Artikel ini akan menfokuskan pada perkembangan pengawasan utama, serta langkah praktikal yang perlu diambil oleh institusi kewangan dalam persekitaran yang cepat berubah ini.

Penulis artikel, sumber: Xiao Naiying, Fei Si, Yu Leimin, KPMG Research

AI generatif mempercepat penyebaran luas — badan pengawas fokus pada amalan praktikal

Seiring dengan terus berlakunya penggunaan kecerdasan buatan generatif ("generatif AI") oleh institusi kewangan, fokus pengawas berpindah daripada pernyataan dasar prinsip kepada aplikasi praktikal. Panduan Institusi Kewangan untuk Kecerdasan Buatan Generatif yang kami keluarkan pada Januari 2025 [1] telah menunjukkan bahawa landskap pengawasan kecerdasan buatan generatif sedang terbentuk, walaupun kerangka berkaitan pada masa itu masih bersifat prinsipal. [2]

Selepas itu, fokus pengawasan telah berpindah dari prinsip makro ke tata kelola operasi. Hong Kong China sedang berpindah dari peringkat ujian ke aplikasi yang bertanggung jawab, manakala pengawasan di daratan semakin terperinci, terutamanya dalam aspek tata kelola kandungan, pemprosesan data, kewajipan pendaftaran, dan pengawasan model. Artikel ini akan menekankan perkembangan pengawasan utama serta langkah amal yang perlu diambil oleh institusi kewangan dalam persekitaran yang cepat berubah ini.

Hong Kong: Dari ujian menuju aplikasi berstruktur

Perkembangan terkini di Hong Kong menunjukkan bahawa bidang perkhidmatan kewangan sedang mendorong penggunaan AI generatif dengan cara yang lebih matang dan praktikal. Fokus pengawasan ialah sama ada institusi kewangan boleh melaksanakan teknologi berkaitan dengan cara yang bertanggungjawab, boleh dikawal, berfokus pada perlindungan pelabur, dan mampu menanggapi pemeriksaan pengawas.

Laporan yang dikeluarkan oleh Monetary Authority of Hong Kong (“MAHK”) pada April 2025 berjudul “Generasi Baru AI: Mendorong Aplikasi Bertanggungjawab terhadap Kecerdasan Buatan dalam Perkhidmatan Kewangan” [3] menunjukkan bahawa persepsi Hong Kong terhadap AI generatif sedang berubah—75% institusi kewangan yang disurvei telah melaksanakan atau sedang membangunkan aplikasi AI, dengan dijangka mencapai 87% dalam tiga hingga lima tahun ke depan.

Sementara itu, panduan amali menjadi semakin spesifik. Sebagai contoh, Senarai Semak Panduan Penggunaan AI Generatif oleh Pegawai Privasi Peribadi Hong Kong pada Mac 2025 [4] menterjemahkan perhatian terhadap privasi dan tata kelola menjadi langkah-langkah kawalan operasi yang spesifik. Senarai ini mencadangkan pembentukan polisi yang jelas mengenai penggunaan alat, input data, penyimpanan dan pengekalan output, pengesahan, pembaikan bias dan pelaporan, watermark dan penandaan, akses peranti, serta pelaporan insiden.

Pejabat Dasar Digital Hong Kong telah menerbitkan Panduan Teknologi dan Aplikasi Kecerdasan Buatan Generatif Hong Kong pada April 2025 dan mengemas kini pada Disember tahun yang sama [5], yang memberikan panduan amalan terbaik dengan menekankan prinsip-prinsip seperti keadilan, transparansi, hak pilihan pengguna, dan pembaikan bias. Institusi kewangan yang menggunakan Kecerdasan Buatan Generatif untuk interaksi pelanggan, enjin cadangan, sokongan kesesuaian, pengelasan dalaman, atau penapisan risiko harus memandang panduan ini sebagai komponen penting dalam kerangka keseluruhan pematuhan.

Perkembangan yang sangat penting ialah pengembangan berterusan kerangka pengawasan AI generatif di Hong Kong. Seperti yang dinyatakan dalam artikel kami pada Januari 2025, Monetary Authority of Hong Kong telah bekerjasama dengan Hong Kong Science and Technology Parks Corporation pada tahun 2024 untuk melancarkan GenA.I. Sandbox, yang menyediakan persekitaran terkawal bagi institusi yang diiktiraf untuk membangunkan dan menguji kes penggunaan inovatif AI generatif dalam perbankan.

