AI在洗錢防制及打擊資恐業務上的實際運用
Tags:

◎ 韓其珍(中央研究院法律學研究所博士後研究學者)

從兆豐銀行紐約分行被罰案說起

在2016年時,我國的兆豐銀行位於美國紐約的分行遭紐約州金融服務署(New York State Department of Financial Service,後稱NYDFS)開罰1.8億美元(約57億元台幣),理由為NYDFS實地金融檢查後,認定兆豐銀行的紐約分行長期未建立有效的、獨立的法令遵循(Compliance)系統,並經過多次提醒仍未改善,根本的缺乏系統且有效的法令遵循計劃書(Compliance Program),未實施有效的反洗錢、反資恐控制1,台灣總行的CCO(Chief Compliance Office)及紐約分行的BSA / AML人員均未能熟悉美國的銀行監管要求,並且兆豐銀行的CCO的日常工作存在衝突,因為她承擔著關鍵的業務和運營責任以及合規(法令遵循)的角色,因此兆豐銀行紐約分行於2015年時與其巴拿馬分行之間存在大量被NYDFS認定為異常交易的財務活動,違反美國紐約州銀行法及洗錢防制法申報,而兆豐銀行未進行有效的控管及申報2

Eoermmca, CC BY-SA 3.0, via Wikimedia Commons

兆豐銀行紐約分行被開重罰的消息一出,經過台灣媒體的報導,立刻成為國人關注的焦點,新聞及政論節物也聚焦討論多日。究其被關注的理由,一方面是因為兆豐銀為台灣公股銀行,所以兆豐被開天價罰款,某種程度上意味著全民買單;另一方面,NYDFS對兆豐的開罰金額,無論對台灣政府而言,或是對台灣的金融行業而言,均是突破歷史紀錄的天價罰款,刷新了台灣金融史上最高的被罰金額(還是被美國政府開罰),除了因實際的金錢處罰令台灣政府及人民有感之外,更擔心的是對台灣自身形象在國際間被大扣分,以及未來在「亞太防制洗錢組織」(Asia/Pacific Group on Money Laundering, 後稱APG)的評鑑中無法取得佳績。

因此,在2016年,台灣政府及金融圈好似突然覺醒了,開始積極學習洗錢防制(Anti-Money laundering,後稱AML)及打擊資恐(Countering the financing of terrorism,後稱CFT),各家銀行、保險業者開始積極尋求了解Compliance(法令遵循業務)、AML及CFT的人才。台灣民眾也逐漸開始關注「法令遵循」及「洗錢防制」究竟為何。

然而經過2016年覺醒式的學習,台灣政府及金融機構真的足以應付美國政府及國際組織對洗錢防制及法令遵循、國際合規的要求了嗎?

答案恐怕無法是自信且肯定的。因為兆豐銀行的海外分行被罰事件還有續集,繼轟動一時的兆豐銀行被罰款1.8億美元之後,2018年兆豐銀行的紐約分行、(伊利諾伊州)芝加哥分行及(加州)矽谷分行又因風險管理、防制洗錢制度、法令遵循項目未達監理機關標準,再罰2900萬美元(約折合新台幣8.7億元)3。雖然此次的開罰金額不若前次的開罰金額巨大,但體現出的是我國政府及銀行面對國際法令遵循及洗錢防制業務的持續性陌生。

洗錢防制(Anti-Money laundering)及打擊資恐(Countering the financing of terrorism)

美國在歐巴馬政府時期,為避免犯罪分子利用各種Financial Industries(金融行業,後稱FI)清洗其不法所得,以及打擊對恐怖分子的資助,因此加大對FI要求其盡職法令遵循業務的力度,詳細要求美國的各FI肩負起在前端防堵不法分子利用FI洗錢、資恐的可能。而將防制洗錢行為、打擊資恐行為拉到金融機構的前端防堵的概念是基於,讓貪汙、販毒、資助恐怖分子的犯罪人無法「享用」到這些金錢和這些金錢所帶來的好處,久而久之,這些犯罪分子也就不會願意鋌而走險的犯罪,能夠根除這些巨大的金錢罪惡。

根據美國FinCEN、SEC所公布的文件可知,FI被要求聘請有足夠專業素養的專業人士擔任Chief Compliance Officer (法令遵循主管,CCO),並由CCO制定有效的法令遵循計劃書/合規計劃書(Compliance Program),其所制定的Compliance Program應具有效識別出疑似洗錢行為的功能,並將日常交易行為及其銷售之金融商品明確區分出高、中、低等不同風險級別,對不同級別的風險制定有效的、成文的法令遵循計畫,日常交易的後台監控,以及對於日常交易的疑似洗錢行為應確實留存軌跡並報告主管機關。同時亦應加強客戶的KYC(Know Your Customer)、CDD(Customer Due Diligence),落實且定期的對董事會、受僱員工們的法令遵循教育。

