當前，人工智慧在提升效率和降低成本方面展現出了巨大潛力，成為各界廣泛討論的焦點。其在防範金融犯罪流程中的應用同樣備受關注。

「了解您的客戶」(KYC) 和交易監控流程涉及大量資料，因此，將這些流程與人工智慧的強大能力相結合有望帶來顯著的優勢。人工智慧能夠即時回答問題並分析大量文字和數字資料。

然而，人工智慧大規模應用的挑戰同樣引發熱議。利益相關方認為人工智慧模型缺乏透明度，並表達了對資料保護和隱私的擔憂。

早在 2017 年，麥肯錫公司就發布了一項研究¹ ，指出法規遵循團隊中存在的各種效率不彰問題，包括工作碎片化、人工流程和巨量資料。² 然而，採用人工智慧技術的進展緩慢，直到最近，大型銀行才開始探索和測試在其防範金融犯罪制度中整合人工智慧的方法。相比之下，金融科技公司的舉措更為大膽。³ 隨著歐盟在 2018 年和 2024 年分別頒布資料保護和人工智慧法規，這些強有力的監管框架提供了必要的保障，預計未來幾年金融行業將加快應用人工智慧的步伐，實現快速且客製化的應用。

本文將探討人工智慧和資料隱私法規如何應對人工智慧應用帶來的問題，並分析義務主體如何針對人工智慧模型和監管科技工具建立適當的治理機制，最佳化防範金融犯罪制度，同時保護隱私權並降低與人工智慧相關的其他風險。

歐盟《人工智慧法案》及其在防範金融犯罪制度中的適用性

歐盟《人工智慧法案》於 2024 年 8 月 1 日正式生效，該法案將人工智慧系統的一個關鍵特徵定義為：系統透過機器學習具備學習、推理和建立模型的能力。它能夠從輸入的資料中推導出模型和演算法，並產生能夠影響物理和虛擬環境的預測、內容、建議或決策等輸出。根據《人工智慧法案》第 12 條，人工智慧系統能根據其自我學習能力以不同程度自主運行，在運行過程中不斷調整和優化自身。⁴

與防制洗錢 / 打擊資助恐怖活動制度一樣，歐盟《人工智慧法案》的核心原則同樣是風險為本的方法。

歐盟《人工智慧法案》的附件三規定了人工智慧系統的不同風險類別（見下圖 1）。高風險人工智慧系統包括「供執法機關或代表執法機關使用的人工智慧系統，或供支持執法機關或代表執法機關的歐盟機構、機關、辦公室或專業機構使用的人工智慧系統，用於評估自然人成為刑事犯罪受害者的風險」，如納入防制洗錢 / 打擊資助恐怖活動法規遵循制度的系統。⁵

用於防制洗錢 / 打擊資助恐怖活動的人工智慧系統屬高風險系統，因此在獲准上市之前需符合相關要求。⁶ 高風險人工智慧系統的監管規定將於 2026 年至 2027 年間生效。⁷

風險類別詳見下圖 1。⁸

圖 1：歐盟《人工智慧法案》規定的人工智慧系統風險類別 

資料來源：《人工智慧法案》⁹ 和歐盟委員會¹⁰；製圖：Jennifer Hanley-Giersch

歐盟《人工智慧法案》將在未來 6 到 36 個月內分階段實施。禁止條款在法案生效 6 個月後實施，行為準則在 9 個月後實施，包括治理在內的通用人工智慧規則在 12 個月後實施，而高風險系統的義務則在 36 個月後實施。¹¹

歐盟委員會新設立人工智慧辦公室，其將負責執行和監督通用人工智慧系統的新規範，確保服務供應商履行責任並協助用戶部署相關系統。根據行業特定立法，金融機構仍需對其外包的工具和服務承擔最終責任。《數位營運韌性法》(DORA) 為「關鍵第三方服務供應商」設立的監督框架可能具有參考價值。¹²

除圖 1 中概述的風險外，採用人工智慧工具還有一個關鍵考量就是資料隱私。根據《一般資料保護規則》(GDPR)¹³ ，企業處理個人資料必須要有法律依據。這與要求共享個人資料和資訊的防制洗錢法規相矛盾，因此必須為防制洗錢 / 打擊資助恐怖活動法規遵循制度建立適當的治理機制，以確保合法的資料傳輸。

