臺灣證券交易所 文刊中心

＜English version＞

鑒於新興科技快速進步，人工智慧技術掀起熱潮，已影響人類生活及工作型態，各產業、各價值鏈均逐步探索及應用人工智慧（以下簡稱AI）技術，新的科技典範轉移儼然成型。預期AI技術將大幅提升生產與服務效率之際，卻也帶來前所未有的風險與挑戰，使各國監管機關對AI技術的關注，從單純討論成本及效益問題，擴展到風險管理面向，新監管政策相繼推出。

對於AI技術的發展，監管機關是僅提供原則性的規範，亦或是訂定明確條例並禁止特定領域應用，才能於技術創新與科技監理間取得良好平衡，是各國政府即將面對的重要課題。毫無疑問地，美國及歐盟對於AI監理趨勢，是影響各國政策走向的關鍵因素之一。謹就目前美國及歐盟對於AI監理的最新政策，簡要分享如下。

首先在美國方面，美國國家標準技術研究院（National Institute of Standards and Technology，下稱NIST），雖非屬監管機構，但其所發布的各種技術標準框架與指南，提供各企業或組織一套系統化的管理架構可遵循，在各行業皆被自願性地廣泛採用。而NIST亦於2023年1月26日發布「人工智慧風險管理框架1.0（Artificial Intelligence Risk Management Framework，AI RMF 1.0）」，提出評估AI系統信賴度的七項特徵，包含1.有效且可靠、2.安全性、3.資安與韌性、4.可歸責與資訊透明度、5.可解釋性與可詮譯性、6.隱私保護、7.公平性與有害偏見管理。此框架能協助企業或組織於AI系統生命週期各項階段，如設計、開發、測試、驗證至最終部署及持續監控等，透過識別與賦予相關重要角色之責任和使命，全面提升AI系統於各環節之信賴度，俾利組織具備AI風險管理之能力。

此外，美國總統拜登於2023年10月30日頒布的第14110號行政命令「安全、可靠與值得信賴的人工智慧發展和使用（Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence）」，旨在促進各產業負責任地開發及應用AI技術，並強調保護美國公民基本權利及隱私的重要性。該命令提出八個關鍵行動目標包含：

1. 為AI安全制定標準：要求AI公司與聯邦政府分享其安全測試結果等關鍵資訊，並建立AI系統相關安全標準、測試工具以及驗測方法，確保其安全性。
2. 保護美國人民隱私：推動隱私強化技術的研發及應用，並將該隱私強化技術導入AI作業流程中，以保護隱私及應對社會風險。
3. 促進公平和公民權利：解決並防止AI演算法加劇歧視問題，以確保使用AI技術的公平正義。
4. 全面保護消費者：應減輕AI應用於醫療保健、教育等關鍵領域之潛在危害，制定適當措施使其權利受到保障。
5. 支持勞工：應減輕使用AI導致工作型態改變所帶來的風險，並強化AI勞動力的職業培訓及發展。
6. 促進創新和競爭：對AI相關的教育、培訓、開發、研究和能力進行資助，解決AI的智慧財產權問題，並擴大關鍵領域專業人才留任美國。
7. 提升美國在AI技術方面的領導地位：擴大與國際夥伴合作，推動全球AI標準的制度與實施，共同解決全球性挑戰。
8. 確保政府負責任且有效地使用AI：為各聯邦政府機構使用和採購AI制定指引，並加速各機關聘用AI專業人才。

在歐盟方面，歐盟執行委員會於2023年12月9日宣布，歐洲議會與歐盟理事會就歐盟人工智慧法案（European Artificial Intelligence Act, EU AI Act）已達成政治協議，2024年3月歐洲議會也以壓倒性票數通過法案。俟相關審查及歐盟理事會正式批准，預計於法案生效後24個月將全面落實，成為國際第一個AI綜合法令框架及全球制定AI法令的典範。該法案為維護人類基本權利、民主、法治及環境永續性，與確保AI系統屬於可信任且安全，以風險為基礎導向，將AI系統劃分為四種級別（不可接受風險、高風險、有限風險及最小風險），依風險等級高低實施不同程度之監理作業。相關風險定義及法律義務，說明如下：

1. 不可接受風險：對歐盟價值觀構成嚴重威脅，例如社會評分系統可能存在剝削弱勢族群之情形，此類系統即禁止使用。
2. 高風險：對安全或基本權利產生負面影響，例如人力資源自動招聘及分類系統，此類系統有嚴格監管規定，包含日誌可追溯性、良好的資料治理及具備一定程度的準確性，並須設有人為監督機制。
3. 有限風險：具身分冒充或欺詐風險，例如互動式AI系統可能存在偽造內容之風險，此類系統受透明度義務的約束，必須告知使用者該互動對象為AI系統。
4. 最小風險：其它不屬於上述定義之風險，例如垃圾郵件過濾系統，此類系統未做特別要求。