Photo by Jason Leung on Unsplash

AI技術在AML及CFT業務上的不可替代性

從FinCEN公布的法令及相關指導性文件,FI應當聘請有足夠經驗的專業人士任職CCO,並且CCO應當制定有效的Compliance Program,並有隨時完善Compliance Program漏洞的能力,並成立具有專業能力並能快速解決公司所面臨的法令遵循難題的Compliance Committee(合規委員會)。有效且全面的Compliance Program應當包括書面的日常交易的法令遵循程序,完善對風險評估單的制定,加強前端工作人員更確實的對客戶進行KYC(Know Your Customer)、CDD(Customer Due Diligence)等調查,後台人員對日常交易的監控,以及對工作同仁及董事會加強法令遵循培訓等等。而前述這些法令遵循計畫都需要大量的IT信息技術及AI人工智能的幫助。

KYC(Know Your Customer) / CDD(Customer Due Diligence)

金融機構在日常與客戶的往來中,雖然可以人工的詢問客戶的姓名、年齡、教育背景、工作單位、資金來源等事務,但這些所收集起來的資料卻需要後台大量的數據,並以AI進一步分析每個客戶的風險高低。在AI以大數據的識別客戶風險時,時常存在同一個客戶在面對不同的金融商品時,很可能會出現不同的風險高低結論,而這些風險高低的分析是很難(幾乎不可能)僅用人工加以識別。因為KYC的風險評估的背景需要金融機構通過分析大量外部資料來理解客戶的工作專業,政治狀態和社會背景,公共檔案,以及其他公開的社會資訊等4。而這些資訊不可能由人腦記憶,必須依靠大數據的資料背景,人工智能的精確分析。而AI可在KYC環節可提供的便利還包括:匯總內部客戶資料以創建所有帳戶的客戶資料庫及識別照片、包括跨多個後端系統的重復資料刪除和對帳、從相關外部資料來源收集和組裝資訊以創建客戶檔案、核對客戶所提供信息的準確度、對於客戶最新資訊的更新提醒等等。

日常AML / CFT報送

在日常業務進行中,依法令遵循之規定需要AML / CFT報送及留存軌跡的日常交易,疑似洗錢的高風險帳戶的活動,或是按照AML / CFT規定不可進行的交易項目,可以因為AI的提醒,而讓AML / CFT的業務進行的更加高效。比如,當AI識別出銀行內部的洗錢高風險帳戶或應關閉而尚未關閉的帳戶後,便需要AI的監控,當前述這些帳戶進行交易活動時,就需要AI的提醒,提醒法令遵循部門的人員及法遵長重視洗錢高風險帳戶的活躍問題。一個大銀行、大金融機構一定存在(甚至不少)洗錢高風險帳戶,這些帳戶是不可能僅單純以人腦及人力去查找或緊盯這些戶頭的活躍程度,因此以AI進行提示及警告便是健全洗錢防制及打擊資恐所不可或缺的業務系統。

Photo by Padraig Treanor on Unsplash

FATCA及CRS報送提醒

在我國的銀行、壽險、產險等金融業內部的公司治理中,大多數均將FATCA及CRS的報送業務放在法令遵循部門之中,這樣的公司治理劃分也是正確的。FATCA被戲稱為「肥咖條款」,其真正的全名為「外國帳戶稅收遵從法(Foreign Account Tax Compliance Act,以下稱FATCA)」,是歐巴馬政府時期所推行的一系列財政改革(包括打擊本國公民在他國收入的逃稅、漏稅行為),及打擊金融犯罪(打擊犯罪分子洗錢、資恐)之一。我國於2016年12月由駐美國台北經濟文化代表處(TECRO)與美國在台協會(AIT)正式簽署「美國外國帳戶稅收遵從法(FATCA)」之合作協定5,由於我國選擇「模式2(Model 2)6的報送模式」,因此更多的是金融機構本身需肩負起向美國政府報送客戶資料的責任。而CRS 全名叫「共同申報及盡職 審查準則(Common Reporting and Due Diligence Standard)」,是OECD主導的跨國稅務合作,由金 融機構揭露客戶帳戶餘額,再由各國國稅局之間定期交換,故亦多被金融業界稱為全球版的肥咖條款7。因此擁有美國及有簽署CRS等國家的公民在我國金融機構開戶,或是購買金融商品時,需要填寫FATCA及CRS的申報表格,但在客戶填寫完成之後便需要AI的幫助,包括之後FATCA及CRS的申報提醒,對於外國客戶的風險高低偵測,都是無法脫離AI的大數據分析。