Pada Oktober 2025, Monetary Authority of Singapore menerbitkan Laporan Sandbox GenA.I. Fasa Pertama [6], yang menunjukkan bahawa pengurusan risiko, langkah-langkah anti-penipuan, dan pengalaman pelanggan sebagai tiga bidang ujian, serta mengenal pasti cabaran teknikal dan tatacara seperti ilusi kandungan dan kesalahan maklumat. Ini menandakan peralihan fokus pengawasan daripada mendorong inovasi kepada memahami bagaimana mengintegrasikan AI generatif dengan selamat ke dalam operasi perbankan.

Selain itu, fasa kedua Rancangan Sandbox GenA.I. yang dilancarkan pada Oktober tahun yang sama mencerminkan peralihan besar daripada ujian kemampuan AI kepada pelaksanaan yang selamat dan boleh dipercayai. MAS memilih 27 kes penggunaan yang melibatkan 20 bank dan 14 rakan kongsi teknologi, dengan penekanan khusus terhadap tata kelola AI proaktif, pengesanan kualiti automatik, dan simulasi adversarial untuk meningkatkan kemampuan mencegah penipuan deepfake. Ini menandakan peralihan jelas ke arah kesiapan pelaksanaan, keberkesanan kawalan, dan pengurusan risiko yang digerakkan oleh AI.

Pada Mac 2026, Monetary Authority of Singapore, bersama Securities and Futures Commission, Insurance Authority, dan Mandatory Provident Fund Schemes Authority, melancarkan GenA.I. Sandbox++, memperluaskan kerangka kerja kepada bidang sekuriti, pengurusan aset dan kekayaan, insurans, MPF, dan alat pembayaran simpanan nilai. Kerangka ini mengekalkan tiga bidang utama iaitu pengurusan risiko, anti-penipuan, dan pengalaman pelanggan, sambil secara jelas meneruskan strategi pengawasan “AI melawan AI”, iaitu menggunakan AI untuk mengawal risiko yang berkaitan dengan AI.

MAS akan melancarkan strategi "FinTech 2030" pada November 2025, yang merangkumi strategi "Kecerdasan Buatan x Institusi Dikehendaki", bertujuan untuk mendorong penggunaan menyeluruh dan bertanggungjawab kecerdasan buatan dalam perniagaan kewangan, serta mempromosikan pembangunan infrastruktur bersama dan model industri yang boleh dikembangkan. Dari segi undang-undang dan pengawasan, strategi ini memperkuat pesan penting: pentadbiran AI bukan lagi isu inovasi yang terpisah, tetapi perlu dimasukkan ke dalam struktur korporat, ketahanan perniagaan, perlindungan pelanggan, dan persiapan pengawasan.

Pada Mac 2026, Otoriti Monetari Singapura mengeluarkan surat edaran kepada semua institusi yang diakui mengenai model perniagaan di bawah transformasi digital[7], yang menunjukkan bahawa teknologi baharu termasuk kecerdasan buatan agen sedang mempercepatkan transformasi digital. Surat edaran tersebut menjelaskan harapan Otoriti Monetari Singapura terhadap semua institusi yang diakui—untuk secara aktif menilai dan menyesuaikan model perniagaan jangka panjang mereka bagi menghadapi perubahan teknologi. Selain perkara lain, surat edaran tersebut memerlukan pihak pengurusan setiap institusi yang diakui untuk mengawasi dan menyetujui satu rancangan strategik rasmi mengenai transformasi digital dan digitalisasi kewangan sebelum 9 September 2026. Rancangan strategik ini harus mengenal pasti peluang penyesuaian atau transformasi dalam penghantaran produk, model pendapatan, interaksi pelanggan, pengurusan risiko, dan operasi. Untuk maklumat terperinci mengenai surat edaran transformasi digital Otoriti Monetari Singapura, sila rujuk infografik kami.[8]

Tren pengawasan terkini di Hong Kong menunjukkan bahawa institusi kewangan harus membina kerangka komprehensif yang merangkumi data, ketahanan teknologi, tata cara, dan pertanggungjawaban, serta menguruskan cara pengurusan AI generatif sepanjang hayatnya dengan cara yang teliti dan boleh diaudit.

Dalam amalan, ini merangkumi perkara-perkara berikut:

(Pemisahan konteks penggunaan) Perlu dibezakan dengan teliti antara pelbagai skenario pelaksanaan. Alat dalaman, aplikasi pelanggan, alat pemantauan dan pengawasan, kes sokongan pengambilan keputusan, dan model pihak ketiga mungkin menimbulkan pertimbangan undang-undang dan risiko yang berbeza; menggabungkannya secara umum sebagai satu kategori “penggunaan AI” mungkin tidak mencukupi untuk memenuhi keperluan;

(Tumpuan tata kelola) Institusi harus memasukkan isu-isu yang biasanya digambarkan sebagai murni teknikal (seperti reka bentuk prompt, mekanisme pencarian, pemprosesan output, pengesahan model, ambang laporan, dan pengulasan manusia) ke dalam lingkup tata kelola;