《一般資料保護規則》要求機構確保資料處理的合法性、公平性和透明度，這會影響管理防制洗錢 / 打擊資助恐怖活動法規遵循風險的方式。在構建法規遵循制度時，防制洗錢 / 打擊資助恐怖活動專業人士必須隨時考慮資料保護和隱私措施。《一般資料保護規則》的七大原則¹⁴ 如下圖 2 所示。

圖 2：《一般資料保護規則》和人工智慧治理背景下的防制洗錢 / 打擊資助恐怖活動 

資料來源：Jennifer Hanley-Giersch 和《一般資料保護規則》¹⁵；製圖：Jennifer Hanley-Giersch

遵循上述原則能夠確保將《一般資料保護規則》的要求整合至防制洗錢 / 打擊資助恐怖活動法規遵循制度體系中。適當的控制措施有助於識別並解決潛在的漏洞和風險，從而降低違規導致監管和法律後果的可能性。

在防範金融犯罪制度中整合防制洗錢 / 打擊資助恐怖活動、《一般資料保護規則》和人工智慧要求（如上圖所示），建立起一個治理和資料保護框架，可以提供一套全面性方法，增強機構風險管理框架的成效與韌性。除降低監管風險外，機構還能贏得重視隱私權保護的客戶的信任，從而獲得競爭優勢。

監管科技與人工智慧治理

在防範金融犯罪制度的數位化轉型過程中，資料隱私的主要關注點包括：

• 資料隱私與安全：人工智慧系統通常需要大量的資料集進行訓練和運行。收集、儲存和處理個人資訊是與人工智慧系統相關的核心問題。
• 偏見與公平性：人工智慧系統可能會從訓練資料中繼承偏見，導致對特定群體或地區的不公平對待。例如，某些客戶檔案可能會因資料集中的偏見被不公平地標記為高風險。
• 透明度與可解釋性：許多人工智慧模型（尤其是深度學習系統）被視為「黑箱」，缺乏可解釋性，用戶難以理解人工智慧系統的推理過程，從而引發擔憂。此外，人工智慧系統可能會產生大量誤報，增加行政工作負擔，使用戶無法專注於策略和高風險問題。漏報（即未能檢測到可疑活動）也會增加機構的風險敞口。
• 過度依賴技術：過度依賴人工智慧可能會削弱人類法規遵循官員的批判性思維能力和監督能力。如果缺乏適當的人工監督，人工智慧系統產生的錯誤可能被廣泛散布而不被察覺。

從業者、監管者和學者¹⁶ 一致認為，適當的治理（即建立有效的監督機制）必不可少，才能充分利用防範金融犯罪制度中廣泛應用人工智慧所帶來的機會。經濟合作暨發展組織 (OECD) 的原則強調「人工智慧系統的透明度和負責任的揭露」，讓用戶能質疑結果，但人工智慧模型並非總能被恰當地解釋和傳達，因此相關機構和監管者無法評估模型的適用性並識別其實作的相關風險。¹⁷ 歐洲銀行業管理局 (EBA) 防制洗錢 / 打擊資助恐怖活動主管 Carolin Gardner 指出，金融機構經常未能有效部署最新的交易監控軟體和其他創新工具，以致不能增強其法規遵循制度，反而會形成長期漏洞。¹⁸ 歐洲銀行業管理局擬於 2025 年就該主題發表意見。

在將人工智慧引入防制洗錢和打擊資助恐怖活動制度之前，必須考慮若干風險，以確保所採用的人工智慧系統不僅滿足需求並適用於特定目的，還能以符合道德的方式運行。在實施人工智慧系統之前，應檢查以下事項：

人工智慧系統檢查清單

• 要求提供有關人工智慧系統的相關資訊說明文件。
• 對人工智慧系統進行風險評估，包括緩解措施。
• 確保高品質的資料集。
• 確保結果的可追溯性。
• 確保有人工監督並對團隊進行充分培訓。
• 確保人工智慧系統的穩健性、安全性和準確性。

結論

作為防範金融犯罪 / 打擊資助恐怖活動社群，在善加利用人工智慧系統提升效率之際，我們需要深入討論必須考量的界限與必要的控制措施。

防範金融犯罪專業人士須以正確的方式將人工智慧系統納入流程，並確保有適當、符合目的的治理措施，以持續降低風險。

因此，負責監督防制洗錢 / 打擊資助恐怖活動法規遵循制度的人員需要詳細了解其人工智慧系統，並監控和測試系統的部署方式，以保持充分的監督。

隨著人工智慧的成功實施，流程優化將釋放出大量的資源，善用這些資源，可合理分配人類判斷力和管理技能，解決更緊迫的風險問題。

Jennifer Hanley-Giersch，CAMS，Berlin Risk Ltd. 管理合夥人，德國柏林， jennifer.hanley@berlinrisk.com，

1. Piotr Kaminski、Daniel Mikkelsen、Thomas Poppensieker 等，“Sustainable compliance: Seven steps toward effectiveness and efficiency”（永續的法規遵循：實現有效性和效率的七個步驟），麥肯錫公司，2017 年 2 月 10 日，http://www.mckinsey.com/business-functions/risk/our-insights/sustainable-compliance-seven-steps-toward-effectiveness-and-efficiency?cid=eml-web
2. Jennifer Hanley-Giersch，“RegTech and Financial Crime Prevention”（監管科技與防範金融犯罪），The RegTech Book，Wiley，2019 年，https://doi.org/10.1002/9781119362197.ch4
3. “Financial services shun AI over job and regulatory fears”（金融服務因就業和監管擔憂而回避人工智慧），《金融時報》，2024 年 6 月 29 日，https://www.ft.com/content/0675e4d9-62a1-4d6c-9098-a8cb0d1e32ed
4. “Regulation (EU) 2024/1689 of the European Parliament and of the Council (Artificial Intelligence Act)”（歐洲議會和歐盟理事會第 2024/1689 號條例（《人工智慧法案》）），《歐盟官方公報》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
5. 同上。
6. “AI Act”（《人工智慧法案》），歐盟委員會，https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
7. “Regulation (EU) 2024/1689 of the European Parliament and of the Council (Article 113)”（歐洲議會和歐盟理事會第 2024/1689 號條例（第 113 條）），《歐盟官方公報》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689
8. “AI Act”（《人工智慧法案》），歐盟委員會，https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
9. “Regulation (EU) 2024/1689 of the European Parliament and of the Council (Artificial Intelligence Act)”（歐洲議會和歐盟理事會第 2024/1689 號條例（《人工智慧法案》）），《歐盟官方公報》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
10. “European Artificial Intelligence Act comes into force”（歐盟《人工智慧法案》生效），歐盟委員會，2024 年 7 月 31 日，https://ec.europa.eu/commission/presscorner/detail/en/ip_24_4123
11. 同上；“Regulation (EU) 2024/1689 of the European Parliament and of the Council (Article 113)”（歐洲議會和歐盟理事會第 2024/1689 號條例（第 113 條）），《歐盟官方公報》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689
12. “AI Act and its impacts on the European financial sector”（《人工智慧法案》及其對歐洲金融業的監管影響），歐洲保險和職業年金管理局，2024 年 2 月 21 日，https://www.eiopa.europa.eu/publications/ai-act-and-its-impacts-european-financial-sector_en
13. “Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation)”（歐洲議會和歐盟理事會第 2016/679 號條例（《一般資料保護規則》）），《歐盟官方公報》，2016 年 4 月 27 日，https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
14. “Regulation (EU) 2024/1689 of the European Parliament and of the Council (Artificial Intelligence Act)”（歐洲議會和歐盟理事會第 2024/1689 號條例（《人工智慧法案》）），《歐盟官方公報》，2024 年 6 月 13 日，https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
15. “Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation)”（歐洲議會和歐盟理事會第 2016/679 號條例（《一般資料保護規則》）），《歐盟官方公報》，2016 年 4 月 27 日，https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
16. George Pavlidis，“Deploying artificial intelligence for anti-money laundering and asset recovery: The dawn of a new era”（部署人工智慧技術應對防制洗錢與資產追回：新時代的開啟），ResearchGate，2023 年 5 月，https://www.researchgate.net/publication/370896227_Deploying_artificial_intelligence_for_anti-money_laundering_and_asset_recovery_the_dawn_of_a_new_era
17. “An overview of national AI strategies and policies”（國家人工智慧策略及政策綜述），經濟合作暨發展組織，2021 年，https://www.oecd.org/content/dam/oecd/en/publications/reports/2021/08/an-overview-of-national-ai-strategies-and-policies_913b6e4b/c05140d9-en.pdf
18. Koos Couvée，“Exclusive: Regtech Failures Plaguing European Banks”（獨家：監管科技失靈困擾歐洲銀行業），ACAMS moneylaundering.com，2024 年 12 月 5 日，https://www.moneylaundering.com/news/exclusive-regtech-failures-plaguing-european-banks/?type=free