本文將重點介紹主要監管動態，以及金融機構在這一快速演變的環境中應採取的實務步驟。

文章作者、來源：蕭乃瑩、費思、虞磊珉，金杜研究

生成式 AI 加速普及——監管機構聚焦實務

隨著金融機構持續採用生成式人工智慧（“生成式AI”），監管機構的關注重點正由原則性政策表述轉向實際落地應用。我們於2025年1月發布的《生成式AI金融機構指南》[1]已指出，生成式AI監管格局正在形成，儘管彼時相關框架仍以原則性為主。[2]

Subsequently, the regulatory focus has shifted from macroscopic principles to operational governance. Hong Kong, China is transitioning from a pilot phase to responsible application, while mainland China's regulation is becoming increasingly detailed, particularly in areas such as content governance, data processing, filing obligations, and model supervision. This article will highlight key regulatory developments and the practical steps financial institutions should take in this rapidly evolving environment.

香港：從試驗走向結構化應用

香港近期的發展表明，金融服務領域正以更成熟務實的方式推動生成式AI的應用。監管重點在於金融機構能否以負責任、可控制、注重投資者保護並經得起監管審查的方式部署相關技術。

香港金融管理局（“金管局”）於2025年4月發布的《GenA.I. 新時代：促進金融服務負責任地應用人工智慧》[3] 報告指出，香港對生成式AI的認知正在發生轉變——75% 的受訪金融機構已實施或正在開發AI應用，預計未來三至五年將達到87%。

Meanwhile, practical guidelines are becoming increasingly specific. For example, the Office of the Privacy Commissioner for Personal Data, Hong Kong, issued the “Guidance Checklist on Employee Use of Generative AI” in March 2025 [4], translating privacy and governance concerns into concrete operational controls. The checklist recommends establishing clear policies on tool usage, data input, output storage and retention, verification, bias correction and reporting, watermarking and labeling, device access, and incident reporting.

香港數字政策辦公室於2025年4月首次發布並於同年12月更新的《香港生成式人工智慧技術及應用指引》[5] 進一步提供最佳實踐指導，強調公平性、透明度、用戶選擇權及偏差糾正等原則。將生成式AI用於客戶互動、推薦引擎、適當性支援、內部分類或風險篩選的金融機構，應將該指引視為整體合規框架的重要組成部分。

一項尤為重要的進展是香港生成式AI監管框架的持續擴展。如我們2025年1月的文章所述，金管局於2024年與數碼港合作推出了GenA.I.沙盒，為認可機構提供一個受控環境，以開發和測試銀行業生成式AI的創新用例。

在2025年10月，金管局發布了《第一期GenA.I.沙盒報告》[6]，指出風險管理、反欺詐措施及客戶體驗為三大測試領域，同時指出了內容幻覺和資訊誤差等技術及治理挑戰。這標誌著監管重心從鼓勵創新轉向理解如何將生成式AI安全融入銀行運營。

此外，同年10月推出的第二期 GenA.I. 沙盒計劃，反映了從測試 AI 能力向實現安全可靠實施的重大轉變。金管局選出了 27 個用例，涵蓋 20 家銀行和 14 家技術合作夥伴，重點強調主動式 AI 治理、自動質量檢測及對抗性模擬，以提升防範深度偽造欺詐的能力。這標誌著明確過渡至部署準備、控制有效性及 AI 驅動的風險緩解。

在2026年3月，金管局聯同證券及期貨事務監察委員會、保險業監管局及強制性公積金計劃管理局推出 GenA.I. 沙盒++，將框架擴展至證券、資產及財富管理、保險、強積金及儲值支付工具領域。其保留了風險管理、反欺詐和客戶體驗三大核心領域，同時明確繼續推進「以AI對抗AI」的監管策略，即利用AI管控AI相關風險。

金管局於2025年11月推出「金融科技2030」的戰略，其中包含「人工智慧 x 認可機構」策略，旨在推動人工智慧在金融業的全面及負責任應用，並促進共享及可擴展基礎設施及行業模型的發展。從法律和監管角度而言，這一策略強化了一個重要訊息：AI治理不再是孤立的創新議題，而應納入企業架構、業務韌性、客戶保護及監管準備之中。

