当前，人工智能在提升效率和降低成本方面展现出了巨大潜力，成为各界广泛讨论的焦点。其在反金融犯罪流程中的应用同样备受关注。

“了解您的客户”(KYC) 和交易监控流程涉及海量数据，因此，将这些流程与 AI 的强大能力相结合有望带来显著的优势。AI 能够即时回答问题并分析大量文本和数值数据。

然而，人工智能大规模应用的挑战同样引发热议。利益相关方认为人工智能模型缺乏透明度，并表达了对数据保护和隐私的担忧。

早在 2017 年，麦肯锡公司就发布了一项研究¹ ，指出合规团队中存在的各种低效问题，包括工作分散化、人工流程和海量数据。² 然而，采用人工智能技术的进展较为缓慢，直到最近，大型银行才开始探索和测试将人工智能整合至其反金融犯罪制度体系中的方法。相比之下，金融科技公司的举措更为大胆。³ 随着欧盟在 2018 年和 2024 年分别颁布数据保护和人工智能法规，这些强有力的监管框架提供了必要的保障，预计未来几年金融行业将加快应用人工智能的步伐，实现快速且定制化的应用。

本文将探讨人工智能和数据隐私法规如何应对人工智能应用带来的问题，并分析义务实体如何针对人工智能模型和监管科技工具建立适当的治理机制，优化反金融犯罪制度体系，同时保护隐私权并降低与人工智能相关的其他风险。

欧盟《人工智能法案》及其在反金融犯罪制度体系中的适用性

欧盟《人工智能法案》于 2024 年 8 月 1 日正式生效，该法案将人工智能系统的一个关键特征定义为：系统通过机器学习具备学习、推理和建模的能力。它能够从输入的数据中推导出模型和算法，并生成能够影响物理和虚拟环境的预测、内容、建议或决策等输出。根据《人工智能法案》第 12 条，人工智能系统能根据其自我学习能力以不同程度自主运行，在运行过程中不断调整和优化自身。⁴

欧盟《人工智能法案》的附件三规定了人工智能系统的不同风险类别（见下图 1）。高风险人工智能系统包括“供执法部门或代表执法部门使用的人工智能系统，或供支持执法部门或代表执法部门的欧盟机构、机关、办公室或专业机构使用的人工智能系统，以评估自然人成为刑事犯罪受害者的风险”，如纳入反洗钱 / 反恐融资合规制度体系的系统。 ⁵

用于反洗钱 / 反恐融资的人工智能系统属于高风险系统，因此在获准上市之前需符合相关要求。⁶ 高风险人工智能系统的监管规定将于 2026 年至 2027 年间生效。⁷

风险类别详见下图 1。⁸

图 1：欧盟《人工智能法案》规定的人工智能系统风险类别 

资料来源：《人工智能法案》⁹ 和欧盟委员会¹⁰; 制图：Jennifer Hanley-Giersch

欧盟《人工智能法案》将在未来 6 到 36 个月内分阶段实施。禁止性条款在法案生效 6 个月后实施，行为准则在 9 个月后实施，包括治理在内的通用人工智能规则在 12 个月后实施，而高风险系统的义务则在 36 个月后实施。¹¹

欧盟委员会新设立的人工智能办公室将负责通用人工智能系统新规的执行和监督，确保服务提供商履行责任并协助用户实施相关系统。根据行业特定立法，金融机构仍需对其外包的工具和服务承担最终责任。《数字运营弹性法案》(DORA) 为“关键第三方服务提供商”设立的监督框架可能具有参考价值。¹²

除图 1 中概述的风险外，采用人工智能工具的一个关键方面是与数据隐私相关的考量。根据《通用数据保护条例》(GDPR)¹³ ，企业处理个人数据必须具备法定依据。这与要求共享个人数据和信息的反洗钱法规相矛盾，突显了为反洗钱 / 反恐融资合规制度体系建立适当治理机制的必要性，以确保合法的数据传输。

《通用数据保护条例》要求机构确保数据处理的合法性、公平性和透明度，这会影响洗钱 / 恐怖融资风险合规的管理方式。在构建合规制度时，反洗钱 / 反恐融资专业人士必须始终考虑数据保护和隐私措施。《通用数据保护条例》的七大原则¹⁴ 如下图 2 所示。

