金機構在營運過程中常常面臨各種風險，其中，與金融犯罪和防制洗錢相關的風險危害最大。此類風險不僅會導致金融機構面臨巨額罰款，還可能損害其聲譽。金融機構面臨金融犯罪和防制洗錢風險的一大關鍵途徑，是在為高風險客戶開戶，或與可能或已參與洗錢或資助恐怖活動的高風險客戶進行業務往來。 哪些人員屬高風險客戶？ 在深入探討如何管理高風險客戶帶來的風險前，首先需要確定「高風險客戶」的定義。簡單來說，高風險客戶是指由於其職業性質、背景或地理位置等因素，有較高可能性參與金融犯罪或洗錢 / 資助恐怖活動或受其影響的個人或實體。同樣，在金融機構利用某些產品和服務，以便於洗錢和資助恐怖活動的人員也屬高風險客戶。不同司法管轄區的銀行法規和法律要求對高風險客戶的分類略有不同，但通常包括以下幾類： 政治公眾人物 高淨值人士 貨幣服務企業 來自高風險司法管轄區的客戶 與高風險行業相關的客戶（如加密貨幣、貴金屬和寶石經銷商、賭場等） 從事現金密集型業務的客戶（如自助洗衣店、賭場、便利店等） 武器製造商 大麻生產商和分銷商 使用通匯銀行服務的客戶 什麼是風險為本的盡職調查？ 為防範高風險客戶帶來的洗錢、資助恐怖活動和金融犯罪風險，金融機構會展開風險為本的盡職調查或增強盡職調查 (EDD)，以管理與高風險客戶的關係，並評估是否應維持或終止客戶關係。 風險為本的盡職調查是金融機構採取的定製化控制措施，用於根據客戶對機構構成的風險對其進行審查和評估。機構根據客戶的個人資料和背景資訊對其給予風險評等（高 / 中 / 低或分數），據此進行所需盡職調查程度，至少包括負面新聞調查、交易活動審查、交易監控警報審查、制裁名單篩查、過往可疑活動和交易報告等。 關於高風險客戶的監管要求 大多數國家或地區的銀行監管機構要求金融機構在為新客戶開戶前實施風險為本的盡職調查，並對高風險客戶定期複查，以確保其風險在機構的可承受範圍內。要求金融機構落實此類控制措施的部分關鍵法規包括美國《銀行保密法》和《愛國者法》，其中規定「金融機構須制定經合理設計的增強盡職調查政策、程序和控制措施，以檢測並報告透過這些帳戶進行的[洗錢]活動」。1 同樣，加拿大《犯罪（洗錢）所得和資助恐怖活動法》也有類似要求，英國則通過 2017 年《洗錢法規》明確規定了相關義務。 儘管監管法規早已明確要求金融機構採取充分的風險為本的盡職調查控制措施，但金融機構因執行不力而被處以高額罰款的新聞屢見報端。最近受到嚴厲處罰的機構包括幣安 (Binance)、Klarna Bank、美國國民城市銀行和 Starling Bank，原因詳見下表 1。 表 1：管理高風險客戶帶來的風險 這些案例的共同之處在於，上述金融機構缺乏有效的風險管理措施，未能識別、評估和降低高風險客戶帶來的風險。這凸顯了在金融機構內部養成穩健風險管理文化的重要性，這有助於強化風險為本的盡職調查控制措施，以便持續審查和評估高風險客戶。 風險管理方法 風險管理是指金融機構董事會（包括風險委員會）和管理層採取的策略性綜合措施，旨在識別風險、評估已識別風險對機構實現其目標和願景的影響、評估現有控制措施的有效性、制定或強化控制措施，並持續監督和報告措施的執行情況。風險管理是一個持續的過程，圖 1 展示了這一活動的動態循環特徵。 圖 1：風險管理週期 資料來源和製圖：Gauri Bapat 大型金融機構大都設有「第二道防線」(2LOD)...

