為消弭 AI 幻覺、偏見、知識斷點等常見三大風險,金融資安法規專家李嘉銘建議,金融機構需參酌銀行公會「金融機構運用人工智慧技術作業規範」、金管會「金融業運用人工智慧指引」。
文/林裕洋
曾先後在不同銀行從事資訊、資安、數金等工作長達逾 20 年的金融資安法規專家李嘉銘,從 2000 年起,便參與國內金融資安法規及自律規範的制定和修改作業,尤其眾李嘉銘所皆知的電子銀行安控基準、行動應用程式、雲端規範、OpenAPI、金融 FIDO 等相關規範,可謂無役不與,每回都領導團隊完成制定任務。如今人工智慧(AI)勢如破竹,各行業都深受衝擊與影響,金融也無可避免置身其中。以下的篇幅,就借重李嘉銘的專業歷練,分享人工智慧金融資安法規的發展態勢。
銀行不落人後,競相發展 AI 應用
李嘉銘在 CIO Taiwan 舉辦的金融科技高峰會秋季場中提到,現今多數金融業同仁都聽聞很多雲端、AI 相關議題,但在此同時,究竟主管機關如何看待金融機構 AI 發展、需要遵守哪些紀律,實為重要課題。截至目前,舉凡銀行公會訂定的 AI 自律規範、金管會訂定的 AI 指引等,皆是金融機構需留意的標的。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
探究 AI 金融法規前,先來看 AI 之於金融領域的應用趨勢。以外商銀行而論,典型案例像是瑞士信貸用於投資分析、交易策略;匯豐銀行用在詐欺偵測、市場預測;摩根大通用於合同分析、客戶服務;巴克萊用於智能客服、風險管理;花旗銀行用在智能客服風險管理與詐欺偵測、個性化理財建議、貸款審核和信用評分、交易策略和市場預測、數據分析和自動化流程。
除外銀外,本國銀行 AI 應用案例也持續增加。如在 2023 年金融博覽會時,即有多家銀行展示 AI 應用成果。但李嘉銘認為,現在已不需關注這些成果,因為時隔數月,AI 的進展相當迅速,也許今天再問當初催生這些成果的銀行,皆有更前瞻的思維,無意採取舊做法。
時序進入 2024 年,諸多公股銀行不落人後,端出更勝於幾個月前呈現於 2023 金融博覽會的成績單,相關應用情境包括智能鑑價大數據模型、機器人平台、AI 智能偵測、理專理財、客服小幫手…等。
據調查,涵括 377 幾家金融機構、108 家週邊單位的受訪對象,認定的前三大 AI 使用目的,依序是提高作業效率與生產力、節省人力、提升客戶使用體驗。至於 AI 應用大宗,則落在內部行政作業、智能客服、風險管理、認識客戶及防範金融犯罪、行銷廣告等。
善用不同解方,戰勝 AI 三大風險
由此觀之,確實有許多金融機構認為 AI 發展至關重要。但不可諱言,導入 AI 亦有諸多風險。首先是 AI 幻覺,就是許多人常提及的「一本正經地胡說八道」,導致人們無法判斷邏輯;此時用戶需反思 AI 透明性和可解釋性,或利用不同大語言模型(LLM)來交叉檢查。
其次問題為偏見。係因餵給 AI 的訓練資料存有偏見,模型也會學到偏見,連帶產生不準確或誤導的訊息。對此李嘉銘建議,除將跨種族、宗教、膚色、文化等多樣化資料納為訓練素材,同時亦可做 RLHF人類反饋強化學習,或採取 Fine-tuning、Input / Output Filtering、Monitoring、User Feedback、Continuous Learning、Adjustment 等做法。
[ 推薦文章:AI Agent 各層級挑戰與考量 ]
第三個問題是知識斷點,例如 ChatGPT-3.5 的知識僅更新到 2021 年 9 月,GPT-4 只到 2023 年 10 月;情況看似嚴重,所幸已有解方,像是啟用 GPT-4o 等最新模型,或結合搜尋引擎、RAG 等其他即時資料源。
參酌歐盟 AIA,滾動調整臺灣 AI 規範
論及現在金融機構應優先研究和遵循的規範,主要有三。一是 2024 年 7 月甫公佈,但目前處於汲取各方意見、猶未定案的人工智慧基本法;二是 2024 年 6 月金管會提出的金融業運用人工智慧(AI)指引;最後一項是 2024 年 5 月由銀行公會公佈的金融機構運用人工智慧技術作業規範。李嘉銘提醒,針對銀行公會祭出的規範,是銀行不容小覷的合規目標,因為它是會被金檢局拿來引經據典開單的準則。
接著解讀前述合規要求。首先是國科會預告的 AI 基本法,箇中涵蓋七個基本原則,包括永續發展、人類自主、隱私保護、資安與安全、透明與可解釋、公平與不歧視、問責。
其次看金管會頒佈的金融業運用 AI 指引,內含六大重點,儘管字面不盡相同,但與上述 AI 基本法大致維持類似脈絡,差別只在人工智慧基本法、公平與不歧視兩項被併為「重視公平性、以人為本的價值觀」。該指引係屬行政指導性質,不具拘束力,旨在鼓勵金融業在風險可控下,導入、使用與管理 AI;金融機構可依 AI 系統具體使用情境所涉風險,依各核心原則宜注意的事項,合理選擇緩解風險的機制和落實方法,包括採取更具成本效益的方法來達成目的。
[ 推薦文章:從 AI 人才培育走向專業 AI Agent 數位分身落地 ]
至於金融機構運用人工智慧技術作業規範,箇中重點等同金融業運用 AI 指引,一樣有六點。其間值得留意的要項,包括公司需要有治理與問責機制,且要公平、要以人為本,也要保護客戶隱私和權益,要維持系統服務的穩定性與安全性,要確保 AI 落實透明度與可解釋性,更要維持永續發展、朝普惠金融目標邁進。
換言之銀行想要發展 AI 不挨罰,務必符合上述自律規範。例如指定高階主管或成立委員會負責 AI 監督管理;運用 GenAI 時,須了解其運作方式,以及能做何等回應,因此在選用 LLM 或 AI 模型時,務必進行事前調查、評估與監督,甚至能解釋為何選 A 模型、不選 B 模型。又或者,公司一定要能對消費者說清楚講明白,現在消費者面對的到底是真人還是機器人;更遑論 AI 使用的過程中,一定要確實遵循資通安全、個人資料保護、智慧財產權等金融法規及其他法律規範。
但持平而論,隨時間不斷推移,所有規範仍需滾動調整,但調整過程必須有所依循,而目前最佳參考依據是 2024 年 7 月公告的歐盟人工智慧法(AIA)。
AIA 規範重點在於模型歸模型、系統歸系統,且基於 Risk-Based Approach,並將風險設定高中低等級,要求須分階段實施、同時有對應罰則或配套措施。其中急欲關注的 AIA 重點為第六條對應的附件三,框定了高風險的優先管理範圍,要求36個月內務須合乎規定,包括生物辨識、教育與職業訓練、就業與工作管理、公共和私人服務(風險評估)等,這些都有望成為後續臺灣 AI 規範與時值進、滾動調整的依據。
最後李嘉銘提出幾個務必留意的 AI 時代資安議題,包括 AI 失效的對抗性攻擊、AI 模型的數據隱私、AI 模型的安全漏洞、AI 系統的透明性與可解釋性、AI 系統的偏見與歧視,及 AI 驅動的網路攻擊。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