(Penyelarasan dasar) Institusi harus menyelaraskan dasar dalaman mereka dengan terma dan fokus semasa yang terdapat dalam panduan Hong Kong, termasuk penggunaan yang bertanggungjawab, keadilan, ketepatan, transparansi, privasi, pertanggungjawaban, dan penanggapan insiden;

(Penyeimbangan peraturan) Institusi harus bersedia menghadapi penyempitan ruang antara sokongan inovasi dan tinjauan peraturan. Walaupun penyertaan dalam sandbox dan interaksi peraturan lain boleh mempercepatkan pelaksanaan, ia juga bermaksud keperluan tata pentadbiran yang lebih tinggi; serta

(Pengkomunikasian regulasi) Keikutsertaan dalam projek sandbox dan uji coba harus dianggap sebagai aktiviti persiapan regulasi, bukan sekadar peluang inovasi. Sebelum berkomunikasi dengan pihak berkuasa regulasi, institusi harus memastikan tanggung jawab dan persetujuan yang jelas, pengujian dan pengesahan yang boleh diaudit (termasuk kawalan bias dan ilusi), pemeriksaan dan pemicu pelaporan manusia yang jelas, serta satu set dokumen bukti yang lengkap untuk tujuan pemeriksaan.

China Daratan: Menuju lintasan pengawasan yang bersifat operasional dan berorientasikan peraturan

Rangka pengawasan AI generatif di daratan China terus berkembang ke arah yang lebih boleh dilaksanakan, berpandukan peraturan, dan berorientasikan pengawasan. Bagi institusi kewangan, masalah amali tidak lagi hanya berkisar sama ada alat AI tertentu dibenarkan digunakan, tetapi sama ada institusi kewangan boleh membuktikan kes penggunaan berkaitan telah diklasifikasikan dengan sewajarnya, diselesaikan pendaftaran apabila diperlukan, disokong dengan kawalan data yang sesuai, dan dipantau sepanjang hayatnya.

Ini sangat penting kerana sempadan peraturan semakin menjadi lebih halus. Perkembangan terkini dalam penandaan kandungan yang dihasilkan AI, pendaftaran algoritma dan model, penilaian keselamatan, piawaian negara, dan pentadbiran data dalam industri kewangan semuanya menunjukkan arah yang sama: kepatuhan AI di daratan semakin menekankan pelaksanaan bukti.

Peraturan Identifikasi Kandungan Hasil Janjian Kecerdasan Buatan, yang dikeluarkan secara bersama oleh Kantor Informasi Internet Negara, Kementerian Industri dan Teknologi Informasi, Kementerian Keamanan Publik, dan Administrasi Radio dan Televisi Nasional, mengubah keperluan transparansi dan tata kelola tingkat tinggi menjadi keperluan penandaan kandungan dan metadata yang spesifik dan boleh dilaksanakan.

Inti kaedah ini ialah sistem penandaan ganda, yang memerlukan pelaksanaan serentak:

a) Label yang diperlihatkan kepada pengguna; serta

b) Tandaan tersirat dengan menyematkan metadata fail untuk mencapai keterlacakkan.

Kaedah pelabelan ganda ini mencerminkan harapan peraturan yang jelas, iaitu transparansi kepada pengguna dan keterlacakan belakang untuk tujuan peraturan, penegakan undang-undang, dan pertanggungjawaban mesti beroperasi secara serentak. Penting untuk diperhatikan bahawa kaedah ini juga memperluaskan tanggungjawab ke sepanjang nilai rantai kandungan AI. Secara ringkas:

Pembekal perkhidmatan penghasilan kandungan harus melaksanakan penandaan kandungan (termasuk penandaan eksplisit dan tersirat) semasa peringkat penghasilan kandungan, memastikan ketepatan dan keabadian penandaan, serta menyokong keterlacakkan dan pertanggungjawapan apabila kandungan yang dihasilkan oleh AI mengalami pemeriksaan atau penyiasatan peraturan;

Platform penyebaran kandungan harus mengenal pasti, mengekalkan, dan memaparkan label yang telah ada pada kandungan yang dihasilkan oleh AI, mencegah dan mengendalikan tindakan penghapusan, pemalsuan, atau penyalahgunaan label secara sengaja, serta bekerjasama dengan agensi pengawas dalam pengawasan, termasuk pengawasan terhadap asal-usul dan keterlacakan kandungan; serta

Pengguna tidak dibenarkan menghapus, mengubah, menyembunyikan, atau memalsukan tanda yang dinyatakan secara eksplisit, mengubah tanda tersirat atau penanda teknikal dengan sengaja, menyatakan kandungan yang dihasilkan AI sebagai karya manusia dengan cara yang menyesatkan, atau menggunakan kandungan sintetik dengan cara yang mengelakkan pelacakan atau pengawasan.