公認反洗錢師協會 (ACAMS) 與 Cifas 1 近期聯合發布簡報《內部威脅：日益凸顯的隱患》2，梳理了公共和私營機構所面臨的內部人員風險局勢變化。 內部威脅過去僅限於惡意交易員或心懷不滿的員工，如今其定義已延伸至更廣泛的風險範疇，即包括與外部威脅行為主體（如有組織犯罪集團）的勾結、長期潛伏的「內鬼」（有時由國家行為主體安插）以及導致重大金融犯罪或網路安全管控失效的內部懈怠。本文透過剖析若干近期案例，揭示了由內部人員參與的詐欺、洗錢、網路犯罪及其他惡意計劃所具有的廣泛性、複雜性和跨行業特徵，深入探討這一令人擔憂的現象。 ACAMS 與 Cifas 指出了一個關鍵趨勢：內部威脅不再局限於孤立事件，而是日益成為複雜詐欺和地緣政治洗錢計劃的一部分。內部人員可能有意或無意地成為協助者、推動者或守門人，使得內部監督至關重要卻難以實施。在所有審查案例中，內部人員既是犯罪成功的關鍵推手，也是規避現有管控的核心力量。 所有案例均涉及多種環境因素，應結合其獨特特徵（如前置犯罪、組織特徵及管控框架）進行綜合考量。 案例分析： 1. 肯亞近期發生的一起案例揭示了內部人員可能給單一金融機構 (FI) 造成的潛在風險規模。3 Equity Bank 的稽核發現，在 90 天內發生了一起涉及 1,160 萬美元（15 億肯尼亞先令）的內部詐欺案。一名高階薪資經理的 IT 憑證遭竊後，不法分子透過薪資系統和行動錢包向外部帳戶進行 40 餘筆未經授權的轉帳。涉案人員遍及各級部門，包括高階主管和基層職員——部分人員因直接參與共謀或因未及時上報可疑活動而受到牽連。最終，該行在內部整肅行動中解雇或裁撤了逾 1,200 名員工。 該詐欺案涉及多種手段：行動支付轉帳方向錯誤、未經授權的跨行轉帳（含離岸轉帳）以及收受客戶「小費」或賄賂。此次大規模整肅暴露了內部控制體系、企業文化、反詐欺人員及常規法務稽核中的系統性治理缺陷。該案例揭示了內部人員風險如何滲透看似例行交易的流程，凸顯了主動監督員工行為的必要性。 2. 2024 年 5 月，美國國務院前預算分析師對從雇主處挪用逾 65 萬美元公款的犯罪行為供認不諱。4 她利用財務主管職務之便，篡改供應商記錄並提交虛假付款授權。這是「特權職位風險」的典型案例——系統存取權限與職責分離不足、交易監督缺失相結合，助長了持續性詐欺的氣焰。該案表明，內部流程漏洞可能會加劇跨機構間的重大風險。採購與供應商付款環節增強盡職調查和異常檢測的重要性不亞於客戶層面的監督。 3. 2025 年 6 月，美國金融教育機構特許金融分析師協會 (CFA) 一名高階主管被曝透過虛假報銷和偽造供應商付款挪用數百萬美元資金。5  該詐欺行為持續數年之久，涉及濫用偽造文件及監管失職。...

「包容」近年來成為熱門詞彙。西方近期致力於讓所有社會成員——少數群體、老年人、身心障礙人士、女性、男性及其他群體——享有平等地位。相關社會運動旨在賦予全人類平等機會，力求消除一切阻礙發展的歧視與壁壘。1 金融自然不可能置身事外，普惠金融的目標在於讓盡可能多的人獲得金融服務。 「去風險化」則反其道而行。對於金融機構 (FI) 或其他參與打擊金融犯罪的經營主體，這意味著退出特定業務或地區，甚至拒絕為被視為高風險的特定客戶提供服務。2 在某些情況下，潛在的財務或聲譽損失的風險確實可能遠大於產品帶來的利潤。企業要維持生存，首要考慮的是利潤。去風險化能避免企業採取成本高昂的預防措施，且通常被視為是有利於企業的舉措。 包容政策能產生凝聚效應，去風險化則會引發相反結果；因此我們可以認為，去風險化是對普惠金融的威脅。 這只是理論推演。那麼在歐洲聯盟，現實情況如何？我們能從中總結出什麼規律？ 從現實角度看，去風險化對普惠金融構成威脅 表 1：去風險化類型及其對普惠金融的影響 去風險化類型 對普惠金融的影響 退出特定地理區域。整個地區均無法獲得銀行專業人士服務。例如，從所謂的「避稅天堂」撤出經營活動，或停止在被列入國際制裁名單的國家推展業務。   金融機構及整個國家或地區都可能無法使用通匯銀行業務、信貸服務，甚至被排除在環球銀行金融電訊 (SWIFT) 系統之外，導致其與全球金融體系徹底隔絕。   金融機構將特定高風險客戶排除在外。 ·       一些歐盟成員國在報告中指出，為規避高風險客戶，僅根據國籍便拒絕接納阿富汗、敘利亞、伊朗等國居民作為客戶。3 普惠金融的問題仍是阿富汗的頑疾，90% 的成年人被排除在金融體系之外。4 ·       將低價值零售客戶（如移工）拒之門外。 ·       非營利組織常常無法順利開戶。 缺乏銀行服務使這些群體喪失自主權，發展潛力受限。   金融機構可能因擔憂詐欺、財務損失或監管罰款而回避特定分銷管道或產品。 