ธปท. ออกแนวนโยบายบริหารเสี่ยงใช้ AI ภาคการเงิน เน้นโปร่งใส-คุ้มครองผู้บริโภค

ธนาคารแห่งประเทศไทย (ธปท.) เปิดแนวนโยบายบริหารจัดการความเสี่ยงจากการใช้งานระบบปัญญาประดิษฐ์ (Artificial Intelligence: AI) สำหรับสถาบันการเงินและผู้ให้บริการระบบการชำระเงิน ภายใต้กรอบ “Guiding Principles for Artificial Intelligence Risk Management” เพื่อสร้างมาตรฐานการใช้ AI ที่โปร่งใส ปลอดภัย และรับผิดชอบ พร้อมปกป้องผู้บริโภคจากความเสี่ยงที่อาจเกิดขึ้น

ธปท. ระบุว่า ปัจจุบันสถาบันการเงินได้นำ AI มาใช้สนับสนุนการดำเนินธุรกิจและการให้บริการลูกค้าเพิ่มขึ้น ไม่ว่าจะเป็นงานวิเคราะห์ข้อมูล อนุมัติสินเชื่อ การทำธุรกรรม ไปจนถึงการโต้ตอบกับลูกค้าโดยตรง

แม้ช่วยเพิ่มประสิทธิภาพ แต่ก็ทำให้รูปแบบความเสี่ยงเปลี่ยนไป เช่น ความเสี่ยงด้านคุณภาพข้อมูล ความเสี่ยงจากการพัฒนาโมเดลที่อาจเกิดความผิดพลาดหรือมีอคติ และความเสี่ยงจากภัยไซเบอร์ที่มุ่งโจมตีระบบ AI โดยตรง

แนวนโยบายฉบับนี้จึงกำหนดให้ผู้ให้บริการทางการเงินต้องมีการบริหารจัดการความเสี่ยงอย่างครอบคลุมในทุกขั้นตอนของวงจรชีวิต AI (AI Lifecycle) ตั้งแต่การเตรียมข้อมูล การพัฒนาโมเดล จนถึงการใช้งานจริง โดยมีหลักการสำคัญ 3 ประการ ได้แก่ ความเป็นธรรม จริยธรรม ความรับผิดชอบ และความโปร่งใส (FEAT Principles) การควบคุมความเสี่ยงในเชิงเทคนิค และการคุ้มครองผู้บริโภคอย่างเป็นธรรม

ในส่วนของ ธรรมาภิบาล (Governance) ธปท. กำหนดให้คณะกรรมการและผู้บริหารระดับสูงต้องรับผิดชอบโดยตรงต่อการกำกับดูแลความเสี่ยงจากการใช้ AI ทั้งการกำหนดนโยบายองค์กรที่สอดคล้องกับเป้าหมายและกฎหมาย การกำหนดบทบาทหน้าที่ของผู้เกี่ยวข้องอย่างชัดเจน และการประเมินความเสี่ยงอย่างต่อเนื่อง รวมถึงการกำหนดขอบเขตความเสี่ยงที่องค์กรยอมรับได้ (risk appetite)

นอกจากนี้ กรณีที่ AI ถูกนำมาใช้ในงานสำคัญ เช่น การอนุมัติสินเชื่อ หรือการโต้ตอบกับลูกค้า ต้องมีการกำกับดูแลแบบ “human in the loop” หรือ “human over the loop” เพื่อให้มนุษย์ยังคงมีบทบาทในการตัดสินใจขั้นสุดท้าย

ในด้าน การพัฒนาและความมั่นคงปลอดภัย (Development & Security) แนวนโยบายกำหนดให้สถาบันการเงินควบคุมคุณภาพข้อมูลที่ใช้ฝึกสอนโมเดล AI ให้มีความถูกต้อง ครบถ้วน และหลากหลาย ลดความเสี่ยงการสร้างผลลัพธ์ที่ไม่ถูกต้องหรือมีอคติ พร้อมทั้งป้องกันข้อมูลรั่วไหลด้วยมาตรการ เช่น data masking, hashing และ input sanitization ขณะเดียวกัน ต้องประเมินประสิทธิภาพของโมเดลอย่างต่อเนื่อง ทดสอบ edge cases และใช้เทคนิค retrieval-augmented generation (RAG) เพื่อจำกัดการให้ข้อมูลเท็จ (hallucination)

สำหรับการป้องกันภัยไซเบอร์ แนวนโยบายเสนอให้มีการติดตามและป้องกันการโจมตีที่เจาะจงระบบ AI เช่น Prompt Injection, Data Poisoning และ Adversarial Attack พร้อมยกระดับมาตรฐานการรักษาความปลอดภัยโดยอ้างอิงแนวทางสากล เช่น OWASP Machine Learning Security Top 10 และ OWASP Top 10 for LLM Applications

ธปท. ยังเน้นการคุ้มครองผู้บริโภคอย่างโปร่งใส โดยหากสถาบันการเงินนำ AI มาใช้ให้บริการลูกค้า ต้องแจ้งและเปิดเผยข้อมูลการใช้ AI ล่วงหน้า รวมถึงเปิดทางเลือกให้ลูกค้าสามารถปิดหรือข้ามการใช้งานได้ พร้อมจัดให้มีการให้ความรู้แก่ผู้บริโภคเกี่ยวกับการใช้บริการ AI อย่างปลอดภัย

ธปท. ต้องการสร้างสมดุลระหว่าง การสนับสนุนการนำนวัตกรรม AI มาใช้ในภาคการเงิน และ การควบคุมความเสี่ยงที่อาจเกิดขึ้น เพื่อให้สถาบันการเงินไทยสามารถแข่งขันได้ในระดับสากล โดยยังคงรักษาความมั่นคงของระบบและความเชื่อมั่นของผู้ใช้บริการ