图 2：《通用数据保护条例》和人工智能治理背景下的反洗钱 / 反恐融资

资料来源：Jennifer Hanley-Giersch 和《通用数据保护条例》¹⁵；制图：Jennifer Hanley-Giersch

遵循上述原则能够确保将《通用数据保护条例》的要求整合至反洗钱 / 反恐融资合规制度体系中。适当的控制措施有助于识别并解决潜在的漏洞和风险，从而降低违规导致监管和法律后果的可能性。

通过将反洗钱 / 反恐融资、《通用数据保护条例》和人工智能要求（如图 2 所示）整合至一个反金融犯罪制度的治理和数据保护框架中，可以提供整体性方法，增强机构风险管理框架的有效性和抗压性。除降低监管风险外，机构还能赢得重视隐私权保护的客户的信任，从而获得竞争优势。

监管科技与人工智能治理

在反金融犯罪制度体系的数字化转型过程中，数据隐私的主要关注点包括：

• 数据隐私与安全：人工智能系统通常需要大量的数据集进行训练和运行。收集、存储和处理个人信息是与人工智能系统相关的核心问题。
• 偏见与公平性：人工智能系统可能会从训练数据中继承偏见，导致对特定群体或地区的不公平对待。例如，某些客户档案可能会因数据集中的偏见被不公平地标记为高风险。
• 透明度与可解释性：许多人工智能模型（尤其是深度学习系统）被视为“黑箱”，缺乏可解释性，用户难以理解人工智能系统的推理过程，从而引发担忧。此外，人工智能系统可能会产生大量误报，增加行政工作负担，使用户无法专注于战略和高风险问题。漏报（即未能检测到可疑活动）也会增加机构的风险敞口。
• 过度依赖技术：过度依赖人工智能可能会削弱人类合规专员的批判性思维能力和监督能力。如果缺乏适当的人类监督，人工智能系统产生的错误可能被广泛传播而不被察觉。

从业者、监管者和学者¹⁶ 一致认为，适当的治理（即建立有效的监督机制）必不可少，以便充分利用人工智能在反金融犯罪制度体系中广泛应用所带来的机会。经济合作与发展组织 (OECD) 的原则强调“人工智能系统的透明度和负责任的披露”，以便用户质疑结果，但人工智能模型并非总能被恰当地解释和传达，因此相关机构和监管者无法评估模型的适用性并识别模型实施相关的风险。¹⁷ 欧洲银行业管理局 (EBA) 反洗钱 / 反恐融资主管 Carolin Gardner 指出，金融机构经常未能有效部署最新的交易监控软件和其他创新工具，这非但不能增强其合规制度，反而会形成长期漏洞。¹⁸ 欧洲银行业管理局拟于 2025 年就该主题发表意见。

在将人工智能引入反洗钱和反恐融资制度体系之前，必须考虑若干风险，以确保所采用的人工智能系统不仅满足需求并适用于特定目的，还能以符合道德的方式运行。在实施人工智能系统之前，应检查以下事项：

人工智能系统检查清单

• 要求提供有关人工智能系统的相关信息的文档。
• 对人工智能系统进行风险评估，包括缓解措施。
• 确保高质量的数据集。
• 确保结果的可追溯性。
• 确保有人类监督并对团队进行充分培训。
• 确保人工智能系统的稳健性、安全性和准确性。

结论

作为反金融犯罪 / 反恐融资社群，我们需要深入讨论需要考虑的边界以及必要的控制措施，同时充分发挥人工智能系统在提升效率方面的益处。

反金融犯罪专业人士须以正确的方式将人工智能系统纳入流程，并确保有适当、符合目的的治理措施，以持续降低风险。

因此，负责监督反洗钱 / 反恐融资合规制度体系的人员需要详细了解其人工智能系统，并监控和测试系统的部署方式，以保持充分的监督。

随着人工智能的成功实施，流程优化将释放出大量的资源，可通过合理分配人类判断力和管理技能，解决更紧迫的风险问题。

Jennifer Hanley-Giersch，CAMS，Berlin Risk Ltd. 管理合伙人，德国柏林， jennifer.hanley@berlinrisk.com， 