在2026年3月，金管局向所有認可機構發出關於數碼轉型下業務模式的通函[7]，指出包括代理式人工智能在內的新技術正加速數碼化轉型。通函闡明了金管局對所有認可機構的期望——主動評估並調整其長期業務模式以應對技術變革。除其他事項外，通函要求每家認可機構的董事會於2026年9月9日前監督並批准一份關於數碼化轉型和金融數碼化的正式戰略計劃。該戰略計劃應識別在產品供應、收入模式、客戶互動、風險管理和運營方面進行調整或轉型的機會。有關金管局數碼轉型通函的詳細資訊，請參閱我們的信息圖。[8]

Hong Kong's recent regulatory trends indicate that financial institutions should establish a comprehensive framework covering data, technological resilience, governance, and accountability, and manage the use of generative AI throughout its entire lifecycle in a rigorous and auditable manner.

在實務中，這包含以下要點：

（應用場景區分）應仔細區分不同的部署場景。內部工具、客戶應用、監控與監測工具、決策支持用例和第三方模型可能引發不同的法律和風險考量，將其籠統歸為單一類別的「AI使用」可能不足以滿足要求；

（治理重心）機構應將通常被描述為純技術性問題（如提示詞設計、檢索機制、輸出處理、模型驗證、報告閾值和人工審核的問題）納入治理範疇；

（政策對齊）機構應將內部政策與香港指引中現有之術語及關注點保持一致，包括負責任的應用、公平性、準確性、透明度、隱私、問責和事故應對；

（監管平衡）機構應為創新支持與監管審查之間的空間收窄做好準備。雖然沙盒參與及其他監管互動可能加速部署，但也意味著更高治理要求；以及

（監管溝通）參與沙盒和試點項目應被視為監管準備活動，而非僅僅是創新機會。在與監管機構溝通之前，機構應確保明確的權責與審批、有據可查的測試與驗證（包括偏差和幻覺控制）、明確的人工審核與匯報觸發條件，以及一套完整的證據文件以備審查之需。

中國內地：邁向操作性及規則導向的監管路徑

中國內地的生成式AI監管框架持續朝向更具可操作性、規則性和監管導向的方向發展。對於金融機構而言，實務問題已不再僅是某項AI工具是否被允許使用，而是金融機構能否證明相關用例已得到適當分類、在必要時完成備案、配備適當的數據控制，並在其整個生命週期中受到監控。

這一點十分重要，因為監管邊界正變得更加精細。近期在 AI 生成內容標註、演算法和模型備案、安全評估、國家標準以及金融行業數據治理方面的發展均指向同一方向：內地的 AI 合規日益著重於實施證據。

由國家互聯網信息辦公室、工業和信息化部、公安部和國家廣播電視總局聯合發布的《人工智慧生成合成內容標識辦法》將高層次的透明度和治理關切轉化為具體的、可操作的內容標註和元數據要求。

該辦法的核心是雙重標註制度，要求同時實施：

a) 用戶可見的明確標註；以及

b) 嵌入文件元數據以實現可追溯性的隱式標註。

這種雙重標註方法體現了明確的監管期望，即面向用戶的透明度和用於監管、執法和問責的後端可追溯性必須並行運作。重要的是，該辦法還將責任擴展至整個AI內容價值鏈。概括而言：

內容生成服務提供者應在內容生成階段實施內容標註（包括顯式和隱式標註），確保標註的準確性和持久性，並在 AI 生成內容受到監管審查或調查時支持可追溯性和問責；

內容傳播平台應識別、保留和展示附加於 AI 生成內容上的現有標註，防止和處理故意移除、偽造或濫用標註的行為，並配合監管機構進行監管，包括內容溯源和可追溯性方面的監管；以及

用戶不得故意移除、篡改、隱匿或偽造明確標註，不得故意篡改隱式標註或技術標識符，不得以誤導他人的方式將AI生成內容虛假表述為人工創作，也不得以規避可追溯性或監管的方式使用合成內容。

該辦法進一步區分了已確認、可能和疑似AI生成的內容，以支持適當的治理和監管。這些類別並未對傳播平台或用戶施加一般的AI檢測義務。相反，它們承認內容來源確定性存在不同層級，強制標註義務僅適用於由受監管AI內容生成服務提供者所生成的已確認AI生成內容。

Overall, this measure marks a shift toward a shared-responsibility and lifecycle-based governance model, with content labeling and traceability positioned as baseline compliance controls for managing synthetic content risks under China's evolving regulatory framework.

