法規與監理 2025年5月

川普金融鬆綁埋雷?

黃允暐

2008年金融海嘯後,美國祭出DoddFrank法案強化金融監管,設立消費者金融保護局(CFPB)等新機構以防範重蹈覆轍,對大型銀行施加嚴格的資本、流動性及壓力測試要求。然而,川普於2017年上任後,將此視為對銀行業的過度限制,並於2018年簽署法案修正DoddFrank,大幅提高觸發嚴格監管的資產門檻至2,500億美元,使眾多中型銀行得以鬆綁。

這些措施不幸地為2023年美國中小型銀行倒閉潮埋下伏筆。矽谷銀行因資產規模未達2,500億美元,不需接受完整壓力測試與流動性要求,其風險管理未能及時應對利率上升與存戶過度集中問題,在48小時內因流動性危機、債務虧損及市場恐慌而迅速倒閉,成為美國歷來規模第二大的銀行倒閉案。Signature等中型銀行亦接連垮台,顯示2018年的監管鬆綁,使監理機制未能及時察覺並介入挽救。美國聯準會自行檢討報告指出:「2018年法案的通過與監管文化的鬆散,導致監理不足,削弱銀行的韌性。」這些銀行若仍受原本更高標準的監管,其風險應可更早發現並加以控制。

川普在第二任期推行「一增十減」的監管政策,也就是每增加1項新規定,就要廢除10項現有規定。這一政策由新設立的政府效率部與國會共和黨人共同推動,目的在大幅削減聯邦政府的監管權力。

川普已提名鮑曼(Michelle Bowman)擔任聯準會監管副主席,而鮑曼一直反對巴塞爾協議III提高大型銀行資本要求的條款,認為會提高銀行成本。她在2025年多次發表演講,主張「簡化監管框架」以「減少週期性波動」。此外,川普還撤換CFPB局長,財長貝森特被任命為代理局長,並下令停止CFPB所有監管行動。

CFPB自2011年設立以來,為保護金融消費者追回數百億美元不當收費與損害,例如2012年CFPB與美國聯準會聯手要求美國銀行就違規收費與貸款歧視問題賠償超過7.27億美元;2013年,花旗銀行因信用卡業務欺詐行為被要求償還7億美元給消費者;2016年富國銀行爆發假帳戶醜聞,CFPB對其處以1億美元罰款;2022年再針對富國銀行違反聯邦法律,向數百萬客戶收取不當費用,祭出總額超過37億美元的罰鍰與賠償。這些具體行動使CFPB成為打擊對金融消費者掠奪性放貸與金融詐欺的重要防線。CFPB功能停擺,金融產品透明度與消費者保障恐再度倒退至金融危機前的狀態。

支持銀行更深入加密資產市場,包含撤除SEC既有監管障礙,推動穩定幣合法化(如GENIUS法案),並納入比特幣作為國家儲備。儘管比特幣價格曾在川普就任後飆上歷史新高,但以FTX為例,加密資產業若缺乏治理與內控,在價格波動劇烈時,可能對涉入過深的金融機構帶來難以承受的風險。

此外,川普已明確表態將再次退出巴黎協定,並推動化石燃料產業復興,也就是反對永續金融監管的立場,因此去年底至今年初,美國六大銀行也退出淨零聯盟(NZBA)。但當氣候風險已成為國際監理重點時,若美國放棄對碳密集資產的風控要求,恐致相關ESG風險累積於偏差的貸款中。

美國作為全球金融體系的核心,一旦鬆綁監管,其影響不僅限於國內,更會透過資本流動、監理基準競逐、美元體系波動等管道,向全球外溢(Spillover)。當美國銀行因鬆綁規範得以承作更高風險業務,全球資金可能因此湧入美國以追逐高報酬,進而加劇資產價格波動與金融循環強度。台灣金融機構持有大量美國債券與資產,壽險業更仰賴美元部位以支應長期負債,一旦美國銀行因風險釋放遭遇流動性壓力,將牽動資產價格與避險成本,資產管理面臨考驗。

此外,美國若放寬對大型銀行的資本與流動性要求,可能導致歐洲與亞洲的銀行主管機關面臨「競逐式鬆綁」的壓力,形成監理鬆動風險的國際連鎖效應。2023年,美國延後巴塞爾資本協定III最終版本的實施,歐盟與英國亦因擔心競爭劣勢而跟進延後。

回顧台灣金融史,2005年雙卡風暴、2008年連動債損失與2014年至2015年TRF事件皆顯示,過度重視業績,忽略客戶適合度與產品風險,終將導致信任流失與損失擴大。

2005年銀行過度發卡與核貸,導致大規模信用風暴與社會民怨;2008年部分銀行推銷與海外指數連結的高風險結構型商品,未能清楚揭露潛在風險與流動性限制,造成投資客戶重大損失;而TRF事件則凸顯銀行在面對中小企業時,未正確評估客戶避險能力與風險理解度,使高槓桿外匯商品廣泛供不適格對象承作,最終因匯率反轉引發履約危機與企業倒閉。