Peraturan ini juga mengklasifikasikan kandungan yang telah disahkan, mungkin, dan diduga dihasilkan oleh AI untuk menyokong tata kelola dan pengawasan yang sesuai. Kategori-kategori ini tidak mengenakan kewajipan pengesanan AI yang umum terhadap platform atau pengguna penyebaran. Sebaliknya, ia mengiktiraf tahap kepastian sumber kandungan yang berbeza, dan kewajipan penandaan hanya berlaku terhadap kandungan AI yang telah disahkan yang dihasilkan oleh penyedia perkhidmatan penghasilan kandungan AI yang diawasi.

Secara keseluruhan, kaedah ini menandakan peralihan kepada model tata kelola yang berkongsi tanggungjawab dan berdasarkan siklus hidup, di mana penandaan kandungan dan keterlacakan diletakkan sebagai pengawasan kepatuhan asas untuk pengurusan risiko kandungan sintetik dalam kerangka pengawasan yang terus berkembang di Tiongkok Daratan.

Walaupun terdapat perhatian yang semakin meningkat terhadap penandaan dan keterlacakan kandungan di peringkat operasi, pendaftaran algoritma dan model masih menjadi tiang utama kerangka pengawasan AI di Tiongkok daratan. Walaupun undang-undang dan peraturan berkaitan tidak mengalami revisi besar baru-baru ini, amalan pengawasan dan pelaksanaan terus berkembang.

Pemerhatian berikut patut diperhatikan secara khusus oleh institusi kewangan:

1. Pendaftaran algoritma dan pendaftaran model adalah dua prosedur pengawasan yang berasingan dan mungkin tumpang tindih. Dalam keadaan yang memenuhi syarat berkaitan, sebahagian penyedia perkhidmatan AI generatif mungkin perlu memikul tanggungjawab “pendaftaran ganda” yang merangkumi tahap algoritma dan tahap model.
2. Beberapa aplikasi perkhidmatan kewangan menghadapi ketidakpastian peraturan yang lebih besar. Pendekatan peraturan terhadap pendaftaran model yang berkaitan dengan kes penggunaan perkhidmatan kewangan tertentu masih dalam pembangunan. Berdasarkan rekod pendaftaran yang boleh diakses awam, kes berjaya diluluskan untuk algoritma atau model yang digunakan secara langsung untuk fungsi seperti penilaian risiko kewangan, keputusan kredit atau pinjaman, atau aktiviti perdagangan berdaya AI adalah terhad. Mengingat kesan potensialnya terhadap kestabilan pasaran dan perlindungan pengguna, kes penggunaan semacam ini kelihatan menghadapi pemeriksaan yang lebih ketat.
3. Beberapa kesan pengguna yang berorientasikan pelanggan telah menjadi lebih matang. Maklumat pendaftaran yang boleh diakses awam menunjukkan bahawa beberapa pendaftaran algoritma dan model yang berkaitan dengan aplikasi berorientasikan pelanggan telah diluluskan, seperti perkhidmatan pelanggan dan pembantu AI, serta beberapa alat analisis kewangan atau saham yang disokong AI. Perlu diperhatikan bahawa kesan semacam ini biasanya ditandai dengan fungsi penghasilan kandungan atau sokongan maklumat, bukan aktiviti pengambilan keputusan atau penanggungan risiko secara langsung.

Aktiviti penegakan hukum terkini menunjukkan bahawa persetujuan pengawasan atau pendaftaran tidak dianggap sebagai hasil akhir atau statik. Bagi institusi yang menyediakan perkhidmatan cadangan algoritma atau perkhidmatan AI generatif, harapan berterusan sepanjang hayat sistem. Apabila berlaku syarat pemicu undang-undang atau pengawasan (contohnya, perubahan kes penggunaan, perubahan fungsi model, perubahan sumber data, lingkungan pengguna atau saluran penyebaran), institusi mungkin perlu melakukan penilaian keselamatan tambahan, memperbaharui pendaftaran sedia ada, atau berkomunikasi secara proaktif dengan agensi pengawas mengikut keperluan.

Tren ini diperkuat oleh inisiatif penegakan hukum yang lebih luas. Pada April 2025, Kantor Informasi Internet Nasional melancarkan kampanye nasional selama tiga bulan bertajuk "Jernihkan·Pemberantasan Penyalahgunaan Teknologi AI", di mana badan pengawas mengambil tindakan terhadap banyak produk AI dan konten terkait yang tidak patuh. Ini jelas menunjukkan bahawa kepatuhan AI kini telah tertanam secara kukuh dalam aktiviti penegakan hukum biasa, bukan lagi dianggap sebagai isu pengecualian atau sementara. Kegagalan untuk mengekalkan kepatuhan berterusan boleh meningkatkan risiko terhadap temu bual pengawas, teguran rasmi, arahan pembaikan, hukuman pentadbiran, serta risiko reputasi yang berkaitan.

