人工智能(AI)目前在金融服务行业是否受到监管?“没有”往往是直觉的回答。
但深入研究就会发现,现有的金融法规中有一些部分明确或隐含地适用于人工智能——例如,GDPR 中对自动决策的处理,MiFID II 中的算法交易,RTS 6 中的算法治理,以及各种云法规的许多规定。
虽然其中一些法规非常具有前瞻性和面向未来性——尤其是 GDPR 和 RTS 6——但它们都是在最近 AI 能力和应用激增之前制定的。因此,我称它们为“前 AI”。此外,针对 AI 的法规至少已经讨论了几年,各种监管机构和行业机构都发布了备受瞩目的白皮书和指导意见,但没有正式的法规。
但这一切都在 2021 年 4 月发生了变化,当时欧盟委员会发布了《人工智能法案》(AI Act)提案。当前的文本适用于所有行业,但作为一项提案,它不具有约束力,其最终措辞可能与 2021 年版本不同。虽然该法案力求实现横向和通用的结构,但某些行业和应用被明确列出。
该法案采用基于风险的“金字塔”方法对人工智能进行监管。金字塔顶端是禁止使用的人工智能,例如深度伪造等潜意识操纵、对弱势群体的剥削、社会信用评分、公共场所的实时生物特征识别(出于执法目的的某些例外)等。金字塔下方是影响基本权利、安全和福祉的高风险人工智能系统,例如航空、关键基础设施、执法和医疗保健。然后是几类人工智能应用,《人工智能法案》对其施加了一定的透明度要求。之后是不受监管的“其他一切”类别,默认涵盖更多日常人工智能解决方案,例如聊天机器人、银行系统、社交媒体和网络搜索。
虽然我们都明白在与我们的生活息息相关的领域对人工智能进行监管的重要性,但这样的监管很难具有普遍性。幸运的是,布鲁塞尔的监管机构制定了一项包罗万象的条款,即第 69 条,鼓励低风险人工智能系统的供应商和用户自愿按比例遵守与高风险系统使用方相同的标准。
责任不是《人工智能法案》的组成部分,但欧盟委员会指出,未来的举措将解决责任问题,并将对该法案进行补充。
人工智能法案与金融服务
金融服务业在该法案的敏感行业名单中处于灰色地带。未来的草案应该明确这一点。
- 解释备忘录将金融服务描述为“高影响”行业,而不是像航空或医疗保健那样的“高风险”行业。这是否只是语义问题尚不清楚。
- 附件二和附件三中的高风险系统并不包括金融。
- “信贷机构”或银行在各个部分都有提及。
- 信用评分被列为高风险用例。但解释性文本将其置于获得住房和电力等基本服务以及不受歧视等基本权利的背景下。总体而言,这与禁止的社会信用评分行为的联系比金融服务本身更紧密。不过,该法案的最终草案应该会澄清这一点。
该法案对金融服务的立场留下了解释空间。目前,金融服务默认属于第 69 条的范畴。AI 法案明确规定了比例原则,这加强了将第 69 条适用于金融服务的理由。
该法案规定的主要利益相关者职能是“提供商”或供应商和“用户”。这一术语与近年来发布的与人工智能相关的软法律一致,无论是指导意见还是最佳实践。“运营商”是人工智能术语中的常用称谓,该法案提供了自己的定义,其中包括提供商、供应商和人工智能供应链中的所有其他参与者。当然,在现实世界中,人工智能供应链要复杂得多:第三方是金融公司的人工智能系统提供商,金融公司是其客户的相同系统提供商。
欧盟委员会估计,遵守《人工智能法案》的成本为供应商 6,000 至 7,000 欧元,大概是每个系统的一次性成本,用户每年 5,000 至 8,000 欧元。当然,鉴于这些系统的多样性,一组数字很难适用于所有行业,因此这些估计的价值有限。事实上,它们可能会创建一个基准,将不同行业的实际合规成本与之进行比较。不可避免的是,一些人工智能系统将需要对供应商和用户进行如此严格的监督,以至于成本会高得多,并导致不必要的不和谐。
治理与合规
《人工智能法案》引入了一个详细、全面且新颖的治理框架:拟议中的欧洲人工智能委员会将监督各个国家当局。每个欧盟成员国都可以指定一个现有的国家机构来接管人工智能监督,或者像西班牙最近选择做的那样,创建一个新的机构。无论哪种方式,这都是一项艰巨的任务。人工智能提供商有义务向其国家当局报告事件。
该法案列出了许多适用于金融服务的监管合规要求,其中包括:
- 持续的风险管理流程
- 数据和数据治理要求
- 技术文件和记录保存
- 透明度和向用户提供信息
- 知识和能力
- 准确性、稳健性和网络安全
通过引入详细而严格的违规处罚制度,《人工智能法案》与《GDPR》和《MiFID II》保持一致。根据违规的严重程度,罚款可能高达违规公司全球年收入的 6%。对于跨国科技或金融公司来说,罚款金额可能高达数十亿美元。然而,《人工智能法案》的处罚实际上介于《GDPR》和《MiFID II》的处罚之间,后两者的罚款最高分别为 4% 和 10%。
下一步是什么?
