生成式人工智能在金融行業的監管新趨勢

金融服務業向來受嚴格監管，無論是否採用AI，業界都必須遵守多項法規，包括風險管理、資料隱私、投資者及消費者保障、信息披露、以及網絡安全等。因此，即使並非每個市場都有專門針對AI的法律，但很多時候金融服務中的AI應用已經受到現有的監管規範所約束。

當前監管環境

有觀點認為，既然現行法規已經涵蓋大多數與AI相關的主題，因此不需要設立新的監管條例。但當技術急速變革時，市場會冒出前所未見的新風險，而舊有框架卻未能配合。那麼，金融服務業是否需要專門針對AI監管的法規？若然，應該如何打造這套法規？加上現在很多地方都以經濟增長作為首要目標而導致兩難：監管過多可能會扼殺創新，而監管過少則可能帶來道德與系統風險。

AI在金融行業的應用案例

根據經濟合作暨發展組織（OECD）的一項調查顯示，越來越多金融機構將AI納入其營運之中，在支付、信貸、保險和交易產品等應用或試驗。香港金融管理局的一份報告將金融服務業對AI的採用分為內部和外部用途：

• 內部用途：利用AI偵測詐騙和打擊洗錢措施能提升識別可疑交易的速度和準確度；而將監管報告自動化，可以減少人為錯誤和行政成本。
• 外部用途：AI提供投資建議、自動化的信貸審批以及AI驅動的客戶服務聊天機器人都可以提高客戶的參與及互動，但同時帶來較高風險：例如，倘若AI提供的投資建議導致客戶損失，或是因為演算法存在偏見而把按揭申請拒絕，誰會承擔責任？爭議會否不絕？

在AI應用帶來的種種風險之中，以上僅僅是監管機構所憂慮的部份例子，除此以外，還有網絡安全漏洞、模型偏見、錯誤資訊和市場操控等等潛在危機。這闡明適當的監管和明確的規範對安全開發和公平使用AI極具重要性。

全球金融服務業對AI的監管

概述

縱觀全球，金融服務業對AI或其他技術監管並沒有對技術本身有針對性（technology agnostic），即現有的金融監管法規適用於所有技術。OECD指出多個地區已經推出AI在金融行業裡應用的政策。有些地區選擇立法，有些則選擇政策指導、無約束性的最佳實踐方法（best practices），或是把兩者結合。OECD調查發現，儘管大多數市場不打算在短期內引入新的金融AI法規，但承諾持續審查現有框架，以確保法規符合當前需求，並在必要時加強。

而在不同的監管模式中，針對AI的指引有相當多的共同點，包括道德原則、風險導向框架、管治與問責、透明度與可解釋性、安全與保障，以及人工監督等。

不同的監管模式

儘管各個國家的監管重點有共同之處，但在AI的監管路徑方面依然有所不同。近期在法國舉行的AI峰會就將監管理念的差異帶到公眾面前。

以歐盟為例，歐盟的AI法案是一套全面監管AI應用的法律。它採取風險導向方法，將AI系統分為四個風險級別（不可接受、高風險、有限風險、極低或無風險），並施加嚴格的合規要求。該法案直接適用於金融服務企業，並具有超越國界的影響力，不論AI系統是否位在歐盟境內，只要這些系統在歐盟市場內可取得或使用，便受到該法案所監管。

美國較注重在AI領域建立領先地位、將增長機會最大化。相較於歐盟具有約束力的立法，美國更傾向於採取去中心化和針對特定領域的方法，並發出不具約束力的建議。到目前為止，包括美國證券交易委員會在內的主要金融監管機構都將重心放在確保AI技術的使用是負責任的，並防範AI對消費者或金融市場穩定性可能造成的損害。然而，隨著新政府上場，可能會有新方向。

在中國大陸，監管機構已經實施全方位的措施以監管AI的發展，重點關注內容安全、數據安全和演算法風險。當局重點關注國家安全、社會穩定和個人合法權益的保障。監管AI的關鍵法規之一是國家互聯網信息辦公室發布的《生成式人工智能服務管理暫行辦法》（AIGC）。金融機構要合規，須建立全面的風險管理框架、獲得批准以及完成註冊和申報。

亞太地區的監管發展

與歐盟不同，亞太地區的體系較分散，金融機構必須配合不同的合規體系。

• 澳洲：儘管澳洲沒有專門監管AI的法規，但她是最早採納全國性AI道德原則的國家之一。澳洲與歐盟相似，將某些高風險的AI應用（如深度偽造）列為罪行。澳洲證券暨投資委員會（ASIC）在2024年對其持牌人使用AI的情況進行審查後，對業界在處理AI創新時的管治安排表示擔憂。
• 香港：香港結合了自願性指導原則和具體措施。2024年10月，政府發布一份政策聲明，提出同時發展AI與緩解風險的雙重目標。2024年9月，香港金融管理局推出了GenA.I.沙盒，允許銀行在全面部署AI之前，先在監管下測試AI模型。證監會於2024年9月發出通告，強調使用AI進行受規管活動的公司必須符合現行的操守及風險管理等要求，並強調穩健的管治架構及高級管理層責任的重要性。
• 印度：印度目前正在制定更廣泛的AI監管法規。印度證券暨交易管理委員會（SEBI）發出的指引要求所有使用AI的受監管實體對AI產出的結果負責，確保投資者數據的隱私、安全和完整性，並確保AI生成的輸出符合相關標準。這些指引適用於股票經紀、託管機構和共同基金。
• 日本：日本一直以來以溫和的法規監管AI的使用。2024年，政府發布了《人工智慧事業指引（1.0版）》，為AI的使用與發展提供指導。

新加坡：新加坡金融管理局（MAS）通過其「FEAT原則」（公平、倫理、問責和透明度）推動AI管治，並通過Veritas計劃確保AI驅動的金融決策負責任且無偏見。2024年

• ，該局對銀行的AI模型風險管理實踐進行了審查，並隨後發布一系列良好實踐指導方針。

在高度監管的行業中引領AI創新

如何能夠在快速變化的監管環境之中，適當利用AI的變革潛力，同時保持合規是金融機構所面臨的巨大挑戰。主動制定符合透明度、問責和風險管理原則的AI管治框架將會是未來關鍵。業界也可透過監管沙盒等措施與監管機構合作，這將有助制定政策，為AI創新提供適當的護欄。

對CFA協會而言，AI管治至關重要。監管機構必須建立完善的框架，確保AI的道德原則和負責任的使用，包括對自身技術瞭解（know-your-tech，KYT）的責任，即企業必須徹底瞭解其AI系統，不單單是從技術角度認知AI系統，更要了解其廣泛的影響。

AI監管將會持續演變。在今時今日建立起負責任AI框架的企業，不僅能滿足未來的期望，更能確立在下一代金融服務中的領導地位。

CFA協會亞太地區研究與倡導資深顧問梁家恩