Selain pengendalian kandungan, pendaftaran, dan penilaian keselamatan, lingkup dan ketepatan pengawasan AI generatif di daratan China terus membesar. Alat dan inisiatif peraturan terkini menunjukkan bahawa pihak berkuasa sedang secara beransur-ansur memperluaskan fokus mereka daripada keselamatan kandungan dan kepatuhan teknikal kepada kesan tingkah laku, tata kelola etika, dan pengurusan risiko berdasarkan konteks, terutamanya dalam situasi berisiko tinggi.

Satu dimensi penting dalam evolusi ini ialah interaksi yang semakin meningkat antara tata kelola AI generatif, kerangka tinjauan etika teknologi, dan keperluan perlindungan maklumat peribadi di bawah Undang-Undang Perlindungan Maklumat Peribadi. Walaupun kedua-dua sistem ini bukanlah baru, aplikasinya dalam kes penggunaan AI menjadi semakin jelas dan boleh dilaksanakan. Khususnya, apabila sistem AI melibatkan pemprosesan maklumat peribadi, pengambilan keputusan automatik, atau fungsi yang mungkin memberi kesan besar terhadap hak individu, pihak berkuasa semakin mengharapkan organisasi tidak hanya menilai keabsahan dan keselamatan, tetapi juga keadilan, kebolehjelasan, dan risiko etika.

Peraturan Sementara tentang Tinjauan Etika dan Perkhidmatan Teknologi Kecerdasan Buatan, yang dikeluarkan secara bersama oleh beberapa jabatan pada April 2026, menunjukkan bahawa beberapa aplikasi dan pengembangan AI berisiko tinggi—terutamanya yang melibatkan data peribadi sensitif, intervensi tingkah laku, atau kesan sosial berskala besar—mungkin memerlukan tinjauan etika terstruktur atau penilaian pakar dalam kerangka kepatuhan yang lebih luas. Kepentingan tinjauan semacam ini akan bergantung pada kes penggunaan tertentu, data yang terlibat, dan persekitaran pelaksanaan, dan perlu dinilai kes demi kes.

Bagi institusi kewangan, kesan langsung kepatuhan terhadap kaedah ini mungkin terhad. Namun, sebagai isyarat arah pengawasan, perkembangan ini mempunyai kepentingan yang besar. Ia menunjukkan bahawa pengawasan AI di daratan China sedang berubah daripada kewajipan umum kepada keperluan berdasarkan skenario, fungsi, dan kesan pengguna, di mana tata kelola AI generatif semakin diharapkan melampaui ketahanan teknikal dan meluas ke reka bentuk interaksi manusia-mesin, langkah-langkah perlindungan, dan mekanisme kemas kini.

Selain tindakan undang-undang dan pentadbiran rasmi, piawaian nasional memainkan peranan yang semakin penting dalam membentuk harapan kepatuhan amalan AI. Di bidang AI generatif, agensi pengawas telah menerbitkan beberapa piawaian nasional yang memberikan panduan mengenai penilaian keselamatan pembelajaran mesin, penandaan kandungan sintetik, keselamatan data latihan, dan keperluan perkhidmatan asas. Piawaian nasional lanjutan yang berkaitan dengan keselamatan AI model sebagai perkhidmatan, penilaian kemampuan operasi selamat sepanjang kitaran hidup, dan aplikasi AI agen sedang dirangka.

Standar nasional ini berfungsi sebagai ukuran peraturan, memberikan panduan kepada badan pengawas tentang cara menilai kecukupan langkah-langkah keselamatan, susunan tata kelola, dan kawalan operasi dalam praktik. Seiring berlalunya masa, ia mungkin memainkan pengaruh yang semakin penting dalam bidang peraturan dan penegakan undang-undang, membentuk harapan terhadap apa yang dianggap sebagai langkah-langkah "sesuai" untuk sistem AI.

