文/廠商新聞稿 | 2023-12-29發表

法規鬆綁催生金融上雲新戰略

善用雲端算力與前瞻技術,金融創新與生成式 AI 應用蓄勢待發

根據金管會 2023 年發布的新版委外規範,包含銀行局、保險局、證期局同步鬆綁上雲法規,免除及簡化事先申請核准程序,勢必加速且提升金融業對雲端服務的使用。除了掌握大勢所趨,以下在法規、策略及應用面的常見問答集,將是協助金融業瞭解及實踐關鍵課題的助力。

 

 Q   金融三業上雲法規鬆綁對國內金融環境的意義為何?

 A  台灣金融轉型朝數位化、智慧化、創新化及國際化等四大面向發展,前瞻技術的導入是確保競爭力的關鍵。因此,金融上雲法規的鬆綁有三大具體意義:

  • 加速金融創新:大幅免除及簡化雲端服務作業委外申請事先核准程序,新金融服務的推出可因而加快,營運方式更為彈性。
  • 提升數位韌性:透過第三地加強資料保全及建立災難復原的漸進式作法,確保客戶資料保護、資訊安全及服務不中斷。
  • 建置先進 AI:Gartner 預估生成式 AI 將於 2 至 5 年內進入發展成熟期,奠基於雲端算力運作的生成式 AI 將可加速普及於金融業。

 

 Q  如何檢視及管理公有雲服務所涉及的風險?

 A   針對業務持續性管理及 IT 安全風險要求,金融機構雲端服務作業委外必須採取適當措施來因應 IT 風險、安全風險、資料保護及作業風險。

首先,在控管面建議確認的重點項目包括:

  • 金融機構是否依法訂定委外內部作業規範,且通過董(理)事會核定?
  • 金融機構之董(理)事會是否認知作業委外風險且定期監督執行情況?
  • 金融機構是否就特定委外事項之風險程度、重大性、對其營運及客戶權益影響進行評估,且依所涉風險程度採取適當控管措施?若涉及重大性之作業委外,是否訂定強化控管及緊急應變措施?
  • 金融機構是否確保其專責及相關單位有足夠資源、專業及權限控管委外事項?
  • 金融機構是否有盡職調查及定期審查,確認受委託機構具備執行受託作業之專業、資源,內控及資安管理機制,且能符合法規要求?
  • 金融機構是否確保自身及主管機關對受委託機構就受託事項之查核權,及取得相關資料之權利?

其次,在資料保護面建議確認的重點項目包括:

  • 若涉及金融機構的客戶資料,金融機構是否已依個人資料保護法以契約或書面告知客戶,並取得同意?
  • 金融機構對受委託機構處理的資料是否保有完整所有權,且保有指定資料處理及儲存地之權利?
  • 受委託機構是否僅在提供服務的受託範圍內使用及處理金融機構的資料?
  • 金融機構的資料如何與受委託機構持有的其他資料區隔?
  • 金融機構是否就傳輸及儲存至雲端服務之客戶資料,是否採行加密或代碼化等有效保護措施,並妥適訂定加密金鑰管理機制?
  • 金融機構是否就受委託機構處理的客戶資料留存完整記錄,以供稽核?
  • 結束委外事項時,金融機構是否可移回或刪除資料?
  • 受委託機構若發生無法提供服務或服務中斷,金融機構是否有訂定營運備援計畫?

然而,除上述重點外,建議金融機構仍須就特定委外作業所涉風險進行適當評估及調查。

 

 Q   政府是否開放金融業使用生成式AI?

 A   Gartner 預估生成式 AI 將於 2 至 5 年內進入發展成熟期,隨著相關技術的逐步到位,勢必將可用於發展更高階的智慧金融服務。但金融業採用各種新興科技進行金融創新時,仍須兼顧資安及資料保護等合規要求。

在台灣,金管會於 2023 年 10 月公布「金融業運用人工智慧(AI)之核心原則與相關推動政策」,並正據此研訂「金融業運用 AI 指引」,以導引金融業運用可信賴 AI,發展更貼近民眾需求之金融服務,深化普惠金融價值。

金管會持續關注金融業導入 AI 科技所面臨的挑戰及機會,並以負責任創新為核心。因此,生成式 AI 不僅可在金融業使用,相關指引預計也將於近期內出爐。

 

 Q  針對金融業的需求,建議可從哪些生成式 AI 應用起步?