現金密集型業務、賭博及虛擬貨幣即屬此類。 加密貨幣等新興產品可能因法規不完整且不一致而令金融機構望而卻步。然而，回避這些市場可能造成重大損失。 企業追求利潤最大化，往往傾向規避風險，但須兼顧國際法規要求。部分法規迫使金融機構退出特定領域，而另一些則鼓勵其促進普惠金融發展。 制裁下的「被迫去風險化」 國際制裁機制直接導致企業撤資，加劇金融排斥現象。各國（尤其是歐洲聯盟成員國）均須遵守相關要求，包括限制甚至禁止在某些國家 / 地區或與某些客戶 / 公司開展業務。伊朗就是金融排斥的一個典型。5 歐洲聯盟成員國必須遵守歐洲聯盟的國際制裁規定，此外還有美國或其他國家的制裁規定，如禁止進出口的產品（包括某些金融產品）清單或要求扣押其金融資產的人員名單。 遵守普惠金融立法 促進普惠金融的立法業已存在，企業別無選擇。例如，歐洲聯盟關於支付帳戶的指令賦予人們擁有基本支付帳戶的權利，無論其居住地或財務狀況如何。6 這一立法保障所有人均能獲得銀行帳戶相關的基本服務，即使銀行拒絕為其開戶。該機制旨在確保金融普惠和社會包容，讓每個人都能享受基本的銀行服務。在法國，此類請求可提交法國央行，由央行指定金融機構以提供相關服務。這一機制並非隨處可見。但評估防制洗錢措施特設專家委員會 (MONEYVAL) 審查的幾乎所有國家或地區都表示已制定相關政策和計劃，以確保社會弱勢群體（即移工、低收入者等）能夠獲得進入金融系統的基本途徑。7...

多 年來，「瞭解您的客戶」及相關盡職調查措施與防範詐欺流程一直被視為相互獨立的職務。「瞭解您的客戶」主要關注遵守某些防制洗錢 (AML) 相關監管要求，而防範詐欺則注重即時阻止不法分子的犯罪行為。但如今，隨著金融犯罪的快速演變（部分動力來自技術進步），這種分隔已沒有意義；詐騙分子開始利用兩者之間的隔閡實施犯罪，監管機構明確指出，若還不儘快連結兩者，將付出高昂代價。 僅在 2024 年，美國監管機構就針對違反防制洗錢 (AML) 和「瞭解您的客戶」要求1 開出超過 40 億美元的罰款，這警示我們，未能整合防範詐欺與法規遵循措施的機構正面臨創紀錄罰款。 連結實際身分和數位身分：新標準 隨著銀行的數位化轉型，越來越難以區分「好」客戶和「壞」客戶。傳統的身分驗證方法（如護照、駕照和面對面核查）仍很有價值，但僅靠這些方法已顯不足。 詐騙分子可能從暗網購買竊取的身分，偽造合成身分，並使用人工智慧 (AI) 生成深度偽造身分，進而操縱開戶流程。 長期以來，詐騙團隊一直採用先進方法，設法整合實際身分與數位身分屬性，例如行為生物識別（包括行動裝置使用模式、交易模式）、裝置資料情報（包括 IP 風險評分）和地理位置追蹤（包括根據預期行為來評估登錄模式）。「瞭解您的客戶」團隊應整合並利用反詐騙團隊收集的資料和見解，加強自身的驗證和盡職調查流程，避免不必要的重複工作。 進階分析：消弭「瞭解您的客戶」與防範詐欺之間的隔閡 人工智慧和機器學習的進步正在徹底改變即時評估風險的能力。詐欺與「瞭解您的客戶資料集的龐大與複雜性，過去曾被視為一大限制，如今卻是個機會，因為模型能從中識別異常狀況，偵測出幾近不可能以人工方式辨識的可疑模式。此外，進階分析可透過有效評估行為模式及、交易異常 / 行為，同時運用情境因素（產品使用情況、客戶資料）來識別詐欺行為，進而改善風險偵測。 過去，批次處理的防制洗錢 / 瞭解您的客戶 (AML / KYC) 偵測平臺無法實現即時詐欺偵測，但透過整合來自詐欺即時系統的資訊，可顯著加強防制洗錢 /瞭解您的客戶的工作。「瞭解您的客戶」團隊和反詐欺團隊共享彼此的技術平臺後，可簡化運作流程，減少冗餘檢查，提高整體效率。 最終，反詐欺團隊和「瞭解您的客戶」團隊共享資料和見解，機構可藉由共享身分資訊更有效地關聯看似不相關的帳戶，進而發現隱秘的不法分子網絡，但目前許多機構內部仍以各自為政的方式工作。 尋找平衡：安全無憂 一旦整合「瞭解您的客戶」和反詐欺措施，可提高安全性，盡可能降低風險，但必須在防範風險和用戶體驗之間取得適當平衡，避免給合法客戶帶來非必要打擾。 在開戶和驗證過程中，為了減輕客戶負擔，主要採用被動驗證技術——在無需客戶積極介入的情況下收集客戶的資料和文件。利用這種被動技術，並輔以風險為本的身分驗證方法，可確保盡可能避免給合法客戶帶來非必要打擾，同時有力防範不法分子。 風險為本的身分驗證方法可確保安全措施適用於因應客戶或產品的潛在風險保持一致。 其作法是運用風險為本的智慧身分驗證方法，確保所採用的安全措施符合每次互動和相關客戶的風險級別。機構應以動態方式衡量風險，這既可減少不必要的干擾，還可在適用情況下有效威懾詐騙分子。 