心原則草擬指引內容,期間參考他國政府及國際組織發布的相關指引文件,並於公共政策網路參與平臺、金融科技相關會議及二次AI指引諮詢會議中徵詢各界及專家學者意見,經歷多次調整後,在今日發布「金融業運用AI指引」(詳附件),做為金融機構導入、使用及管理AI的參考。
本次發布的「金融業運用AI指引」主要分為總則及6大章節,其中總則主要說明AI相關定義、AI系統生命週期、風險評估考量因素、以風險為基礎落實核心原則的方式、第三方業者的監督管理等共通事項;6大章節則分別說明金融業在落實6項核心原則時,依AI生命週期及所評估的風險,宜關注的重點以及可採行的措施,包括目的、主要概念,以及各原則相應的注意事項、落實方式或採行措施等。
本指引草案對外徵詢意見期間,獲業者提供諸多建議,為使本指引更具彈性並符合業者運作情況,已進行調整。以下針對金融機構所關注的事項,說明指引的重要內容:
一、 前言:為利金融機構彈性選擇適宜的風險管理措施,明訂「金融機構可依AI系統具體使用情境所涉風險,依各核心原則宜注意之事項,合理選擇緩解風險之機制及落實方法,包括採取更具成本效益之方法達成目的」。
二、總則章:
(一)針對第三方業者的監督管理,金融機構重視責任的分工,因此明訂「金融機構運用AI系統時宜辨識可自行監控風險的程度,並對自身較無控制權的部分或事項,透過契約等方式與合作廠商明訂風險監控的責任分工」,並明訂金融機構委託第三方業者導入AI系統相關作業時宜採行的監督管理措施,包括就停止委託的情形,訂定適當的資料或系統遷移機制等。
(二)金融機構運用AI系統時,係以風險為基礎落實核心原則,為利金融機構評估風險宜考量的因素,指引中列舉例子供其參考,並明確說明「所舉例子係為協助說明風險評估情境,非就相關使用情境之風險等級加以規範,運用AI系統之風險高低仍由金融機構綜合考量各風險評估因素後自行判斷」。
三、第一章:金融機構的風險管理可能涉及外部審查,為提供金融機構彈性依本身專業及資源程度,採行審查機制,明訂「金融機構可於評估AI系統風險、內部資源及專業程度後,視需要得建立由具AI專業之獨立第三人進行審查、評測之機制」。
四、第二章:考量金融機構不盡然能掌握生成式AI產出之結果,但為確保AI系統的公平性及人類可控,明訂「金融機構使用第三方業者開發之生成式AI,如無法掌握訓練過程及確保其數據或運算所得出之結果符合公平性時,金融機構對其產出之資訊,仍需由其人員就其風險進行客觀且專業的管控」。
五、第三章:為保護客戶隱私,參考歐盟「一般資料保護規則」(GDPR),說明金融機構應採用「資料最小化原則」,避免蒐集過多或不必要的資訊,其中「資料最小化」係指「蒐集個人資料必須適當、相關且於資料處理目的之必要範圍內」。
六、第五章:
(一) 金融機構應確保AI系統運作的可解釋性,但考量金融機構如委託其他業者研發或購入AI系統,可能因業者商業機密無法完全得知AI系統運作細節,因此將「可解釋性」限縮在金融機構可清楚說明「自行或委託研發並使用之AI系統」如何運作及其預測或決策過程背後之邏輯。
(二)在透明性部分,為提升市場對金融機構AI系統的信任度,明訂金融機構如有需要,亦可規劃透過發布報告、技術文件或於網站上揭露相關資訊等方式,主動讓利害關係人(stakeholder)知悉其運用AI系統之做法。
金管會表示,本指引主要提供金融業者於導入及使用AI 時可注意的事項,是屬於行政指導性質。金融業相關公會如訂有運用AI之自律規範,可參考本指引納入相關重點及措施;如未訂定相關自律規範,則建議金融機構參考本指引導入、使用及管理AI系統。金融機構在運用AI系統辦理金融創新業務時,如有必要,金管會鼓勵金融業者可透過金融科技創新實驗或金融業務試辦等機制進行測試。
未來金管會將持續關注金融業導入AI科技所面臨的挑戰及機會,督促金融機構強化風險控管、消費者保護、資訊安全及弱勢族群數位權益,並引導業者在兼顧消費者權益及金融市場秩序下,投入科技創新,提升金融服務效率、品質及競爭力。
聯絡單位:金融科技發展與創新中心
聯絡電話:(02)8968-0086
如有任何疑問,請來信:本會民意信箱
附件:金融業運用人工智慧(AI)指引