儘管運營層面日益關注內容標註和可追溯性，但算法和模型備案仍是中国內地AI監管架構的核心支柱。雖然相關法律法規近期未有重大修訂，但監管實踐和實施仍在持續發展。

以下觀察值得金融機構特別關注：

1. 算法備案和模型備案是兩個獨立且可能重疊的監管程序。在滿足相關條件的情況下，部分生成式AI服務提供者可能需要承擔涵蓋算法層面和模型層面的「雙重備案」義務。
2. 某些金融服務應用面臨更大的監管不確定性。涉及特定金融服務用例的模型備案的監管方式仍在發展中。根據公開可查的備案記錄，直接用於金融風險評估、信貸或貸款決策或AI驅動交易活動等功能的演算法或模型，成功獲批的案例有限。鑑於其對市場穩定性和消費者保護的潛在影響，此類用例似乎面臨更嚴格的審查。
3. 某些面向客戶的用例備案趨勢更為成熟。公開可查的備案資訊表明，若干與面向客戶的應用相關的算法和模型備案已獲得批准，例如 AI 智能客服和助手，以及某些 AI 支持的理財或證券分析工具。值得注意的是，此類用例通常以內容生成或資訊支持功能為特徵，而非直接的決策或承擔風險的活動。

近期的執法活動表明，監管審批或備案完成並不被視為最終或靜態的結果。對於提供算法推薦服務或生成式AI服務的機構，期望延伸至系統的整個生命週期。當出現法定或監管觸發條件（例如用例變化、模型功能變化、數據來源變化、用戶覆蓋範圍或傳播渠道變化）時，機構可能需要酌情進行補充安全評估、更新現有備案或主動與監管機構溝通。

這一趨勢因更廣泛的執法倡議而得到加強。2025年4月，國家互聯網信息辦公室啟動了為期三個月的全國性「清朗·整治AI技術濫用」專項行動，期間監管機構對大量不合規AI產品及相關內容採取了行動。這清楚表明，AI合規現已牢固嵌入常規監管執法活動之中，而非被視為例外性或過渡性問題。未能保持持續合規可能增加面臨監管約談、通報批評、整改令或行政處罰以及相應聲譽風險的風險敞口。

除內容標註、備案和安全評估外，中國內地生成式 AI 的更廣泛監管邊界在範圍和精細度上持續擴大。近期的監管工具和政策倡議表明，監管機構正逐步將關注點從內容安全和技術合規擴展至行為影響、倫理治理和場景化風險管理，尤其是在較高風險情境中。

這一演進的一個重要維度，是生成式AI治理與科技倫理審查框架，與《個人資訊保護法》下個人資訊保護要求之間日漸增強的互動。雖然這兩項制度並非全新，但其在AI應用場景中的適用正變得更加明顯且具可操作性。特別是，當AI系統涉及個人資訊處理、自動化決策或可能對個人權益產生重大影響的功能時，監管機構日益期望機構不僅評估合規性與安全性，還要評估公平性、可解釋性與倫理風險。

由多個部門於2026年4月聯合發布的《人工智能科技倫理審查與服務辦法（試行）》表明，某些較高風險的AI研發和應用場景——特別是涉及敏感個人數據、行為干預或大規模社會影響的場景——可能需要在更廣泛的合規框架中進行結構化倫理審查或專家評估。是否需要此類審查將取決於具體用例、涉及的數據和部署環境，應逐案評估。

對於金融機構而言，該等辦法的直接合規影響可能有限。然而，作為監管方向的信號，這些發展具有重要意義。它們表明，內地AI監管正從寬泛的義務向基於場景、基於功能和以用戶影響為導向的要求演進，生成式AI治理日益被期望超越技術穩健性，延伸至人機交互設計、保障措施和升級機制。

除正式法律和行政措施外，國家標準在塑造AI實務合規期望方面發揮著日益重要的作用。在生成式AI領域，監管機構已發布多項國家標準，就機器學習安全評估、合成內容標註、訓練數據安全和基線服務要求等方面提供指導。與AI模型即服務安全、生命週期安全運行能力評估和代理式AI應用相關的進一步國家標準正在制定中。

這些國家標準發揮監管標尺的功能，為監管機構如何在實踐中評估安全措施、治理安排和運營控制的充分性提供參考。隨著時間推移，它們可能在監管和執法領域發揮日益重要的影響力，塑造對 AI 系統何為「適當」保障措施的期望。

