第 八 章 運用人工智慧安全控管
|
| 第 42 條 | (人工智慧定義)
一、人工智慧(AI)系統:係指透過大量資料學習,利用機器學習或相關
建立模型之演算法,進行感知、預測、決策、規劃、推理、溝通等模
仿人類學習、思考及反應模式之系統。
二、生成式人工智慧(Generative AI ):為人工智慧的一種;係指通過
大量資料學習,從而可以生成模擬人類智慧創造之內容的相關人工智
慧系統,其內容形式包括但不限於文章、圖像、音訊、影片及程式碼
等。 |
|
| 第 43 條 | (人工智慧指引適用範圍)
一、組織運用人工智慧,作為與消費者直接互動並提供金融商品建議、或
提供客戶服務且影響客戶金融交易權益、或對營運有重大影響者,應
符合本指引控管建議。
二、本條所稱之營運重大影響可參考「證券商作業委託他人處理應注意事
項」、「期貨商作業委託他人處理應注意事項」、「證券投資信託事
業證券投資顧問事業作業委託他人處理應注意事項」之重大性定義。
三、外資集團在臺子公司或分公司,如係透過外國母公司或總公司提供之
人工智慧系統辦理第一項服務者,可依外國母公司或總公司所訂管控
措施辦理,惟須不低於本指引規範之規定,外資集團在臺子公司或分
公司仍應就其在臺業務建立妥適內部控制制度及風險管理機制,充分
掌握對在臺作業涉及人工智慧服務之控管情形。 |
|
| 第 44 條 | (法令遵循)
組織運用人工智慧系統時,應確認資料來源的合宜性,並確實遵循資通安
全、個人資料保護、智慧財產權及營業秘密等議題之金融及其他法律規範
。 |
|
| 第 45 條 | (治理及組織權責)
一、組織應指定高階主管或委員會負責人工智慧相關監督管理並建立內部
治理架構,指派單位或人員負責人工智慧之推動及管理,並提供相應
資源。
二、組織應落實辦理人才培育,提供適當之培訓資源,以提升人員對人工
智慧系統導入、使用及管理之了解與能力、適應人工智慧系統的快速
發展與變化,並能以風險為基礎做出適當之決策及監督。 |
|
| 第 46 條 | (風險管理及定期審查)
一、運用人工智慧系統應以風險基礎為導向,就個別使用情境,考量是否
提供客戶服務或對營運有重大影響、使用個人資料程度、人工智慧自
主決策程度、人工智慧系統複雜性、影響不同利害關係人的程度及廣
度、以及救濟選項之完整程度等因素進行風險評估。
二、組織應依據風險評估結果視風險大小、特性或範圍,建立適當之風險
管控措施及定期審查機制。
三、組織辦理定期審查時,應評估人工智慧系統是否符合原先運用目的及
風險程度。就風險程度較高之人工智慧系統,得由具人工智慧專業之
獨立第三人進行審查,審查內容宜包括資料品質、模型品質、系統安
全性,以及公平性、永續發展、透明性及可解釋性等,並根據審查結
果調整和改進相關策略和措施。
四、組織運用人工智慧系統於提供與消費者直接互動之金融服務前,應針
對系統所使用之資料的治理方式、資通安全、監督機制、消費者權益
保障及發生非預期事件時之應變措施等,就資安、法遵及風控等層面
進行評估。 |
|
| 第 47 條 | (作業委外管理)
一、組織委託第三方業者導入人工智慧系統時,宜評估該第三方業者是否
具備相關知識、專業及經驗。
二、組織應考量委外項目與範圍,於合約中增訂資訊安全、資料保護、複
委託、責任範疇、罰則之條款,並就停止委託之情形訂定適當之資料
或系統遷移機制。
三、組織運用第三方業者開發或營運之人工智慧系統提供金融服務時,應
執行監督作業,並確保第三方業者留存執行受託辦理事項之書面或數
位作業紀錄,俾利後續追蹤、驗證及管理。
四、對於涉及營業執照所載業務項目或客戶資訊之相關人工智慧作業委外
時,應遵循「證券商作業委託他人處理應注意事項」、「期貨商作業
委託他人處理應注意事項」、「證券投資信託事業證券投資顧問事業
作業委託他人處理應注意事項」之規定辦理。 |
|
| 第 48 條 | (公平性原則)
