報章專欄

隨著生成式人工智能 （genAI）被廣泛應用，銀行和金融業使用genAI的機會愈來愈多，本文特此探討有道德和負責任地使用人工智能。

 

今年初就有騙徒先用釣魚訊息假冒跨國企業高層，邀請員工參加視訊會議，其後在會上利用人工智能模仿公司高層的外貌及聲音向員工下轉賬指示，騙去共二億港元。

自OpenAI 於2022 年11月推出新研發的聊天機械人ChatGPT後，眾多由 genAI驅動的聊天機械人應運而生， 例如百度的文心一言（ERNIE Bot）、Anthropic 的Claude和Google的Bard，讓公眾能以對話的方式與人工智能互動。儘管最近使用率有所下滑，但 genAI 聊天機械人仍然備受歡迎。僅在2023年8月，ChatGPT的全球訪問量就超過14億次。

銀行業勢將從genAI的變革力量中受益。麥肯錫顧問公司的一項研究估計，genAI的潛在用途若得以全面發揮，可帶來高達3,400億美元的價值，即銀行業年度收入的4.7%。另一家顧 問公司埃森哲的研究顯示，銀行業目前54% 的工作都有可能利用genAI進行轉型。 然而，儘管genAI潛力鉅大，它也帶來私隱和道德風險。這些風險如果不加以控制，可能會演變成嚴重問題。

銀行業採用GenAI日益普遍
首先，甚麼是genAI？ 根據ChatGPT提供的答案，它是「人工智能的一種分類，使用機器學習技術來產生新的資料或內容，如根據所接收的訓練數據，產生類近的圖像、文字或音樂」。

銀行界長期以來一直使用聊天機械人來處理 簡單的客戶查詢。隨著流動平台在2010年代 蓬勃發展，人工智能聊天機械人亦不斷演變， 為用戶提供直接的協助或引導他們獲取相關有用的資源。

然而，genAI正在這個領域進行革命性的改變。 genAI有多方面的吸引力：它可以提供個人化 的客戶支援、提供配合不同情境的市場推廣意念、確保全天候服務，並協助員工更好地了解客戶的需求。事實上，一家投資銀行剛剛提出 一項用於選擇股票的genAI服務專利申請。

就銀行和金融業而言，genAI涵蓋以下範疇：

1. 風險管理和合規：GenAI在風險管理方面已被證實有重要價值。GenAI模型可以加強反洗黑錢監控、識別可疑交易模式、及時發出警告，並減少漏報情況。其中一個例子是一家美國銀行將genAI納入其欺詐和可疑活動檢測系統，從而大幅減少系統誤報並提高欺詐識別率。此外，genAI還可以簡化可疑交易報告的制訂，以及製作仿真個案來加強員工培訓。在合規方面，genAI可以幫助解讀繁瑣的監管文本、比較不同司法管轄區的法規，並突顯需要改 進的地方。

2. 提升業務：從商業角度來看，genAI有助銀行預測經濟趨勢，並模擬未來宏觀環境。在微觀層面上，它可影響貸款過程中的每一步驟，由借款者分析、市場研究以及定期審查。

3. 改善營運：可以在各個業務範疇中改善營運，包括行政、人力資源、科技、採購和法律。儘管這些進展並非銀行業獨有，但銀行業追求創新的本質往往有助從業員及早採用新技術。例如，genAI擅於編寫，它能夠根據大量資料生成意念，從而編訂營運計劃書，有助節省大量時間和資源。

私隱陷阱
雖然銀行在處理個人資料方面一直獲得客戶高 度信任，但genAI帶來了新的私隱和道德問題。

要剖析這些問題，我們需要留意《個人資料（私 隱）條例》中的保障資料原則，該等原則涵蓋個人資料收集、持有、處理、使用到刪除個人資料的整個生命周期。

資料收集
第一個私隱風險與資料收集有關。genAI支援的聊天機械人使用「深度學習技術」，往往在缺乏監察的情況下分析大量原始資料或數據。

無論銀行是自行建立生成式模型，或利用獨有的數據微調現有模型，過程都需要大量數據， 包括個人資料。這些數據可能來自交易記錄、 客戶資料、財務報表等。由於收集這類個人資料的原本目的可能並不包括人工智能模型訓 練，因此有關的使用可能會違反了規管收集資料和資料透明度的保障資料原則（保障資料原則第1和第5原則），這些原則規定應當以公平的方式和在知情的基礎上收集個人資料。

使用限制
第二個私隱風險涉及與genAI工具的互動。

使用者輸入於genAI工具的資料可能包含姓名、身分證號碼和帳號等敏感個人資料，而這 些資料有機會被用作模型的訓練數據，因而超出原先收集資料擬使用的目的。例如，虛擬助理可以將使用者輸入的資料與其他對話的資料進行比較，以便了解客戶的需求。但是，這可能構成濫用資料，違反了保障資料第3原則，該原則規定未經資料當事人同意，不得將個人資料用於新目的。

此外，模型在輸出結果時亦存在敏感資訊外洩風險。使用上述新訓練數據後，系統可能會微調給其他使用者的回應，從而無意中洩露可識別個人身份的資料。

資料的存取和更正
第三個私隱風險所帶來的挑戰，涉及資料當事人存取和更正自己的個人資料的權利（保障資料第6原則）和資料的保留（保障資料原則第2原則）。鑑於genAI訓練資料數量龐大，使用者存取或更正其資料是否可行，仍是一個問題。

資料安全
由於系統中儲存了大量用戶對話，數據安全是 genAI的另一個私隱風險。此外，genAI系統可能會受到「越獄」攻擊（即指專為繞過防範惡意攻擊而設計的指令），導致操作出現問題或資料外洩，這將違反要求保護個人資料免遭未經授權或意外查閱、處理、刪除、喪失或使用的保障資料第4原則。

更廣泛的道德問題
除了私隱風險，genAI還帶來更廣泛的道德風險，包括：

1. 可解釋性：GenAI比起傳統人工智能所作的決策更加難以解釋。GenAI這類人工智能模型以龐大且多樣化的資料集進行訓練，極難從輸出的資料追溯到特定的輸入資料，更不用說向非專業用戶解釋當中的技術流程。

2. 準確性：GenAI能產生有說服力但錯誤的 句子。在銀行業，這可能會導致錯誤估計貸款風險，或向監管機構提供錯誤資料。GenAI不準確的另一個原因，是數字分析的表現較文字分析差。這對建基於數字的銀行業來說，是個挑戰。

3. 風險擴大：國際貨幣基金組織發表的報告指出，genAI的使用可能會加劇系統性風險。這是由於不同銀行採用相同系統，或引致「羊群心理」。另外，由於genAI訓練期間缺乏健全的風險管理，銀行可能會傾向於採納模型中的高風險建議。

應對變化：現行指引和新人工智能法規
為應對人工智能發展和使用帶來的風險，世界各地有關當局都正在提議或已經制定了一些法規和法律。

在中國內地，全球首個專門針對人工智能生成內容的法規《生成式人工智能服務管理暫行辦 法》於2023年8月實施。該《辦法》訂定了人工 智能服務提供者的責任，包括確保訓練數據的質量，並採取有效措施，防範未成年人用戶沉迷生成式人工智能提供的內容。

在其他地區，歐盟正計劃通過《人工智能法案》，監管包括genAI的人工智能。法案如獲實施，將引入基於風險為本的措施，並成立新的監管機構。另外，加拿大正考慮訂定《人工智能及數據法案》，而英國則在2023年3月展開支 持創新的人工智能監管方案諮詢。

儘管方法各異，但各個司法管轄區的共同目標，都是創造一個讓人工智能以尊重私隱、保障資料、減少偏見和具透明度的方式發展和運作的環境。

除法規外，政府和監管機構亦有就人工智能的開發和使用發布指引和提出建議。

香港個人資料私隱專員公署便於2021年8月發出《開發及使用人工智能道德標準指引》，概述以保護私隱為原則的使用人工智能框架，以減少道德風險，並在促進創新和保障個人資料之間取得平衡。

為此，私隱專員公署提出三套建議：三項數據管理價值、七項道德原則和分為四個步驟的實務指引。 數據管理價值，即尊重、互惠和公平，強調應視個體為人而不僅是數據集的組成部分。人工智能應該對社會有裨益，同時盡量減少任何可能的傷害。科技的使用過程及其產生的結果都應公允， 任何有差別的待遇都應該有充份的理據支持。

七項道德原則與國際公認的原則一致，包括問責、人為監督、透明度和可解釋性、數據私隱、公平、有益的人工智能、以及可靠、穩健和安全。

實務指引提出四個步驟，就四項業務流程提出各種保障措施，包括建立內部管治架構、進行全面風險評估、實行人工智能模型的開發和人工智能系統的管理，以及促進與持份者（包括機構的員工和客戶）的溝通。

除參考《指引》外，我們亦建議人工智能系統的開發者或使用者訂定個人資料「私隱管理系 統」，在此管治框架下負責任地收集、持有、處理和使用個人資料。

「私隱管理系統」由三個部分組成。第一個組成部分是機構的決心，這取決於高級管理層的支持、委任專責的保障資料人員，以及建立直接向高級管理層負責的匯報機制。

第二個組成部分是系統管控措施，包括建立個人資料庫存、訂定處理個人資料的內部政策， 以及採取風險評估工具等。

第三部分是對管理系統的持續評估和修訂。機構應制定監督和檢討計劃，並定期修訂其系統管控措施。 這三個組成部分合力增強任何機構的資料保安，有效緩解使用人工智能相關的私隱風險， 確保符合《個人資料（隱私）條例》的要求，並與持份者建立信任。

攜手確保道德與負責任地使用人工智能
十多年前，智能手機的出現催生了網路銀行應用程式。由於擔心保安風險，如身份被盜用和資料儲存不安全，客戶最初對這些應用程式心存疑慮。然而，隨著當局推出嚴格監管及其他相關措施，個人資料保障更趨完善，客戶接受 程度不斷提高，手機銀行也愈來愈普遍。

隨著genAI不斷發展，現時銀行業和整個社會再次面對一個關鍵性的決定。是否因為有潛在風險而迴避genAI，從而剝奪客戶享受更好服務的機會？抑或恪守道德並負責任地使用人工智能技術，從而在不損害我們重視的原則和權利的基礎上，善用人工智能技術的好處？答案顯而易見。讓我們同心協力，制定適當的監管架構，建立規範，以尊重私隱和合乎道德的方式開發和使用人工智能。