若能妥善地將主動詐欺偵測與「瞭解您的客戶」結合起來，可增強客戶的信任，進而鞏固長期關係，並保護金融機構免遭金融犯罪侵害。 結論：立即整合「瞭解您的客戶」與反詐欺工作 隨著新技術的出現，金融世界正在發生變化，過去將「瞭解您的客戶」與防範詐欺措施分而治之的時代已不復存在。監管機構要求加強監管，與此同時，犯罪分子技術手段越來越先進，並學會規避傳統控制措施。因此，金融機構需要適應這種情況。 那就是加強反詐欺團隊和「瞭解您的客戶」(KYC) 團隊之間的協作與合作，以便在「瞭解您的客戶」的過程中，利用詐欺偵測活動中獲得的寶貴見解和資料。有效整合共享資料，促進更全面的風險評估，並堵住犯罪分子可能利用的漏洞。 金融機構將客戶資料、交易監控和數位身分驗證相結合，就能保持領先地位。現在正是整合防範詐欺和「瞭解您的客戶」工作的最好時機，否則金融機構會付出高昂代價。 Vasilios...

本文是關於可疑活動報告 (SAR) 創新、最佳化與合作的第三篇，旨在提高打擊金融犯罪的效率和有效性，該系列文章共分為三個部分。第一篇文章分兩部分，分別發表在《今日 ACAMS》2024 年 12 月至 2025 年 2 月刊以及 ACAMSToday.org1 上，主要探討如何最佳化提交給執法機關的可疑活動報告，即從執法機關的視角說明如何從銀行業提交的大量報告中確定最有價值的可疑活動報告。第二篇文章發表在 2025 年 3 月-5 月版《今日 ACAMS》2 上，主要探討金融機構 (FI) 如何最佳化報告資訊，儘量提高報告對執法機關的用處。現在，我們主要結合這兩個主題，探討提高該領域效率和有效性的最關鍵因素：公私合作。 背景 可疑活動報告是指金融機構和其他機構編纂的監管報告，用於向執法機關 (LE) 通報已知或可疑的洗錢或其他金融犯罪。可疑活動報告以電子方式提交至金融犯罪稽查局 (FinCEN) 管理的電子儲存庫。執法機關——通常是指聯邦機構內的專門部門——是可疑活動報告的主要使用者。 問題 在提交可疑活動報告後，提交者對該報告的生命週期就喪失權限——例如由誰存取、閱讀、使用該報告等——這實際上形成一個單向的資訊「黑洞」。根據聯邦保密法，金融犯罪稽查局可疑活動報告資料庫的存取權限受到極大限制，大多數州和地方執法機關都無權直接存取報告內容。在法庭訴訟中，可疑活動報告屬於不可揭露或採納的證據。此類報告可用作啟動或確認案件的線索，但根據保護提交者的安全港條款，不得以其他任何方式提及這些報告。這些必要保護措施無意中阻礙了可疑活動報告的用途以及相關金融犯罪的回饋。克服這些障礙的最佳方法是金融機構和執法機關設立「金融犯罪聯絡簿」，以便提交者和接收者及時溝通。鑒於美國政府正在實施人員重組，銀行聘用的調查員又具有臨時性質，該聯絡簿必須保存多種最新資訊，以確保在必要時能夠快速聯繫到對方。 解決方案 公私合作在鼓勵共享資訊，以及減少與可疑活動報告相關的知識孤島方面扮演至關重要的角色。 作為最基本的方法，金融機構和執法機關透過可疑活動報告審查小組以及共同建立的網路，合作打擊金融犯罪。一般而言，美國聯邦層級的每個司法管轄區都設有一個可疑活動報告審查小組，通常由美國國稅局刑事調查處 (IRS-CI) 帶領。這些小組負責定期審查可疑活動報告，審查內容涵蓋其司法管轄區內發生的特定事項和活動。可疑活動報告審查小組的組成人員包括目前可存取金融犯罪稽查局可疑活動報告資料庫的聯邦探員，以及州和地方機構內部負責處理金融犯罪案件的工作小組成員。 地區會議 可疑活動報告審查小組定期召開會議，一起討論可疑活動報告，但根據可疑活動報告保密法，這些會議必須保密。許多審查小組增設了公開回饋環節，在此期間，金融機構可與團隊成員就目前話題（如詐騙、支付管道和其他時事）進行互動。北卡羅萊納州東區設立的可疑活動報告審查小組就是這種合作的典範。他們設有專用電子郵件地址 reportitnownc@ci.irs.gov，以便金融機構緊急上報可疑活動報告中的「緊急」案件。可疑活動報告審查小組和其他執法機關也會聯繫金融機構，並經由作證傳票程序獲取可疑活動報告佐證文件。這些互動應記錄到內部的「金融犯罪聯絡簿」。 除了與可疑活動報告審查小組相關的會議外，許多地區還定期（每月或每季度）召開內部會議，參會者包括當地金融機構防制洗錢 (AML) 和反詐欺部門的員工，以及聯邦、州和地方機構中的執法機關代表。這些會議通常冠以「銀行警報」、「銀行警示」或其他類似名稱，旨在促進同行機構共享資訊，以偵查和防範金融犯罪。此外還經常使用電子郵件清單系統管理參會人員，該系統可查找其他機構或部門的聯繫資訊。 金融犯罪稽查局合作計劃 金融犯罪稽查局促使銀行保密法諮詢小組 (BSAAG) 和金融犯罪稽查局交流平臺展開公私合作。...