與 AI 專項措施並行，中國內地金融行業監管正日益強化對數據和模型治理的期望，對生成式 AI 部署產生直接影響。具體而言：

a) 數據安全與生命週期治理要求正在加強。中國人民銀行於2025年5月1日發布的《中國人民銀行業務領域數據安全管理辦法》要求金融機構實施數據分類分級，建立並定期更新數據清單，識別個人、敏感和重要數據，分配內部職責，並採取全生命週期的數據安全管理措施；以及

b) 模型治理與集中監管正成為監管優先事項。國家金融監督管理總局於2025年12月發布的《銀行業保險業數字金融高質量發展實施方案》鼓勵機構建設企業級AI和模型管理平台，以支持模型的集中開發、部署和監控。

綜合來看，這些監管趨勢表明，金融行業的 AI 應用日益被期望伴隨結構化的生命週期模型治理、明確的人工干預節點，以及對供應商和外包技術提供者的加強監管。因此，中國內地的 AI 合規正與已確立的金融行業控制規範趨同，日益強調治理成熟度、文件質量和監管準備。

近期發展表明，中國內地正在深化 AI 監管的實施層。安全性、透明度和負責任的數據使用等宏觀概念仍然重要，但監管壓力日趨集中於機構如何在實踐中記錄、證明和操作化該等概念。

對於金融機構而言，在中國內地採用 AI 應輔以結構化治理、生命週期控制和可辯護的記錄。從一開始就將備案分析、數據治理、安全評估、模型風險管理和供應商監管納入 AI 系統設計和運營的金融機構，將更有能力負責任地擴展 AI 的應用規模。

全球展望：監控、集中度與依賴性

除香港和中國內地外，金融穩定委員會於2025年10月發布的《監控金融行業AI的應用及相關脆弱性》[9] 報告強調，金融行業中的AI不僅是行為或技術問題，更是金融穩定問題。該報告重點指出AI模型發展的快速步伐、對第三方提供者的日益依賴，以及不斷演變的供應鏈，並強調當局需監控應用、彌補數據缺口，並理解與第三方依賴性及集中度風險相關的脆弱性。對機構的啟示是，AI治理必須超越倫理政策和模型文檔，還需涵蓋外包、運營韌性及生態系統風險。例如：對少數基礎模型提供者、雲平台、數據供應商和AI集成層的依賴；對訓練數據來源和模型更新週期的有限可見性；以及單一供應商中斷、模型變更或安全事件同時影響多家機構的風險。

監管關注可能從單個模型輸出擴展至更廣泛的控制環境，包括合約及審計權利、變更管理和發布控制、業務連續性和替代規劃、資料可攜性、事件上報，以及對第三方績效和集中度敞口的持續監控。

對金融機構的實際影響

當前的監管格局並未產生單一的通用清單。法律和監管期望將因行業、商業模式、用例、運營足跡和部署設計的不同而有所差異。儘管如此，近期的發展指向了許多金融機構現在應當考慮的實務議程。

1. （治理與監督）董事會和高級管理層應確保為重大 AI 用例建立明確的問責制、報告路徑和審批框架；
2. （用例評估）機構應確保影響較大的用例獲得強化的法律、合規、模型風險和技术審查；
3. （數據和隱私）提示詞、檢索和訓練工作流程應結合更廣泛的數據治理和保密義務進行審查；
4. （透明度和輸出處理）機構應審查客戶披露、員工指引、輸出標註和品質控制流程是否合乎目的；
5. （第三方與外包風險）應加強供應商盡職調查、合約控制、替代規劃和持續監控；以及
6. （測試、監控和事件上報）測試、記錄、模型監控和事件上報安排應與用例保持比例相稱。

單一的生成式 AI 部署可能涉及個人數據、銀行保密、知識產權、客戶通信、模型驗證、運營韌性、外包和記錄保存等多個方面。因此，將這些問題交由單一的創新或技術團隊處理，通常是不夠的。

人工監督同樣至關重要。對於高風險用例，若機構無法說明何時需要審核、由誰負責審核、審核者應檢查哪些內容、審核如何留證，以及何時觸發上調或暫停，則僅泛泛提及「人類參與迴圈」可能缺乏說服力。