一、組織運用人工智慧時,在演算法設計、開發、資料蒐集、訓練資料選
擇、處理、模型建置/生成/優化,及後續應用於金融服務過程中,
應採取以人為本及人類可控措施以符合金融服務業公平待客原則。
二、組織對於數據資料之蒐集及處理,宜盡量使用多元、包含各種背景與
特徵且具代表性之資料,而非僅依賴單一類別或群體之數據,以減少
對某些群體的偏見與歧視。
三、如使用以下資料參數納入演算法判斷,如:姓名、居住所、族群、宗
教、國籍、法律無限制或禁止之年齡、所有生理特徵(包含但不限於
身高、體重、性別、膚色、髮量、肢體障礙等),或所有非涉及心神
喪失致無法自主理解該金融商品判斷能力之疾病,應就資安、法遵及
風控等層面進行必要性評估。
四、運用人工智慧系統提供金融服務宜評估提供救濟選項,可能包括申訴
或補救管道、爭議處理機制等。若所運用之人工智慧系統如與洗錢防
制或詐騙偵防有關,而不適合提供救濟選項者,得不提供。 |
|
| 第 49 條 | (保護資料隱私)
一、組織運用人工智慧時,處理、儲存、傳輸與使用資料的過程中,應注
意保護個人和組織的資料隱私權,具備適當的保護措施確保其系統和
資料的安全,避免資料未經授權存取、修改或洩露。
二、組織應以資料最小化之原則蒐集與處理必要之客戶資料,並避免蒐集
過多或不必要之敏感資訊。 |
|
| 第 50 條 | (安全性與穩健性原則)
一、組織運用人工智慧系統於模型建立及驗證階段中(包括進行預訓練、
優化訓練等),在選擇模型或演算法等相關工具時,應注意其安全性
,並採取有效措施,包含但不限於資料品質處理、模型驗證與監控等
,以提高訓練品質防止生成不適當資訊,提升人工智慧系統的輸出或
生成內容的準確性與可靠性。
二、組織應遵循資訊安全相關規範,建立適當之資安防護或管控措施,防
範各種安全威脅及攻擊,如駭客攻擊、惡意軟體等,並持續監控運作
結果,確保人工智慧系統之安全性。 |
|
| 第 51 條 | (透明性與可解釋性原則)
一、組織運用人工智慧系統與消費者直接互動時,應告知該互動或服務係
利用人工智慧系統自動完成,或揭露該互動或自動化金融服務適用的
人群、場合、用途。另宜由消費者自行選擇是否使用,並提醒消費者
該項服務有無替代方案,但法令另有其規定者,從其規定。
二、組織運用人工智慧系統技術,若涉及金融交易者應理解其如何做出決
策並提高可解釋性,以確保對人工智慧系統運作之有效管理。 |
|
| 第 52 條 | (紀錄留存)
組織自行或委外開發、優化人工智慧系統時,應保存人工智慧系統生命週
期必要之技術文件及相關紀錄,包括開發者在設計、開發和實施過程中,
如為可能影響決策的重要資料、模型或演算法等紀錄,以確保其在必要時
可被查驗。 |
|
| 第 53 條 | (生成式人工智慧)
一、組織運用生成式人工智慧產出之資訊不可完全信任,應就該資訊之風
險進行客觀評估與管控,亦不得以未經確認之產出內容直接作成決策
之唯一依據。
二、組織在無適當管控機制下,人員不得向生成式人工智慧提供涉及應保
密、未經個人或未經組織同意公開之資訊,亦不得向生成式人工智慧
詢問可能涉及機密業務或個人資料之問題。但封閉式地端部署之生成
式人工智慧模型,於確認系統環境安全性後,得考量資訊機密等級提
供。
三、組織使用第三方業者開發之生成式人工智慧系統,如無法掌握訓練過
程及確保其數據或運算所得出之結果符合公平性原則時,應對該系統
產出之資訊由人員就風險進行客觀且專業管控。
四、組織導入生成式人工智慧系統,應重視公平性及以人為本的價值觀評
估是否對特定群體產生偏見或歧視之情況,並降低可能之不公平情況
。 |
|
| 第 54 條 | (永續發展原則)
一、尊重並保護一般受僱員工的工作權益,包括在數位轉型過程中,提供
適當的教育及培訓以助其適應新的工作環境。
二、組織運用人工智慧系統之策略及執行方向,應依據國際永續發展目標
及自訂之永續發展原則,適當列入永續發展綜合指標。 |
|