[臺灣資安大會直擊]台新新光金控談AI風險治理：從可信任走向永續AI

然而，AI要從實驗性走向制度化，成為組織內日常營運的能力，需要加強AI風險管理，今年臺灣資安大會首日，曾任刑事局資訊科科長、偵九大隊隊長，現為台新新光金控暨台新銀行資安長陳詰昌分享如何治理AI風險。

他指出，金融業導入AI大致歷經3階段，首先是以統計與機器學習為核心的「判斷式AI」，多用於詐欺偵測與風險判斷；其次是近年快速普及的「生成式AI」，多應用於智能客服、報告生成與法規比對等場景，例如台新的法金徵信報告自動化。

最後是邁向具備自主決策能力的「代理型AI」，包括自動化交易與多功能代理協作、AI員工等等。

AI帶來的機會與挑戰

然而，AI是一把雙面刃，AI能力愈強，其潛的風險也隨之提高，因此金融業多採取「先控管、後開放」的審慎策略。

他強調，AI雖能帶來個人化服務、營運效率提升與更精準的風險預測，但也伴隨新型態資安威脅，例如模型黑箱、資料偏誤、對抗式攻擊，以及模型漂移(Model Drift)等問題。此外，當業界普遍採用相似模型時，還可能形成「集體性風險」，一旦模型出現缺陷，這個影響就會被放大。

4大面向強化AI治理

為此，台新金控將「負責任且可信賴的AI」作為核心目標，從4大面向推動AI治理。

首先是確保AI應用與企業策略及商業價值一致，避免資源錯置；其次是強化資料治理與隱私保護，確保資料來源合法、用途合規，並避免個資被不當用於模型訓練；第三是建立治理與法規遵循機制，包括著作權與國內外AI法規要求；最後則是確保系統安全與穩定，防範駭客攻擊與模型被操控。

在風險辨識上，他點出AI特有的5大風險，包括小錯誤可能被放大的「規模效應」、模型持續自我學習的「自主學習」、隨時間變化的「模型漂移」、對外部供應鏈的「依賴性」，以及難以解釋決策過程的「黑箱問題」。

其中AI模型持續自我學習，隨時間變化產生漂移，「模型會隨著時間、資料累積，會產生不同的結果，同樣一個問句，在不同時間點提問所得到的結果可能不一樣，這就是飄移」，陳詰昌說。

換言之，AI風險可能因為模型的自我學習、漂移產生不同的影響，必須納入動態監控與治理機制。

陳詰昌以台新新光為例，在組織面已建立分層治理架構，由AI治理委員會負責策略制定與風險承受度設定，並設立風險管理、模型開發與維運等團隊分工合作。同時導入人為監督「Human-in-the-loop」機制，在關鍵決策或異常情境下，由人工即時介入，避免錯誤持續擴大影響性。

此外，AI管理也需涵蓋完整生命週期，從提案、設計、開發、驗證到部署與持續監控，每一階段都需進行風險評估與控管。陳詰昌指出，實務上可參考國際框架，如NIST AI風險管理框架（AI RMF）以及ISO 42001與ISO 23894等標準，並搭配威脅建模工具，強化技術層面的防護。

他強調金融業AI風險管理的核心能力可歸納為5大面向，策略與治理、模型生命週期管理、資料治理（品質、來源、偏誤）、法規遵循，以及人為監督與可解釋性。

較具體的策略作法包括建立明確的治理架構、定期風險評估、確保資料品質、持續監控模型異常，以及強化資安控制措施。

陳詰昌也提到金融業發展AI的長期方向。他表示，金融服務的核心在於信任，AI也是如此，「我們要從現在的可信任走向永續的基因」，將負責任與可信賴的AI內化為組織長期能力，並在倫理、隱私、公平與安全間取得平衡，作為對客戶與使用者的承諾。