文/徐燁儀(資策會數轉院金科中心副分析師)
AI 技術應用發展須仰賴大量、高品質之數據資料,隨著 AI 於金融領域之應用逐漸深化,金融資料治理的重要性也日益顯著,金管會除於2024年陸續發布「金融機構資料共享之資料治理諮詢文件」及「金融業運用人工智慧(AI)指引」,顯示主管機關對金融機構 AI 應用及資料治理的重視。未來,金融機構間的資料共享及治理機制仍可能持續調整,以回應市場需求與科技發展趨勢。
金融業者導入 AI 應用時,應確保所使用之資料來源的安全性、合規性與透明性;進行金融資料蒐集及共享時,亦應落實內部控制及風險管理機制,以降低相關合規風險。此外,各界對於去識別化資料是否非屬個資,以及金融機構運用 AI 產出之衍生資料的權利歸屬等議題,均未有定論,此將影響金融業 AI 應用發展空間與進程。
金融資料上雲成趨勢,去識別化程度仍缺乏客觀標準
金融資料的使用涉及個資保護及金融機構客戶資料保密之法規要求,資料的存放、傳輸及利用均須嚴密控管,故過往金融機構對於相關軟體服務或系統建置,多傾向採取封閉式地端部署模式,此亦為過往金融科技業者與金融機構合作之痛點。但隨著雲端技術的進步,加上 AI 系統須持續學習、即時更新資料的需求特性,金融資料上雲已成為不得不然的趨勢,主管機關亦已大幅簡化金融機構雲端委外之規範要求。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
然而,即使法規未直接限制,業者對於客戶資料上雲、對外傳輸及應用分析方面仍尚難大步邁進,事前監理鬆綁,業者須負擔更大之風險評估及控管責任。尤其就客戶資料保護而言,可行的合規做法包括事前告知並取得客戶同意,以及對資料進行去識別化、使其不再具有個資的特性。前者若於新戶開戶時,或可將同意書連同其他開戶文件一併提供客戶簽署,但對於既有客戶,實務上不易另行取得客戶同意;故金融機構多期能透過將個資去識別,以強化資料保護並提升運用彈性,然目前未有明確之去識別化程度標準,各界對於何種程度之去識別化方屬「非個資」之說法不一。實務上,縱使採用聯合學習(Federated Learning)產生模型參數、合成資料等方式,仍被認為可能存在再識別風險之疑慮。
AI 產出資料歸屬權難界定,金融資料利用目的範圍存在爭議
AI 產出之權利歸屬為何,於各產業皆為難題,以個資權利主張為例,金融消費者對於因使用金融服務提供之個資,可行使其個資法上權利,請求金融機構刪除或停止利用其資料,並拒絕金融機構以其資料訓練 AI 模型;然若為 AI 模型訓練後產出之衍生資料,是否歸屬金融機構所有?消費者能否對其主張權利(如要求該 AI 模型剔除其個人資料)?此亦為金融資料應用之隱憂。
再者,AI 模型之訓練需投入大量資源,金融機構為提高資源利用效率,或將透過遷移學習(Transfer Learning,TL)技術,調整既有訓練模型以適用於新應用場景,惟此舉引發資料用途擴展之爭議。例如,若某模型原為防範金融犯罪等公益目的而訓練,後續卻用於商業行銷,是否超出原始資料蒐集及利用之目的範圍?個人資料權益與 AI 應用發展間之平衡,有待各界進一步討論與共識。
[ 推薦文章:【金融業】引據規範並滾動調整,完善 AI 金融應用及風險治理 ]
監理法規或技術標準往往難以即時掌握新興技術躍進的跨度,從主管機關針對創新技術應用傾向發布指引,而非直接訂定強制規範的做法,即可看出其對於技術變革的審慎應對。因此,金融機構在面對創新時,應轉變傳統的被動因應思維,展現更敏銳的風險管理能力,主動建立內部管理機制並積極實踐。
例如,雖然目前國內尚無明確的去識別化標準,但金融機構可在風險可控的範圍內,先行於內部測試,累積驗證數據,並於公會提出討論,或參與金融科技產業聯盟,推動業界共同制訂自律標準。AI 所衍生的金融資料治理雖有諸多挑戰,但透過科技發展與風險控管雙軌並進的主動式策略,當可闢出一條穩健創新的康莊大道。
---作者簡介---
作者徐燁儀現為資策會數轉院金科中心副分析師,曾任職於保險公司投資部門及金控公司法遵部門。專精於金融法令遵循、合規管理及金融科技產業研究。長期參與台灣金融監理沙盒實驗案,並為金融科技業者提供合規顧問服務。曾參與執行聯徵中心及金融總會等相關智庫研究,並受邀至大專院校演講及擔任國內金融機構數位轉型工坊講師。國立臺北大學法律學系學士及中信金融管理學院財經法律研究所碩士。(本文授權非營利轉載,請註明出處:CIO Taiwan)