近期案例分析，如香港1 和印度,2 備受矚目的人工智慧 (AI) 導向詐欺事件，凸顯了人工智慧帶動的金融犯罪威脅日益嚴重，尤其是在亞太地區。與此同時，一些領先的金融機構 (FI)3 正在採取透過人工智慧加強的防制洗錢 (AML) 制度，使用自然語言處理技術進行法規遵循監控，並利用深度學習模型來偵查複雜金融網路中的非法資金流動。 為應對這些不斷演變的威脅，金融機構必須審慎有責地將人工智慧整合到現有的防制洗錢框架之中。這包括持續監控、採用監管技術 (regtech)、與執法機關 (LE) 展開合作，以及根據《銀行保密法》和防制洗錢金融行動工作組織 (FATF) 建議等全球法規遵循標準定期評估風險。金融機構一旦實施人工智慧驅動的防制洗錢策略，可增強詐欺偵測，提高法規遵循效率，維護全球金融體系的健全誠信。 防制洗錢法規遵循的人工智慧角色 人工智慧在防制洗錢法規遵循領域中的應用徹底改變了金融機構偵測和管理非法金融活動的方式。監管機構4,5 和金融機構6 正利用人工智慧驅動工具來主動偵測異常情況並阻止非法金融活動，包括機器學習演算法、即時交易監控、行為分析等。 機器學習演算法：這些演算法可以分析大量資料，識別出可能顯示存在洗錢活動的異常模式和行為。機器學習模型從新資料中持續學習，可以適應新興威脅，並逐漸提高偵測準確性。 即時監控交易：這些系統利用進階分析技術來標記偏離既定模式的交易，以便立即進行調查和採取行動。這種主動方法有助於在洗錢活動升級為更嚴重的金融犯罪之前加以阻斷。 透過人工智慧緩釋風險：人工智慧可高速處理大量資料，使其成為金融界降低風險的寶貴工具。金融機構7 正利用人工智慧來增強其風險評估流程，確保及時發現和應對潛在威脅。 行為分析：透過人工智慧進行的行為分析可分析客戶和員工的行為，發現可能存在詐欺活動的異常情況。人工智慧對照正常行為模式，偵測出可能顯示洗錢企圖的異常情況，以便金融機構採取防範措施。 增強盡職調查：借助人工智慧驅動的增強盡職調查流程，金融機構能夠對高風險客戶實施深入的背景核對。人工智慧運用交叉參照多個資料來源，可全面瞭解客戶風險狀況，幫助金融機構就其業務關係做出明智決策。 本文探討了將人工智慧整合到有效防制洗錢策略的四大關鍵支柱：法規遵循與監管一致；培訓與意識；持續測試與改進；以及事件應對與報告。 1. 法規遵循與監管一致 為了維持法規遵循與監管一致，建議金融機構按照防制洗錢金融行動工作組織 (FATF)《防制洗錢 / 打擊資助恐怖活動 (CTF) 法規遵循手冊》的規定8 ，記錄人工智慧導向流程，以確保透明度，並遵守監管機構指南。 在設計人工智慧系統時應遵守本地和國際防制洗錢法規，包括防制洗錢金融行動工作組織建議9 以及歐洲證券和市場管理局 (ESMA)《金融工具市場指令 II》(MiFID II)10 的要求，以確保遵守不斷變化的法規遵循要求。制定一套可解釋性框架至關重要，以便監管機構和利益相關者能夠理解人工智慧導向的決策，並遵循美國國防高階研究計劃局 (DARPA)11 制定的可解釋人工智慧原則。此外，還必須定期更新人工智慧系統，以反映監管變化和新興洗錢威脅，並利用巴塞爾防制洗錢指數12 等資源，及時應對不斷變化的風險和法規遵循期望。 為遵循最佳實務，建議各機構確保其人工智慧驅動的防制洗錢策略，與相關監管要求及產業標準保持一致。這包括持續監控、採用監管科技，以及維持人工智慧模型的透明度和可解釋性。...