 A   依目前產業發展趨勢,金融業對於生成式 AI 的應用可從下列方向著手:

  • 對內應用的主軸是將員工從重複繁瑣的工作中解放,將人力投注於創新,以全面提升生產力。例如:永豐銀行導入微軟 GitHub Copilot,用於既有專案優化、協助開發新專案、維運腳本開發及工作技術驗證。
  • 對外應用可著眼在改變與客戶互動的方式如客服系統,兼顧降低成本及提升客戶滿意度的目標。例如:為即時聊天/語音機器人生成更為人性化之客製化回覆。
  • 應用於監管合規與風險管理,透過文本內容搜尋,洞察市場趨勢並辨識潛在風險。例如:協助銀行業及保險業進行客戶背景調查、信用卡盜刷交易判斷等。
  • 進階運用 AI 設計出新的金融商品或服務,例如預測市場趨勢、優化交易或投資策略,以增加競爭力。

 

 Q   如何檢視及確保生成式 AI 可能帶來的挑戰?

 A   面對持續蓬勃發展的生成式 AI,主管機關的相關規範正在成形中。「負責任的 AI」不僅是基本準則,更是檢視服務供應商的必要條件。以微軟為例,承諾在負責任 AI 的架構下開發並提供 AI 服務,並積極進行且分享 AI 治理,包含提出六項 AI 開發及應用原則(包括公平性、可靠性與安全、隱私權及資安、包容性、透明度與問責制)、設立負責任 AI 辦公室、以及訂定且分享負責任 AI 標準、影響評估範本、透明性文件及行為準則等。微軟 AI 原則與金管會近期公告之「金融業運用 AI 之 6 項核心原則」頗為類似。

舉例而言,微軟的 Azure OpenAI 服務正是奠基於資安防護規格最高的 Azure 企業雲端環境,以協助金融業加速發展生成式 AI 應用。Azure OpenAI 服務遵循六項 AI 開發及應用原則,其資安及資料保護符合 ISO 27001, 27017, 27018, 27701, 22301, 2000-1, 9000、SOC 1, 2, 3、CSA STAR、HIPAA BAA、Germany C5、GDPR 法規等多項國際、區域或產業標準。微軟承諾會遵守美國 NIST AI Risk Management Framework 及 2023 年 12 月才公告 ISO/IEC 42001:2023。微軟提供 99.9% 服務水準承諾且適用服務中斷財務承諾。

微軟更領先業界發表奠基於微軟 AI 客戶承諾之微軟客戶著作權承諾。若金融機構使用或散布付費企業版 Microsoft Copilot 和 Azure OpenAI 服務產出的輸出內容,而遭第三方就輸出內容提起著作權、專利權、商標權(不包括商標商用之情況)及營業秘密侵權訴訟,微軟於收到金融機構通知及取得訴訟主導權後,會為金融機構進行辯護,且依終局法院判決負責。然而,上開承諾有賴於金融機構與微軟之責任分擔。因此,金融機構須遵守微軟產品條款使用內容篩選、中繼提示等相關保護措施。此外,金融機構就其使用或輸入之資料應擁有使用權,且不應於知悉或應知悉可能侵害第三方權利的方式修改、使用或散佈輸出內容。

如此一來,金融業者就能在微軟提供的諸多協助下,以兼顧合規及風控的方式,將生成式 AI 導入日常業務流程,實踐金融創新。

 

 Q   如何檢視及運用公有雲所提供的法規遵循協助?

 A   因應上雲法規鬆綁,金融機構對雲端服務業者的查核由「實地查核」改為依「風險為基礎」的查核方式。對此,雲端服務業者所提供的相關協助是否充足,就成為金融機構在法遵上事半功倍的關鍵。

舉例來說,微軟提供的相關合規協助包括:

  • Microsoft 產品與服務資料保護增補合約承諾,金融機構就儲存於雲端服務的資料,於訂閱期間可隨時存取、擷取及刪除。
  • 透過微軟金融服務修正條款,承諾主管機關及金融機構之查核權(包括實地查核)。
  • 微軟至少每年進行一次的雲端服務查核,且產出由獨立第三人製作的稽核報告。
  • 透過微軟修正條款,承諾法定委外契約應記載事項。
  • 可依金融機構之請求,提供過去三年無資安或貪腐事件的聲明書。
  • 透過獨立第三人出具的法律意見書,說明歐亞多國資料儲存當地的資料保護法規,不低於我國要求。
  • 就全球數十個國家(包括台灣)提供各國金融機構法規遵循檢核表,協助金融機構及其海外分(子)行瞭解當地上雲合規要求。
  • 服務信任入口(Services Trust Portal)可存取並下載各式國家及產業標準之證書、稽核報告、金融機構法規遵循檢核表、以及資安與資料保護技術白皮書等技術文件。
  • 微軟信任中心協助金融機構了解微軟雲端服務,及其安全性、隱私保護及法規遵循相關資料。
  • 賦能負責任 AI 實作(Empowering responsible AI practices)分享有關負責任 AI 的原則、政策、實作、工具、及微軟協助他人實踐負責任 AI(包括公益)等相關訊息。

 

 Q  台灣金融業常用哪些公有雲服務?上雲法規鬆綁後,預期哪些類型的服務成長最快,以及可帶來哪些顯著效益?

 A   金融業對於雲端服務的使用涵蓋四個面向,分別是賦能員工、提升客戶體驗、營運優化、產品轉型。

微軟 2023 年工作趨勢指數報告(Work Trend Index)指出,64% 員工沒有足夠的時間或精力來完成工作,企業如何賦能員工成為一大課題。透過 Microsoft Copilot for Microsoft 365 的使用,結合 AI 和自然語言,使用者可直接在 Word、Excel、PowerPoint、Outlook、Teams 中以對話方式更有效率完成工作。

針對提升客戶體驗,Azure OpenAI 可進一步改善即時聊天和語音機器人程式,生成更接近人類的回應及客製化回覆,提升客戶問答品質並提供虛擬關懷。亦可模擬互動,並透過 GPT 模型的情感分析來評估客戶的最終滿意度。

營運優化包含內部流程優化、強化數位韌性,確保營運不中斷。舉例來說,從客服記錄中辨識關鍵資訊完成客戶服務的客服中心洞察能力,可協助擁有相關資訊的客服人員更快速決策及回覆

而在產品轉型部分,包括跨部門資訊分析、風險管理、市場分析等,皆有助於加速新產品的設計,金融業可善用這一波 AI 彎道超車,提供創新的服務或產品。

 

 Q   金融業應該如何建立上雲的治理及管理機制?

 A  上雲法規的鬆綁,不僅讓金融業可選用公有雲,可選擇境外委外,亦可透過雲端服務進行重大性委外。簡言之,金融機構須就該雲端作業委外所涉風險依法進行自我風控,僅在涉及「境外」、「重大性」、及「法令要求的特定高風險作業委外」時,應另依法向金管會申請事先核准。此法規發展,除了讓金融機構得以採行雲端服務促進營運效率,亦可促進跨業合作與創新服務的發展。

隨著法規鬆綁,雲端資安也被視為重要的金檢項目,金管會檢查局發布 2024 年金檢重點,就將資訊安全列入重點關注項目。對此,建立上雲治理及管理機制就成為優先要務,金融業需要的則是一個跨平台、高安全性的資料驅動平台。

從資料面來看,微軟是少數擁有完整解決方案的供應商,包括治理異質化資料庫整合到底層的資料編織,以及人工智慧及機器學習等分析類型的工具等。藉由 Azure 雲端平台大數據分析、AI 及機器學習等工具之優勢,可以在跨系統應用的資料移動軌跡中,洞悉客戶需求,再透過 DevOps+Container雲原生開發模式,以敏捷開發,快速找出試行的最小可行產品(MVP),迅速推出差異化服務回應市場。

而在配套的安全面,可遵循金融資安行動方案 2.0 版的重點工作項目,部署零信任架構,分階段導入三大核心機制,包括身分鑑別、設備鑑別與信任推斷,並搭配網路與資源的細化權限管控機制,並於第三地部署核心資料備份,加強金融韌性。

微軟擁有完整的零信任架構解決方案。微軟的零信任網路身分鑑別系統(包括Microsoft Entra ID及Microsoft 365 E5)已於 2023 年 7 月通過國家資通安全研究院的驗證,設備鑑別與信任推斷亦陸續送驗。藉由零信任架構,金融業可善用簡便安全的管理機制,為資料、裝置、身分、平台到雲端提供全面的保護,讓金融服務可以安全延伸。

 

 Q   正式建置生成式 AI 之前,有哪些必要的前置準備作業?

 A   對於金融業而言,在正式邁向生成式 AI 之前,必須先進行三個步驟的前置作業。

第一個步驟是認知與行為。改變思維是優先要務,AI 真正的意義是整合四散的資料來產生綜效,但地端資料皆存放在個別系統或設備裡,唯有往雲端移動才能落實資料整合。考量對算力的要求,大型語言模型無法放在地端,再加上大型語言模型的複雜度和調校機制,資料中心的營運勢必高度複雜且龐大,隨付即用的雲端訂閱模式是較具成本效益的選擇。

接下來第二個步驟是了解生成式 AI 的技術效益、潛力與限制。

第三個步驟是就生成式 AI 選擇一個適合的場景以及題目(包括考量可能涉及的服務、資料與客戶),且開始尋找對的合作夥伴。例如:透過建構 Azure OpenAI 之特定使用情境,同時藉由落實的過程,逐步思考如何去擴大應用、全面導入。

 

熱門新聞

Advertisement