Sejajar dengan langkah khusus AI, pengawasan industri kewangan di daratan China semakin memperketat harapan terhadap tata kelola data dan model, yang secara langsung memberi kesan terhadap pelaksanaan AI generatif. Secara khusus:

a) Keperluan keselamatan data dan tata pentadbiran siklus hidup data semakin diperketat. Peraturan Pengurusan Keselamatan Data dalam Bidang Perniagaan Bank Rakyat China, yang dikeluarkan oleh Bank Rakyat China pada 1 Mei 2025, memerlukan institusi kewangan untuk melaksanakan pengelasan dan peringkatan data, membina dan memperbaharui senarai data secara berkala, mengenal pasti data peribadi, sensitif, dan penting, mengalokasikan tanggungjawab dalaman, serta mengambil langkah-langkah pengurusan keselamatan data sepanjang siklus hidup; serta

b) Tata kelola model dan pengawasan terpusat kini menjadi keutamaan pengawasan. Pelaksanaan Rancangan Pembangunan Finansial Digital Berkualitas Tinggi untuk Perbankan dan Insurans, yang dikeluarkan oleh Administrasi Pengawasan Keuangan Negara pada Disember 2025, menganjurkan institusi untuk membina platform pengurusan AI dan model peringkat perusahaan bagi menyokong pembangunan, pelaksanaan, dan pemantauan terpusat model.

Secara keseluruhan, tren peraturan ini menunjukkan bahawa penggunaan AI dalam industri perbankan semakin diharapkan untuk disertai dengan tata kelola model siklus hidup yang terstruktur, titik intervensi manusia yang jelas, serta pengawasan yang lebih ketat terhadap pemasok dan penyedia teknik luar. Oleh itu, kesesuaian AI di daratan China semakin sejajar dengan norma kawalan industri perbankan yang telah mapan, dengan penekanan yang semakin meningkat terhadap kedewasaan tata kelola, kualiti dokumentasi, dan kesiapan pengawasan.

Perkembangan terkini menunjukkan bahawa China daratan sedang memperdalam pelaksanaan pengawasan AI. Konsep-konsep makro seperti keselamatan, transparansi, dan penggunaan data yang bertanggungjawab masih penting, tetapi tekanan pengawasan semakin difokuskan kepada bagaimana institusi secara praktikal merekod, membuktikan, dan mengoperasikan konsep-konsep tersebut.

Bagi institusi kewangan, penggunaan AI di daratan China harus disertai dengan tata kelola terstruktur, kawalan siklus hidup, dan rekod yang boleh dipertahankan. Institusi kewangan yang mengintegrasikan analisis pendaftaran, tata kelola data, penilaian keselamatan, pengurusan risiko model, dan pengawasan pihak ketiga ke dalam reka bentuk dan operasi sistem AI sejak awal akan lebih mampu memperluaskan penggunaan AI secara bertanggungjawab.

Perspektif Global: Pemantauan, Kepekatan, dan Ketergantungan

Di luar Hong Kong dan Tiongkok daratan, laporan Financial Stability Board berjudul “Monitoring AI Adoption and Associated Vulnerabilities in the Financial Sector” yang dikeluarkan pada Oktober 2025 menekankan bahawa AI dalam sektor kewangan bukan sahaja isu tingkah laku atau teknikal, tetapi juga isu kestabilan kewangan. Laporan ini menonjolkan laju perkembangan model AI, ketergantungan yang semakin meningkat terhadap penyedia pihak ketiga, serta rantaian bekalan yang terus berubah, serta keperluan pihak berkuasa untuk memantau penggunaan, mengisi kesenjangan data, dan memahami kerentanan yang berkaitan dengan ketergantungan pihak ketiga dan risiko konsentrasi. Implikasi kepada institusi ialah tata kelola AI mesti melampaui dasar etika dan dokumentasi model, dan perlu merangkumi pengoutsourcingan, ketahanan operasi, dan risiko ekosistem. Contohnya: ketergantungan kepada sedikit penyedia model asas, platform awan, pembekal data, dan lapisan integrasi AI; kebolehlihatan yang terhad terhadap sumber data latihan dan kitaran kemas kini model; serta risiko gangguan pembekal tunggal, perubahan model, atau insiden keselamatan yang secara serentak mempengaruhi banyak institusi.

Perhatian pengawas mungkin meluas dari output model tunggal kepada persekitaran kawalan yang lebih luas, termasuk kontrak dan hak audit, pengurusan perubahan dan kawalan pembebasan, kesinambungan perniagaan dan perancangan alternatif, portabiliti data, pelaporan insiden, serta pemantauan berterusan terhadap prestasi pihak ketiga dan eksposur kepekatan.

Dampak praktikal terhadap institusi kewangan

Kerangka peraturan semasa tidak menghasilkan senarai seragam yang tunggal. Harapan undang-undang dan peraturan akan berbeza bergantung kepada industri, model perniagaan, kes penggunaan, jejak operasi, dan reka bentuk pelaksanaan. Walaupun begitu, perkembangan terkini menunjukkan beberapa agenda amal yang sepatutnya dipertimbangkan oleh banyak institusi kewangan sekarang.