正如GDPR成为数据保护法规的标杆一样,欧盟AI法案很可能成为全球类似AI法规的蓝图。
由于没有监管先例可循,《人工智能法案》存在一定的“先发劣势”。不过,该法案经过了充分的征求意见,其发布也引发了法律界和金融界的热烈讨论,希望这些讨论能为最终版本提供参考。
一个迫在眉睫的挑战是该法案对人工智能的定义过于宽泛:欧盟委员会提出的定义包括统计方法、贝叶斯估计,甚至可能是 Excel 计算。正如律师事务所 Clifford Chance 所评论的那样,“这个定义可以涵盖几乎所有的商业软件,即使它不涉及任何可识别的人工智能形式。”
另一个挑战是该法案提议的监管框架。单一的国家监管机构必须覆盖所有行业。这可能会产生分裂效应,即专门的监管机构将监督某些行业的所有方面,但与人工智能相关的事项除外,而这些事项将由单独的、《人工智能法案》授权的监管机构负责。这种方法很难说是最佳的。
在人工智能领域,不可能有一种适合所有情况的解决方案。
此外,在单个行业层面对该法案的解释几乎与该法案本身的措辞同样重要。无论是现有的金融监管机构还是新成立和指定的人工智能监管机构,都应为金融服务业提供如何解释和实施该法案的指导。这些解释应该在所有欧盟成员国保持一致。
虽然《人工智能法案》一旦颁布,将成为具有法律约束力的硬性法律,但除非第 69 条发生重大变化,否则其规定将是软性法律,或推荐的最佳实践,适用于除明确列出的行业和应用之外的所有行业和应用。这似乎是一种聪明而灵活的方法。
随着《人工智能法案》的发布,欧盟大胆地迈出了其他监管机构从未迈出的一步。现在我们需要等待——希望不会等太久——看看其他技术先进的司法管辖区会提出什么样的监管提案。
他们会建议各个行业采用 EI 法规,还是建议这些法规促进民主价值观或加强国家控制?一些司法管辖区会选择少监管或不监管吗?人工智能法规会合并成一套通用的全球规则吗?还是会因地区或行业而“分裂”?只有时间才能证明。但我相信人工智能监管对金融服务来说将是一个净利好:它将消除当前监管格局的歧义,并有望帮助解决该行业一些最紧迫的挑战。
如果你喜欢这篇文章,别忘了订阅 进取的投资者。
所有文章仅代表作者的观点。因此,这些文章不应被视为投资建议,所表达的观点也不一定反映 CFA 协会或作者雇主的观点。
图片来源:©Getty Images / mixmagic
CFA 协会会员的专业学习
CFA 协会会员有权自行决定和报告所获得的专业学习 (PL) 学分,包括以下内容 进取的投资者. 会员可以使用在线 PL 追踪器轻松记录积分。
关键词:
