金管會 113 年 3 月 14 日金管銀國字第 1120237675 號函同意備查
金融機構運用人工智慧技術作業規範
第一條
中華民國銀行商業同業公會全國聯合會(以下簡稱本會)為強化金融機構運用人工智慧(AI)技術辦理銀行業務的客戶資料保護及銀行風險控管,特訂定本規範。
第二條
本規範所稱人工智慧,係指透過大量資料學習,利用機器學習或相關建立模型之演算法,進行感知、預測、決策、規劃、推理、溝通等模仿人類學習、思考及反應模式之技術。
本規範所稱生成式人工智慧(Generative AI)技術為人工智慧的一種;係指通過大量資料學習,從而可以生成模擬人類智慧創造之內容的相關技術,其內容形式包括但不限於文本、圖片、聲音、照片、影像、程式碼等。
本規範所稱生成式人工智慧(Generative AI)技術為人工智慧的一種;係指通過大量資料學習,從而可以生成模擬人類智慧創造之內容的相關技術,其內容形式包括但不限於文本、圖片、聲音、照片、影像、程式碼等。
第三條
金融機構於第一條所載範圍內運用人工智慧,作為與消費者直接互動並提供金融商品建議、或提供客戶服務且影響客戶金融交易權益、或對營運有重大影響者,適用本規範。
本條所指之營運重大影響可參考「金融機構作業委託他人處理內部作業制度及程序辦法」第四條第五款之重大性定義,自行評估。
本條所指之營運重大影響可參考「金融機構作業委託他人處理內部作業制度及程序辦法」第四條第五款之重大性定義,自行評估。
第四條
金融機構運用人工智慧等技術之策略及執行方向,應依據國際永續發展目標及自訂之永續發展原則,適當列入永續發展綜合指標。
第五條
金融機構運用人工智慧技術時,應確實遵循資通安全、個人資料保護、智慧財產權等金融法規及其他法律規範與相關資訊使用規定。
第六條
金融機構運用人工智慧時,在演算法設計、開發、資料蒐集、訓練資料選擇、處理、模型建置/生成/優化,及後續應用於金融服務過程中,應採取措施以符合金融服務業公平待客原則。
於處理人工智慧不公正或偏見問題時,以下資料參數得評估是否納入演算法判斷,如: 姓名、法律無限制或禁止之年齡、所有生理特徵(包含且不限於身高、體重、性別、膚色、髮量、肢體障礙等)、所有非涉及心神喪失致無法自主理解該金融商品判斷能力之疾病,並應就資安、法遵及風控等層面評估風險,依內部程序辦理。
於處理人工智慧不公正或偏見問題時,以下資料參數得評估是否納入演算法判斷,如: 姓名、法律無限制或禁止之年齡、所有生理特徵(包含且不限於身高、體重、性別、膚色、髮量、肢體障礙等)、所有非涉及心神喪失致無法自主理解該金融商品判斷能力之疾病,並應就資安、法遵及風控等層面評估風險,依內部程序辦理。
第七條
金融機構運用人工智慧技術的模型訓練階段中(包括進行預訓練、優化訓練等),在選擇模型或演算法等相關工具時,應注意其安全性,並採取有效措施,包含但不限於資料品質處理、模型驗證與監控等,以提高訓練品質防止生成不適當資訊,提升人工智慧技術的輸出或生成內容的準確性與可靠性。
金融機構運用人工智慧技術,若涉及金融交易者應理解其如何做出決策並提高模型的可解釋性,以確保對人工智慧的運作之有效管理。
金融機構運用人工智慧技術,若涉及金融交易者應理解其如何做出決策並提高模型的可解釋性,以確保對人工智慧的運作之有效管理。
第八條
金融機構運用人工智慧時,處理、儲存、傳輸與使用資料的過程中,應注意保護所有相關個人和組織的資料隱私權,具備適當的保護措施確保其系統和資料的安全,避免資料洩露,並使用相關安全技術防止、偵測和回應各種安全威脅和攻擊,如駭客攻擊、惡意軟體等。
第九條
金融機構應指定高階主管或委員會負責人工智慧相關監督管理並建立內部治理架構,指派單位或人員負責人工智慧之推動及管理,落實辦理人才培育,提供適當之培訓資源。負責運用生成式人工智慧技術之人員,應清楚了解生成式人工智慧技術運作方式以及如何做出回應。
第十條
金融機構自行開發、優化人工智慧技術時,應保存必要技術文件及相關紀錄,包括開發者在設計、開發和實施過程中,如為可能影響決策的重要資料、模型或演算法等紀錄,以確保其在必要時可被查驗。
金融機構使用第三方人工智慧技術時應執行調查、評估及監督作業,以確保第三方業者在人工智慧運算有自行留存軌跡紀錄,俾利後續查驗。
金融機構導入第三方人工智慧技術時,宜要求提供相關資訊,並明訂責任範疇。
金融機構使用第三方人工智慧技術時應執行調查、評估及監督作業,以確保第三方業者在人工智慧運算有自行留存軌跡紀錄,俾利後續查驗。
金融機構導入第三方人工智慧技術時,宜要求提供相關資訊,並明訂責任範疇。
第十一條
金融機構運用人工智慧技術與消費者直接互動時,應告知該互動或服務係利用上開技術自動完成,或揭露該互動或自動化金融服務適用的人群、場合、用途。另宜由消費者自行選擇是否使用,並提醒消費者該項服務有無替代方案,但法令另有其規定者,從其規定。
第十二條
金融機構提供前條金融服務前,應針對所使用資料之治理方式、資通安全、監督機制、消費者權益保障及發生非預期事件時之應變措施等進行評估,並由資安、法遵及風控等單位對於上開內容提出意見。
第十三條
金融機構應以風險基礎為導向,視其營業規模及運用人工智慧技術之程度建立適當之風險管理及定期檢視機制,視相關風險大小/特性/範圍,得由具人工智慧專業之獨立第三人出具評估報告,評估的內容應包括資料品質、模型品質、系統安全性,以及公平性、永續發展、透明性及可解釋性等,並且根據評估結果調整和改進相關的策略和措施。
金融機構運用生成式人工智慧,對於其產出之資訊,仍需由金融機構就其風險進行評估與管控。
第十四條
金融機構對於涉及營業執照所載業務項目或客戶資訊之相關人工智慧作業委外時,應依據「金融機構作業委託他人處理內部作業制度及程序辦法」規定辦理。
第十五條 金融機構應將本規範內容,納入內控內稽制度中,並定期辦理查核。
第十六條 本規範經本會理事會通過並函報金融監督管理委員會核備後實施,修正時亦同。
沒有留言:
張貼留言