1. (Pengurusan dan Pengawasan) Jawatankuasa dan pengurusan atasan harus memastikan pembinaan tanggungjawab yang jelas, saluran pelaporan, dan kerangka persetujuan untuk kes-kes penggunaan AI yang penting;
2. (Penilaian kes penggunaan) Institusi harus memastikan kes penggunaan yang berkesan besar menerima tinjauan hukum, kepatuhan, risiko model, dan teknikal yang diperkuat;
3. (Data dan Privasi) Prompt, proses pencarian, dan pelatihan harus ditinjau bersama dengan tata kelola data dan kewajiban kerahasiaan yang lebih luas;
4. (Transparency and Output Handling) Institusi harus meninjau pengungkapan pelanggan, panduan staf, pelabelan output, dan proses pengawasan kualiti untuk memastikan kesesuaiannya;
5. (Risiko pihak ketiga dan pengluaran) Penyelidikan teliti terhadap pembekal, kawalan kontrak, perancangan alternatif, dan pemantauan berterusan perlu diperkuat; serta
6. (Ujian, pemantauan, dan pelaporan insiden) Jadual ujian, rekod, pemantauan model, dan pelaporan insiden harus seimbang dengan kes penggunaan.

Penghuraian AI generatif tunggal mungkin melibatkan pelbagai aspek seperti data peribadi, kerahsiaan perbankan, hak kekayaan intelek, komunikasi pelanggan, pengesahan model, ketahanan operasi, penghuraian dan penyimpanan rekod. Oleh itu, menyerahkan isu-isu ini kepada satu pasukan inovasi atau teknologi sahaja biasanya tidak mencukupi.

Pengawasan manusia juga sangat penting. Untuk kes-kes berisiko tinggi, penyebutan umum “siklus penglibatan manusia” mungkin tidak meyakinkan, kecuali institusi dapat menjelaskan bilakah pemeriksaan diperlukan, siapa yang bertanggungjawab atas pemeriksaan, apa yang perlu diperiksa oleh pemeriksa, bagaimana pemeriksaan direkodkan, dan bilakah ia memicu penghentian atau penangguhan.

Pemerhatian terhadap Amalan Tata Kelola AI oleh Institusi Kewangan Global

Berdasarkan tinjauan pilihan dan tidak lengkap terhadap amalan tata kelola AI di institusi keuangan global tertentu, kami membuat pemerhatian umum berikut. Harap diperhatikan bahawa pemerhatian ini bersifat tingkat tinggi dan bersifat ilustratif. Tidak ada pendekatan satu ukuran untuk semua dalam tata kelola AI; kerangka setiap institusi keuangan biasanya mencerminkan pertimbangan komprehensif terhadap pelbagai faktor, termasuk peraturan dan harapan peraturan yang berlaku di yurisdiksi terkait, struktur organisasi, kesukaan terhadap risiko, tahap kedewasaan teknologi, serta sifat penggunaan AI.

Struktur tata kelola tiga lapisan sedang terbentuk secara umum: banyak institusi mengadopsi model tata kelola “tiga garis pertahanan/tiga lapisan” yang disesuaikan untuk AI. Di tingkat operasional, kasus penggunaan AI biasanya diusulkan dan dikembangkan oleh berbagai departemen bisnis secara terdesentralisasi. Di tingkat menengah, institusi biasanya membentuk komite lintas fungsi (seperti komite tata kelola AI atau dewan AI yang bertanggung jawab), yang terdiri dari perwakilan senior dari tim risiko, kepatuhan, data, teknologi, dan bisnis, yang bertanggung jawab untuk meninjau, menyetujui, dan memantau kasus penggunaan AI. Di tingkat tertinggi, dewan direksi atau komite setingkat dewan (biasanya komite risiko atau teknologi yang sudah ada, bukan komite AI khusus tingkat dewan baru) mempertahankan pengawasan akhir atas strategi, risiko, dan tata kelola AI.

Institusi biasanya tidak menganggap tata kelola AI sebagai kerangka berasingan: sebaliknya, AI biasanya dimasukkan ke dalam struktur tata kelola sedia ada, khususnya kerangka pengurusan risiko model, risiko operasi, tata kelola teknologi, dan tata kelola data. Banyak institusi menganggap model AI sebagai sambungan kepada kerangka risiko model, membolehkan ia menerima proses pengesahan, pemantauan, dan tinjauan berkala yang serupa dengan model tradisional, sambil menyesuaikan proses-proses ini untuk mengatasi risiko khas AI, seperti kebolehterangannya, bias, dan perubahan model.