全球金融機構 AI 治理實踐觀察

基於對特定全球金融機構 AI 治理實踐的選擇性、非窮盡性審查，我們作出以下一般性觀察。請注意，這些觀察屬於高層次且說明性質。AI 治理沒有放之四海而皆準的方法，每家金融機構的框架通常反映多種因素的綜合考量，包括相關司法管轄區適用的監管與監管期望、組織結構、風險偏好、技術成熟度階段以及 AI 用例的性質。

一種普遍的三層治理架構正在形成：許多機構採用針對AI定制的「三道防線/三層」治理模型。在運營層面，AI用例通常由各業務部門以分散化方式提出和開發。在中間層面，機構通常設立跨職能委員會（如AI治理委員會或負責任AI理事會），由風險、合規、數據、技術和業務團隊的高級代表組成，負責審核、批准和監控AI用例。在最高層面，董事會或董事會級別的委員會（通常是現有的風險或技術委員會，而非新設的專門董事會級AI委員會）保留對AI戰略、風險和治理的最終監督。

機構通常不將 AI 治理作為獨立框架：相反，AI 通常納入現有治理結構中，特別是模型風險管理、操作風險、技術治理和數據治理框架。許多機構將 AI 模型視為模型風險框架的延伸，使其接受與傳統模型類似的驗證、監控和定期審查流程，同時調整這些流程以應對 AI 特有的風險，如可解釋性、偏差和模型漂移。

對內部「負責任AI」原則的強烈重視：許多機構制定了內部AI治理原則或標準，作為所有AI應用的基線要求。雖然術語有所不同，但這些原則通常圍繞以下共同主題趨於一致：

• 公平性及避免偏差或歧視性結果；
• 模型輸出和限制的透明度與可解釋性；
• 數據治理、保密性與隱私保護；以及
• Continuous testing, monitoring, and model performance validation.

These principles are increasingly operationalized through internal policies, control frameworks, and approval workflows, rather than remaining purely aspirational statements.

跨職能治理是核心特徵：AI 治理很少局限於單一職能。機構通常讓數據、技術、法律、合規、風險和業務團隊中的多方利益相關者參與其中。專門的 AI 治理委員會或卓越中心通常用於協調這些職能、制定共同標準，並確保各用例之間的一致性。在某些機構中，集中化的 AI 職能制定全集團政策和工具，而業務部門保留實施責任。

“逐用例審批委員會”並無統一做法：雖然部分機構設立了正式委員會來審批個別AI用例，但其他機構則依賴現有審批流程（如模型風險委員會或技術變更論壇）。在大型全球性機構中，通常傾向於將AI納入現有治理基礎設施，而非創建全新的審批機構，這反映著AI風險應作為更廣泛企業風險框架的一部分加以管理。

生命週期治理日益受到重視：AI 治理不僅限於初始審批。機構正更加注重端到端的生命週期控制，包括：

• 案例分類和風險等級；
• 部署前測試和驗證；
• 持續的性能監控和漂移檢測；
• 明確的人工干預和上報閾值；以及
• Regular review, retraining, and retirement processes.

This reflects a broader shift from static control to continuous monitoring.

人工監督仍是核心控制機制：各機構普遍認識到人工監督至關重要，尤其是對於較高風險的用例。然而，更成熟的框架已超越泛泛的「人類參與迴圈」概念，力求更精確地界定何時需要審核、由誰負責審核、應適用何種標準，以及如何記錄和留證。

數據治理和模型可解釋性是優先關注領域：各機構普遍強調與數據質量、來源和存取控制相關的挑戰，以及複雜模型的可解釋性。這些通常被視為核心治理問題，而非純粹的技術考量，特別是在可解釋性和可審計性與監管期望密切相關的受監管金融服務環境中。

治理框架隨著用例和監管期望持續演進：大多數機構仍在迭代其 AI 治理框架。隨著 AI 用例的擴展——尤其是在客戶互動、決策支持和風險管理等領域——治理框架正在被完善以應對新風險、監管發展和運營教訓。因此，AI 治理應被視為一門動態和不斷發展的學科，而非固定的框架。

Overall, these observations indicate that the world is converging toward integrated, principle-based, and lifecycle-oriented AI governance frameworks, which are rooted in existing risk and control infrastructures but are increasingly adapting to address the unique characteristics and risks of AI systems.

在本文中，“香港”指中華人民共和國香港特別行政區。