當前，人工智慧在提升效率和降低成本方面展現出了巨大潛力，成為各界廣泛討論的焦點。其在防範金融犯罪流程中的應用同樣備受關注。 「了解您的客戶」(KYC) 和交易監控流程涉及大量資料，因此，將這些流程與人工智慧的強大能力相結合有望帶來顯著的優勢。人工智慧能夠即時回答問題並分析大量文字和數字資料。 然而，人工智慧大規模應用的挑戰同樣引發熱議。利益相關方認為人工智慧模型缺乏透明度，並表達了對資料保護和隱私的擔憂。 早在 2017 年，麥肯錫公司就發布了一項研究1 ，指出法規遵循團隊中存在的各種效率不彰問題，包括工作碎片化、人工流程和巨量資料。2 然而，採用人工智慧技術的進展緩慢，直到最近，大型銀行才開始探索和測試在其防範金融犯罪制度中整合人工智慧的方法。相比之下，金融科技公司的舉措更為大膽。3 隨著歐盟在 2018 年和 2024 年分別頒布資料保護和人工智慧法規，這些強有力的監管框架提供了必要的保障，預計未來幾年金融行業將加快應用人工智慧的步伐，實現快速且客製化的應用。 本文將探討人工智慧和資料隱私法規如何應對人工智慧應用帶來的問題，並分析義務主體如何針對人工智慧模型和監管科技工具建立適當的治理機制，最佳化防範金融犯罪制度，同時保護隱私權並降低與人工智慧相關的其他風險。 歐盟《人工智慧法案》及其在防範金融犯罪制度中的適用性 歐盟《人工智慧法案》於 2024 年 8 月 1 日正式生效，該法案將人工智慧系統的一個關鍵特徵定義為：系統透過機器學習具備學習、推理和建立模型的能力。它能夠從輸入的資料中推導出模型和演算法，並產生能夠影響物理和虛擬環境的預測、內容、建議或決策等輸出。根據《人工智慧法案》第 12 條，人工智慧系統能根據其自我學習能力以不同程度自主運行，在運行過程中不斷調整和優化自身。4 與防制洗錢 / 打擊資助恐怖活動制度一樣，歐盟《人工智慧法案》的核心原則同樣是風險為本的方法。 歐盟《人工智慧法案》的附件三規定了人工智慧系統的不同風險類別（見下圖 1）。高風險人工智慧系統包括「供執法機關或代表執法機關使用的人工智慧系統，或供支持執法機關或代表執法機關的歐盟機構、機關、辦公室或專業機構使用的人工智慧系統，用於評估自然人成為刑事犯罪受害者的風險」，如納入防制洗錢 / 打擊資助恐怖活動法規遵循制度的系統。5 用於防制洗錢 / 打擊資助恐怖活動的人工智慧系統屬高風險系統，因此在獲准上市之前需符合相關要求。6 高風險人工智慧系統的監管規定將於 2026 年至 2027 年間生效。7 風險類別詳見下圖 1。8 圖 1：歐盟《人工智慧法案》規定的人工智慧系統風險類別  資料來源：《人工智慧法案》9...

本系列的前兩篇文章分別發表在《今日 ACAMS》1 2024 年 12 月至 2025 年 2 月刊以及 ACAMSToday.org2 上，主要探討了如何最佳化提交給執法機關的可疑活動報告，即從執法機關的角度說明如何從銀行業提交的大量報告中確定最有價值的可疑活動報告。現在，我們將重點轉向可疑活動報告的主要來源——金融機構，探討其如何將報告資訊最佳化，儘量提高報告對執法機關的用處。 背景 從早期的「犯罪舉報表」到如今電子提交的可疑活動報告，金融機構一直是美國打擊洗錢和資助恐怖活動的中堅力量。儘管多年來金融機構及其產品和服務的規模和複雜性不斷變化，但可疑活動報告提交要求和相關指導原則卻停滯不前。金融犯罪稽查局 (FinCEN) 的統計資料3 顯示，可疑活動報告提交數量近年來呈指數增長，銀行法規遵循團隊早已疲於應付防制洗錢 / 銀行保密法的監管和稽核要求，引發了外界對報告實際價值的疑問。 金融犯罪稽查局《法規制定提案通告》——「非常有用」 截至本文撰寫時，一個尚未最終確定的希望來源是金融犯罪稽查局於 2024 年 7 月發布的《法規制定提案通告》，題為《強化和現代化金融機構防制洗錢 / 打擊資助恐怖活動法規遵循制度體系的擬定規則》4 。該文件提出建立檢查員培訓機制，「關注防制洗錢 / 打擊資助恐怖活動法規遵循制度體系的整體有效性，並考慮其輸出品質是否非常有用」。該規則的一項關鍵條款是，金融機構需要根據已知或偵測到的威脅模式或趨勢，審查和評估其向金融犯罪稽查局提交的報告，這一要求「有助於金融機構減少所謂的『防禦性』可疑活動報告，並專注於製作對相關政府機構非常有用的報告」。 如果發布最終規則並確立檢查員培訓機制，金融犯罪稽查局可以根據新規則制定並發布更新的可疑活動報告提交指南，供金融機構參考。該指南還應納入美國聯邦金融機構檢查委員會 (FFIEC) 的《防制洗錢 / 銀行保密法檢查手冊》5，以便金融機構按照最新標準和最佳實踐進行檢查。 在審查可疑活動報告以識別威脅模式和趨勢時，聯邦監管機構應鼓勵金融機構重新評估當前的交易監控規則和模型，確保報告符合金融犯罪稽查局的國家優先事項6 和近期發布的其他公告態樣7 （如支票詐欺、老年人錢財詐騙和芬太尼販運），以利「識別可疑金融活動，將更多銀行資源集中於防制洗錢任務，提高執法機關調查的成功率。」這將減少所謂的「防禦性可疑活動報告」——此類報告僅是「照章辦事」滿足了監管或稽核要求，但對執法機關而言沒有實際價值，且相關活動對金融機構本身也不構成風險。最終目標是提交數量少但品質高的可疑活動報告，以避免資訊氾濫對執法機關調查效率造成負面影響。 可疑活動報告敘述內容 確定了需要提交的可疑活動報告後，金融機構下一步應將報告內容最佳化（同時摒棄過時的做法）。根據與執法機關多次交流所收集的資訊，執法人員認為敘述部分最有用的可疑活動報告內容包括： 先前提交可疑活動報告的文件控制編號、逮捕或定罪記錄以及負面新聞搜尋結果； 交易對手資訊及其相關負面新聞搜尋結果； 受益所有權資訊； 實體的所有權結構和註冊詳情； 空殼公司資訊；...

誤報警示——即系統將正常行為標記為可疑的事件——是多數防範金融犯罪專業人士面臨的重大難題。即便活動本身正常，防範金融犯罪工作人員仍需逐一審查並記錄其正常狀態。這項工作不僅會增加預算，而且枯燥乏味。審查成千上萬筆常規交易容易導致職業倦怠，進而引發人員流失，而這又需要重新培訓新員工，如此循環往復。因此，減少誤報成為首要任務，誤報越少，便能騰出越多資源用於具成效的調查。 儘管誤報存在諸多弊端，卻也有正面影響。例如，誤報是自動化交易監控系統的必然副產品。若無電腦化系統，銀行只能人工審查交易以排查可疑活動，這將是一項極其繁瑣的工作。此外，誤報還是絕佳的培訓工具。資深調查員的能力並非與生俱來，正是透過分析真正的與錯誤的誤報情況，學會區分正常交易和犯罪行為的。 當然，銀行也不希望防範金融犯罪專業人員深陷繁雜事務，但完全消除誤報絕非正確的目標。相反，銀行應集中精力採取管理策略。 Popper 的天鵝 要討論誤報，我們先從它們的起源說起。自動化交易監控工具旨在識別可疑活動，但不可避免地會產生兩類錯誤。第一種被稱為「第一型錯誤」，即我們所熟悉的誤報。這一術語源於統計學中的假設檢定。假設檢定的基本前提是觀察並非證明。要僅憑觀察來證實某事，就需要在所有情況下、所有場景中都觀察到該現象，這對人類或電腦來說都是不可能的。然而，人類可以透過單一觀察來駁斥一件事。正如哲學家 Karl Popper 所解釋的，觀察到白天鵝並不能證明「所有天鵝都是白色的」，但只需發現一隻黑天鵝就可以推翻這個說法。1 假設檢驗始於一個關於總體特徵的假設或理論。就像 Popper 的白天鵝一樣，我們試圖推翻這個理論。這個可駁斥的假設被稱為「虛無假設」。當我們在假設檢驗中成功地推翻了虛無假設，檢驗便是成功的，就像 Popper 的黑天鵝一樣。 我們可以把交易監控規則視為一種假設檢驗。如果我想識別分散現金存款以逃避現金交易報告的犯罪行為，我的虛無假設便是這些分散交易並不可疑。我的樣本是以試圖進行分散交易的客戶典型行為作為基礎。這種行為可能包括客戶在一天內進行了多次現金交易，每筆金額都低於 10,000 美元，但一天總額超過 10,000 美元。當我的交易監控系統產生警報時，就是透過警報告知「這筆交易可疑」來拒絕虛無假設。當調查員處理警報並認定交易「不可疑」時，我們得出的結論是：系統產生了第一型錯誤，即誤報，因為它錯誤地拒絕虛無假設。 逆向錯誤 假設檢驗的一大優勢在於，它能夠在不觀察總體的情況下得出關於總體特徵的結論。這一過程被稱為「抽樣」，儘管有用，卻也伴隨著風險。我們如何確保樣本能夠充分代表總體？