Penghormatan yang kuat terhadap prinsip "AI yang bertanggung jawab" secara dalaman: Banyak institusi telah menetapkan prinsip atau piawaian tata kelola AI dalaman sebagai keperluan asas untuk semua kes penggunaan AI. Walaupun istilahnya berbeza, prinsip-prinsip ini biasanya bersetuju pada tema-tema umum berikut:

• Kesaksamaan dan mengelakkan kecenderungan atau keputusan diskriminatif;
• Transparency and interpretability of model outputs and limitations;
• Pengurusan data, kerahsiaan, dan perlindungan privasi; serta
• Pengujian berterusan, pemantauan, dan pengesahan prestasi model.

Prinsip-prinsip ini semakin dioperasikan melalui dasar-dasar dalaman, kerangka kawalan, dan alur kerja persetujuan, bukan sekadar pernyataan deklaratif semata.

Kawalan silang fungsi adalah ciri utama: Kawalan AI jarang terhad kepada satu fungsi sahaja. Institusi biasanya melibatkan pelbagai pemangku daripada pasukan data, teknologi, undang-undang, pematuhan, risiko, dan perniagaan. Jawatankuasa kawalan AI khas atau pusat kecemerlangan biasanya digunakan untuk mengkoordinasikan fungsi-fungsi ini, menetapkan piawaian bersama, dan memastikan konsistensi antara kes-kes penggunaan. Di beberapa institusi, fungsi AI terpusat menghasilkan dasar dan alat keseluruhan syarikat, sementara bahagian perniagaan mengekalkan tanggungjawab pelaksanaan.

Komiti pengesahan berdasarkan kes tidak memiliki pendekatan seragam: Walaupun sebahagian institusi telah membentuk komiti rasmi untuk mengesahkan kes-kes AI tertentu, institusi lain bergantung kepada proses pengesahan sedia ada (seperti komiti risiko model atau forum perubahan teknikal). Di kalangan institusi global berskala besar, cenderung untuk mengintegrasikan AI ke dalam infrastruktur tata kelola sedia ada, bukan mencipta badan pengesahan baharu, yang mencerminkan bahawa risiko AI harus dikelola sebagai sebahagian daripada kerangka risiko perusahaan yang lebih luas.

Pengurusan siklus hidup semakin diberi perhatian: Pengurusan AI tidak terhad kepada persetujuan awal sahaja. Institusi kini lebih menekankan kawalan siklus hidup sepenuhnya, termasuk:

• Klasifikasi kes dan penggredan risiko;
• Ujian dan pengesahan sebelum pelaksanaan;
• Pemantauan prestasi berterusan dan pengesanan perubahan;
• Tetapan intervensi manusia dan ambang laporan yang jelas; serta
• Proses tinjauan berkala, latihan semula, dan pensiun.

Ini mencerminkan peralihan yang lebih luas dari pengawasan statik kepada pengawasan berterusan.

Pengawasan manusia masih merupakan mekanisme kawalan utama: semua institusi mengakui bahawa pengawasan manusia sangat penting, terutamanya untuk kes penggunaan berisiko tinggi. Namun, kerangka yang lebih matang telah melangkah melebihi konsep umum "kitaran penglibatan manusia", berusaha untuk menentukan dengan lebih tepat bilakah pengauditan diperlukan, siapa yang bertanggungjawab atas pengauditan, standard apa yang harus dikenakan, serta bagaimana merekod dan membuktikan semuanya.

Pengurusan data dan kebolehterangansan model adalah bidang keutamaan: semua institusi secara umum menekankan cabaran berkaitan dengan kualiti data, sumber, dan kawalan akses, serta kebolehterangansan model yang kompleks. Ini biasanya dianggap sebagai isu tatacara inti, bukan semata-mata pertimbangan teknikal, terutamanya dalam persekitaran perkhidmatan kewangan yang diatur di mana kebolehterangansan dan kebolehauditan berkait rapat dengan harapan peraturan.

Kerangka tata kelola terus berkembang mengikut kesan penggunaan dan harapan peraturan: kebanyakan institusi masih mengiterasi kerangka tata kelola AI mereka. Seiring dengan perluasan kesan AI—terutamanya di bidang interaksi pelanggan, sokongan pengambilan keputusan, dan pengurusan risiko—kerangka tata kelola sedang disempurnakan untuk mengatasi risiko baru, perkembangan peraturan, dan pelajaran operasi. Oleh itu, tata kelola AI harus dipandang sebagai disiplin dinamik dan berterusan berkembang, bukan kerangka tetap.

Secara keseluruhan, pemerhatian ini menunjukkan bahawa dunia sedang beralih ke arah kerangka tata kelola AI yang terpadu, berprinsip, dan berorientasikan siklus hidup, yang berakar pada infrastruktur risiko dan kawalan yang sedia ada, tetapi semakin disesuaikan untuk mengatasi ciri-ciri dan risiko unik sistem AI.

Dalam artikel ini, "Hong Kong" merujuk kepada Wilayah Persekutuan Hong Kong Republik Rakyat China.