轻微电算故障中如落实消费者保护措施可免责
“赋予首席信息安全官预算与人力权限”
金融公司在出于安全目的进行人工智能(AI)测试或执行安全补丁等过程中,即便发生轻微电算故障,只要已制定消费者保护措施,便可免于受到制裁。
金融委员会2日表示,已于上月30日召开免责审议委员会,就人工智能安全测试及安全补丁过程中发生的电算故障免责措施进行了审议并表决通过。金融委员会还称,已制定并发布包含金融公司应对人工智能安全威胁要点的指南——《前沿(尖端)人工智能安全威胁金融领域应对要领》。
免责措施的核心在于,出于安全目的使用人工智能时,即使发生电算故障,只要能够迅速恢复,并完善建立消费者保护体系,便可免于制裁。
免责对象包括:通过用于安全目的的人工智能开展安全测试,或针对金融委员会、金融监督院、金融保安院通报的安全漏洞,实施紧急安全补丁或进行与此相当的电算设备变更等情形。
免责条件将综合考虑是否针对轻微电算故障具备并落实快速恢复手段及消费者保护措施等因素。所谓轻微电算故障,是指依据检查与制裁规定施行细则,不属于制裁对象的信息技术(IT)事故中,满足无故意性、金钱损失不足1亿韩元、系统故障时间最长不超过4小时、除个人信用信息外客户信息泄露不足1万条等一定标准的情形。
快速恢复手段,是指已制定事前测试、遏制损害扩散及确保服务连续性的作业计划书,并向管理层报告的情形。消费者保护措施则是指已制定并落实面向客户的事前告知及损害救济方案。也就是说,通过官网、短信(SMS)等方式,事先向客户告知安全测试或补丁的时间、对象、内容及替代服务路径等,并在发生消费者损失时制定并执行救济措施的情形。
免责范围包括对机构及高管、员工的制裁与身份制裁,以及罚款等。不过,若依据《信用信息法》发生个人信用信息泄露事故,则无论是否适用免责措施,仍将依法实施制裁。
金融委员会还向金融公司发布了人工智能安全威胁应对要领指南。该指南涵盖六大领域的应对要领,包括:强化管理层责任、漏洞与补丁管理、资产与供应链管理、基于人工智能的防御自动化、金融业共同应对及韧性强化、遏制入侵扩散体系等。
金融委员会强调,金融公司由董事会和首席执行官(CEO)向首席信息安全官(CISO)赋予实质性的预算编制权和人力运营权限,是较为理想的做法。此外,还建议为监测人工智能安全威胁并实现快速应对,可组建并运营直属首席信息安全官的应对班组。
金融委员会相关人士表示:“期待通过发布免责方案和指南,推动金融业界更加积极、迅速地采取强化管理措施。”他还称:“包括全面解除网络分离监管在内,今后将积极推进多项政策任务,以支持金融业实现人工智能大转型。”
版权所有 © 阿视亚经济。未经许可不得转载,禁止用于AI训练及使用。