1. Piotr Kaminski、Daniel Mikkelsen、Thomas Poppensieker 等，“Sustainable compliance: Seven steps toward effectiveness and efficiency”（可持续的合规：实现有效性和效率的七个步骤），麦肯锡公司，2017 年 2 月 10 日，http://www.mckinsey.com/business-functions/risk/our-insights/sustainable-compliance-seven-steps-toward-effectiveness-and-efficiency?cid=eml-web
2. Jennifer Hanley-Giersch，“RegTech and Financial Crime Prevention”（监管科技与防范金融犯罪），The RegTech Book，Wiley，2019 年，https://doi.org/10.1002/9781119362197.ch4
3. “Financial services shun AI over job and regulatory fears”（金融服务因就业和监管担忧而回避人工智能），《金融时报》，2024 年 6 月 29 日，https://www.ft.com/content/0675e4d9-62a1-4d6c-9098-a8cb0d1e32ed
4. “Regulation (EU) 2024/1689 of the European Parliament and of the Council (Artificial Intelligence Act)”（欧洲议会和欧盟理事会第 2024/1689 号条例（《人工智能法案》）），《欧盟官方公报》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
5. 同上。
6. “AI Act”（《人工智能法案》），欧盟委员会，https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
7. “Regulation (EU) 2024/1689 of the European Parliament and of the Council (Article 113)”（欧洲议会和欧盟理事会第 2024/1689 号条例（第 113 条）），《欧盟官方公报》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689
8. “AI Act”（《人工智能法案》），欧盟委员会，https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
9. “Regulation (EU) 2024/1689 of the European Parliament and of the Council (Artificial Intelligence Act)”（欧洲议会和欧盟理事会第 2024/1689 号条例（《人工智能法案》）），《欧盟官方公报》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
10. “European Artificial Intelligence Act comes into force”（欧盟《人工智能法案》生效），欧盟委员会，2024 年 7 月 31 日，https://ec.europa.eu/commission/presscorner/detail/en/ip_24_4123
11. 同上；“Regulation (EU) 2024/1689 of the European Parliament and of the Council (Article 113)”（欧洲议会和欧盟理事会第 2024/1689 号条例（第 113 条）），《欧盟官方公报》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689
12. “AI Act and its impacts on the European financial sector”（《人工智能法案》及其对欧洲金融业的监管影响），欧洲保险和职业养老金管理局，2024 年 2 月 21 日，https://www.eiopa.europa.eu/publications/ai-act-and-its-impacts-european-financial-sector_en
13. “Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation)”（欧洲议会和欧盟理事会第 2016/679 号条例（《通用数据保护条例》）），《欧盟官方公报》，2016 年 4 月 27 日，https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
14. “Regulation (EU) 2024/1689 of the European Parliament and of the Council (Artificial Intelligence Act)”（欧洲议会和欧盟理事会第 2024/1689 号条例（《人工智能法案》）），《欧盟官方公报》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
15. “Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation)”（欧洲议会和欧盟理事会第 2016/679 号条例（《通用数据保护条例》）），《欧盟官方公报》，2016 年 4 月 27 日，https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
16. George Pavlidis，“Deploying artificial intelligence for anti-money laundering and asset recovery: The dawn of a new era”（部署人工智能技术应对反洗钱与资产追回：新时代的开启），ResearchGate，2023 年 5 月，https://www.researchgate.net/publication/370896227_Deploying_artificial_intelligence_for_anti-money_laundering_and_asset_recovery_the_dawn_of_a_new_era
17. “An overview of national AI strategies and policies”（国家人工智能战略及政策综述），经济合作与发展组织，2021 年，https://www.oecd.org/content/dam/oecd/en/publications/reports/2021/08/an-overview-of-national-ai-strategies-and-policies_913b6e4b/c05140d9-en.pdf
18. Koos Couvée，“Exclusive: Regtech Failures Plaguing European Banks”（独家：监管科技失灵困扰欧洲银行业），ACAMS moneylaundering.com，2024 年 12 月 5 日，https://www.moneylaundering.com/news/exclusive-regtech-failures-plaguing-european-banks/?type=free