綜上所述，目前國際間對AI發展的監理態度仍試圖尋求平衡，既不妨礙創新，又要保障AI技術的倫理、合規及安全性。而我國目前對AI技術的政策方向，與國際趨勢一致，著重於核心原則的訂定，並提供相關指引，尚未明確針對特定類型的應用或特定類型演算法提供具體限制。

我國行政院於2023年4月核定發布「臺灣AI行動計畫」，盼以AI技術帶動我國整體產業轉型升級，故金融監督管理委員會（下稱金管會）於同年8月依據前述政策訂定「金融業運用人工智慧（AI）之核心原則與相關推動政策」草案，並於2024年6月20日正式公布「金融業運用AI指引」。指引內六大應用原則包含建立治理及問責機制、重視公平性及以人為本的價值觀、保護隱私及權益、確保系統穩健性與安全性、落實透明性與可解釋性、促進永續發展等，與國際AI監理方向相近，同樣重視民眾隱私、消費者權益、社會公平與責任並確保風險有效控管。

該指引融合美國NIST將AI系統以生命週期方式呈現，另參酌歐盟以風險為基礎的分類方式。簡言之，該指引主要架構係以六大核心原則為中心，先定義AI系統在各生命周期階段之核心重點及可落實風險管理之方式；再根據系統風險性，針對風險較高的AI系統採取進階的管理措施，包括日誌紀錄、監控機制、嚴謹的審查及核准程序、獨立稽核或評測機制等。

值得一提的是，相較於歐盟提出的四種風險級別，目前金管會提及的評估方法較具彈性，可讓企業或組織使用內部自定的風險管理機制來進行綜合考量。金管會亦提供六項參考指標，用以判斷AI系統是否屬於高風險系統類別，包括1.直接提供客戶服務或對營運有重大影響、2.使用個人資料的程度高、3.系統自主決策程度高、4.系統的複雜性高、5.影響不同利害關係人的程度深及廣度大、6.救濟選項之程度不完整等。

除了前述指引外，監管機關也緊鑼密鼓地請各產業公會就不同行業特性及營運方式，增修相關規範供業者遵循。目前銀行公會業於2024年3月14日經金管會同意備查後公告實施「金融機構運用人工智慧技術作業規範」，該規範涉及AI技術運用於客戶資料保護及風險控管面向、與消費者直接互動並提供金融商品建議、提供客戶服務且影響客戶金融交易權益、或對營運有重大影響者，皆須適用該規範內容。惟實務上部分銀行業者早已超前部署，運用AI技術於既有的營運活動以提升工作效率，故自該規範公告實施以來，陸續有業者反應難以於短時間內調整並符合法規要求，希望能爭取一段時間之緩衝期。

在證券市場方面，因使用AI技術應用於深度偽造（Deepfake）之詐騙手法日益猖狂，本公司業於2022年9月已協助證券商公會修訂「新興科技資通安全自律規範」，規定證券商使用影像視訊方式進行身分驗證時應強化驗證，並建議定期辦理強化同仁防範認知課程，俾利於證券業者重視新技術操縱所衍生的詐騙風險。本公司於2023年12月正式將相關規範訂於「建立證券商資通安全檢查機制」及「證券商內部控制制度標準規範_CC-21100新興科技應用」，規定證券商使用影像視訊方式進行身分驗證時應強化驗證並搭配其他驗證因子（如上傳身分證件、手機簡訊OTP），另要求證券商應定期辦理有關深度偽造認知及防範議題之資訊安全教育訓練，並建議證券商可將AI深度偽造相關教育訓練併入公司每年定期舉辦之資安課程內容。

對於AI技術其它應用場景，包含生成式AI等，本公司刻正依據金管會之指引及參考銀行公會運用AI技術作業規範，於「證券期貨市場相關公會新興科技資通安全管控指引」中研擬AI相關安全控管方針，預計於今年第三季陳報主管機關。俟主管機關核定及證券商公會於自律規範中納入AI管理要求後，本公司將適時研修「建立證券商資通安全檢查機制」及「證券商內部控制制度標準規範」等規定，供證券業者遵循。

AI技術帶來豐富的科技創新，卻也使各界面臨前所未有的挑戰，為預防AI技術濫用致傷害企業及民眾之權益，各國監管機關嘗試釐清相關業者應負起之責任。借鏡美國與歐盟政策，我國在AI技術監管方面，於隱私保護、安全性、透明性等核心原則與國際趨勢一致，並以循序漸進之模式，從高度監理之金融產業著手，由主管機關及相關單位共同合作建立監管框架，致力於創新與監管面向之間創造動態平衡，俾利於我國金融市場健康發展。

展望未來，面對快速壯大之AI市場，證券產業要持續且積極地與各界多方溝通，關注國際監管趨勢，完善相關法規。在確保技術倫理、安全和合規的前提下，企業方能安心探索AI技術的創新與多元應用，為證券市場創造更多機會。