後台監控

從FinCEN公布的法令及相關指導性文件中顯示,一個完整的法令遵循計劃書必須建立有效的後台監控系統,除各部門的法令遵循人員在第一線進行日常業務的法令遵循,後台的法令遵循部門應能有效監控金融機構的日常交易、金融商品買賣的交易行為,測試及調整AML / CFT系統。後台的AML / CFT監控需要完整的數據,詳盡的國內及國際相關法律法規,以及客戶的確實背景,資金來源及流向的調查,這些都需要AI來幫助偵查及判斷。

公司決策及客戶分析

法令遵循部門能運行良好,並且能成為獨立於公司的法務部門(Legal Department)、風控部門(Risk Control Department)之外的單獨部門,最重要的是清楚劃分其與法務部門、風控部門之間的權責,並加強公司決策階層對於法令遵循業務的尊重和了解。法令遵循部門需熟稔國際及國內相關法律,從事法令遵循的法遵人員亦需有足夠的專業知識能執行CCO所制定的年度法令遵循計畫,在日常法令遵循業務中不斷測試公司的風控系統和洗錢防制系統,從而建立嚴密的法、風、稽三道防線。嚴密的法令遵循計畫能幫助公司正確分析出客戶的風險高、中、低,也能幫助公司做出各項正確的決策。法令遵循及國際合規專家們均認為,通過不斷地分析來自多個不同來源的資料,AI可以反過來提高其自身的準確性並支援更好的決策,包括圍繞以前未知的新場景的決策8

Photo by JJ Ying on Unsplash

對法遵人員、公司同仁及董事會的教育培訓

根據美國FinCEN及國際防制洗錢組織(包括艾格蒙聯盟 Egmont Group of Financial Intelligence Units、亞太防制洗錢組織 Asia / Pacific Group on Money Laundering等)所公布的資料,判定金融機構是否良好運行法令遵循計畫,是否具有對於日常交易及金融商品的AML及CFT的防範,其衡量的標準之一便是對法遵部門同仁,以及公司同仁、董事會成員進行定期的訓練(Training)。在美國業界的訓練(Training)多採向顧問公司購買線上訓練課程,以及線上試題,應接受training的同仁應自行接受考試,並留存考試結果。而AI在training這一環節可以自動統計出公司同仁在法令遵循中的業務能力,公司同仁及公司在面對日常的法令遵循時是否暴露在高風險之中。

未來AI在AML及CFT所扮演的角色

從前述可知, 公司雖建構了有效的法令遵循計劃書、AML / CFT計劃書,但在實際操作時,法令遵循人員最受到挑戰的是,無論是跨國的大型公司的客戶動輒數以百萬計,或是國內的中、小型公司的客戶也數以幾十萬計,這些客戶所帶來的客戶資料、日常交易記錄,不可能單純以人工紀錄和更新。國際上及各國出台的法令遵循新規定,新公司法規定等何其繁瑣,我們也無法想像單純以人工加以逐一核對並更新。因此,高效且全面的法令遵循計畫不僅需要專業的CCO制訂年度計劃書,購買足夠詳細的洗錢高風險名單,對公司項目、金融項目、公司客戶的風險掌握,皆是建立在大量的數據分析之上,並且需要依託AI技術偵測日常每一筆的交易活動及留存軌跡。國際上的大多數法令遵循及洗錢防制專家均一致認為,公司日常的法令遵循業務是需要AI技術才足以支撐。

結語

近幾年全世界的金融業界對金融科技(Fintech)的重視與日俱增,FI包括銀行、保險、壽險、證券業等,從對業務政策的分析、客戶的研究、日常交易、金融商品的推廣,到資訊安全的維護,提升法務、風險、稽核的業務精準度,都脫離不了對金融科技的借助。隨著Fintech的蓬勃發展,越來越多金融從業人員擔心自己未來的工作會被AI所取代,尤其是近年借助AI及Fintech技術,大幅提升法令遵循業務的洗錢防制、打擊資恐的精確度,和FATCA及CRS的報送精準度,導致目前金融行業對AI的依賴漸深,由此看來金融從業人員的擔憂也不無道理。然而在科技發達的今日,我們連日常生活都不可能離開科技及AI帶給我們的便利,面對各種產業的升級,我們也不可能就此停止產業和科技、AI的結合,因此我們需要將眼光放向未來,我們應當思考的是人類智能(Human intelligence)與人工智能的互補作用。就拿筆者文中所分享的法令遵循業務來討論,日常的常規化(routine)業務內容也許可以被AI完全取代,然而法遵人員每年如何制定出有效的法令遵循計劃書、AML / CFT計劃書,以及測試數據庫中的風險識別系統的正確度等等均不是AI所能任意取代的。當人工智能的發展已經無法停滯,人類智能更多的應當是思考如何與人工智能達到良好的搭配,達到利益最大化,讓我們的未來和下一代更美好。Kernel的創始人兼CEO Bryan Johnson說:「未來並不是人工智能與人類的對決,而是創造兩者相結合,更高級的人類智能。9」筆者深表贊同並引此作結。