假設檢驗透過評估樣本出錯的可能性來應對這一風險。檢驗的設計部分包括確定檢驗錯誤拒絕虛無假設（即產生第一型錯誤）的頻率。第一型錯誤的發生率被稱為檢驗的阿爾法值 (ɑ)。預期阿爾法值與實際阿爾法值之間的關係能夠告知研究者樣本是否可靠。如果誤報的數量低於檢驗預期阿爾法值，研究者便可以認為檢驗所用的樣本是可靠的，其結論可以合理地適用於整體。一般假設檢驗的預設阿爾法值為 5%。 大多數防範金融犯罪專業人士都希望交易監控檢驗能達到這一水準，因為多數防制洗錢模型的誤報率通常高達 95%。 2 為何如此？金融行業對誤報的高容忍度，源於這些檢驗還存在另一種錯誤：第二型錯誤，即「漏報」。漏報是指系統本應發出警報的交易卻未觸發警報，也就是說，檢驗在本應拒絕虛無假設時未能拒絕。 第二型錯誤的發生率被稱為檢驗的貝塔值 (β)。檢驗的阿爾法值與貝塔值之間呈反比關係。檢驗產生的誤報越多，出現漏報的可能性就越低。因此，金融機構在實踐中容忍較高的阿爾法值，因為我們無法接受較高的貝塔值——我們不願遺漏任何可疑活動。 遺憾的是，遺漏可疑活動的情況很容易發生。事實是，大多數銀行交易都是正常的——虛無假設是正確的。當某一事件的發生機率很低時，例如數十萬客戶中僅有一名是犯罪分子，要發現這種低機率事件就需要足夠大的樣本量，而這必然包含大量誤報。 不過，銀行既無義務也不被期望捕獲所有的可疑活動。這是好事，因為自動化交易監控系統永遠不會完美無缺。事實上，監管機構關於模型風險管理的指引明確指出，每個模型都存在缺陷。3 美聯準會在其模型風險管理指引中表示：「所有模型都存在一定程度的不確定性和不準確性，因為它們本質上是對現實的簡化和模擬。」4 監管機構並不要求完美，而是希望銀行清楚交易監控系統生成誤報和漏報的方式。因此，作為終端用戶，您的目標不應是完全消除誤報或漏報，因為這不可能實現。相反，您應該了解工具產生的誤報和漏報數量，並確保監控系統的誤報率和漏報率保持在可控程度。 金融犯罪中運用人工智慧能的現實情況——人工判斷仍然重要 您是否熟悉人工智慧的炒作週期？Gartner 將其描述為圍繞使用人工智慧工具所產生的進展與興奮情緒。5 其特點是先經歷一段樂觀期，隨後出現不切實際的期望，最終達到符合現實情況的平衡階段。6 隨著人工智慧繼續佔據新聞頭條並融入我們的日常生活，我們可能正接近「期望膨脹的頂峰」，即期望超出現實。 金融機構也不例外。銀行正在廣泛採用人工智慧工具以輔助交易監控、詐欺偵測和警報分類，期望能去除人工監控並大幅減少誤報。然而，現實是，人工智慧並非萬能，它也帶來了一些關鍵問題。人工智慧工具和傳統的基於規則和人工的方法一樣，容易產生誤報和漏報。當人工智慧進入理想化階段時，金融機構必須謹慎行事，並評估用人工智慧替代人類監控的趨勢。 人工智慧在打擊金融犯罪的持續戰鬥中確實能發揮重要作用，特別是在模式識別方面。然而，一個主要問題是，資深防範金融犯罪調查人員有能力理解複雜背景和作出細緻判斷，但人工智慧缺乏此種能力。人工智慧工具根本無法匹敵人類分析全局的能力。 例如，假設一位客戶 John Doe 正在分散交易一系列低額現金存款，每筆都略低於 10,000...

When the Financial Crimes Enforcement Network issued its Advance Notice of Proposed Rulemaking in September 2020, titled “Anti-Money Laundering Program Effectiveness,” it marked a significant shift in how anti-money 金融犯罪稽查局 (FinCEN) 於 2020 年 9 月發布名為《防制洗錢制度體系有效性》的法規制定提案預告 (ANPRM)，這顯示防制洗錢 (AML) 制度的評估方式將發生重大轉變，將更強調實施「有效且設計合理」1 的防制洗錢制度體系。根據該預告的具體內容，防制洗錢制度體系需要能夠向政府當局提供有用資訊是關注重點。防制洗錢 / 打擊資助恐怖活動 (CTF) 行業的專業人士熱切等待法規制定提案通告 (NPRM)...