這些教訓共同指向一個核心:風管內控鬆懈永遠都不能是藉口。金融創新與業務成長,唯有建立在產品審查嚴謹、內控獨立、風控到位的基礎上,才能支撐穩健長遠的經營。

面對美國監管鬆綁引發的國際風險傳導,台灣主管機關與金融體系應在三方面加強自身抵禦能力,首先是確保對金融消費者在金融商品銷售上的合適度管理,其次是加強風險集中控管、異常部位監測與情境壓力測試,第三則是確保法遵、風控與稽核單位的運作獨立性,定期與管理階層充分合作討論溝通,讓實質的三道模型得以發揮運作。

此外,金管會與中央銀行可推動具前瞻性的監理與AI應用,包含風險預警模型,針對新興資產、氣候風險、跨境套利行為等領域,提前進行更積極的風險預測與演練。若能在制度與應用兩方面同步強化,台灣將能有效消化國際風險外溢壓力,守住本土金融穩定的最終戰場。(本文作者為中華民國內部稽核協會理事長)

猜你喜歡

2025年11月

巨大案敲響人權盲點與供應鏈政治

巨大公司被扣查,揭示移工抵債式就業的制度性風險。人權治理已從社會責任躍升為國際市場的入門檻與地緣政治工具。
2025年9月

隱藏在工藝神話背後的勞工剝削

LVMH集團旗下頂級羊絨品牌Loro Piana,標榜「工藝神話」的品牌敘事卻與人權現實產生極端落差,也揭露義大利工藝與人權侵害的結構性矛盾。
2025年8月

AI的零點擊資安攻擊來了

「安全始於設計」原則,近年來已經逐漸在資安界扎根。與其在寫完程式之後,才用人工或自動化工具找出漏洞,還不如一開始就選擇那些在語言層級上本就無法寫出某些類型錯誤的程式語言。舉例來說,若捨棄各種已有數十年歷史的C語言,改用如Rust等較為現代的語言,便能從根本上排除大量的資安漏洞。然而,就在傳統軟體界逐漸接受這個新思維的同時,人工智慧的迅速崛起,卻大幅動搖了這項理念。一旦給了大型語言模型(LLMs)讀取或操作系統資源的權限,它卻可能出現邏輯來源不明、行為難以預測的狀況。有時候,這些風險可以靠修改提示語的上下文、交由其他模型進行驗證,或者為特定錯誤情境設計固定回應來處理。但因為LLMs背後的技術邏輯是由資料訓練出來的,不是人工設計的,這些方法只能頭痛醫頭、腳痛醫腳,無法用來確實防護整體資安。因此,大型語言模型的安全並不是靠設計就能確保不會出錯,而是靠統計方法降低出錯的機率。儘管這些都是眾所周知的危險,但直到2025年6月EchoLeak事件,這些風險才真正首次爆開。微軟Copilot自推出之初就充滿爭議,它的預設權限極廣,且不完全透明。其中最令人擔心的,就是使用Copilot+的電腦,會定期截取使用者的螢幕畫面,並搜尋畫面中的內容。Copilot+甚至還會自動掃描使用者的Email信箱,將冗長的內容整理成簡短摘要。EchoLeak攻擊就利用了這個功能。它向受害者發送電子郵件,而收件者甚至不需要打開Email或點擊任何內容,就可以製造資安界公認最難防範也最高明的「零點擊」(Zero-Click)攻擊。這封Email內含惡意指令,讓LLM反過來對自己發動攻擊,協助攻擊者搜尋系統上最機敏的資料,然後將這些資料外洩出去,在這段過程中它可以繞過許多原本保護機密資訊的安全措施。雖然這個漏洞目前並未在真實環境中被使用,而且微軟已經修補完成,但相同原理的攻擊,未來很有可能產生。EchoLeak攻擊的技術稱為「提示語注入」(Prompt Injection),也就是讓使用者透過特定語句,說服模型忽略系統的原始設定。最著名例子就是「忽略所有先前指令」。這種攻擊之所以難以預防,是因為LLM目前不具備有效的「輸入清理機制」(Input Sanitation)。傳統資料庫系統可以設計防線,讓系統將像「Drop Table」這類的語句視為純文字資料,而不是實際執行的刪除指令。但對LLMs來說,每一段文字都被一視同仁當作指令,沒有明確區分命令與內容。攻擊者正是透過這種混淆來下達他們真正的指令。專家正在開發一些針對提示語清理的解決方案,可能即將問世。德國研究團隊在2025年1月的論文中提出一個辦法:將系統內建的指令,轉譯成一種只有AI才能看懂的秘密語言。AI在處理語言時,會把大量的輸入壓縮進有限的語意空間,因而可能出現語意重疊的情況,使得看似亂碼的字串也會被模型認為具有特定含義,這種特性有點像是看到一個特定的雜訊畫面,卻能接收到某個具體意義。透過這類作法,模型能更明確區分內建系統指令與一般使用者的對話內容,避免將惡意語句誤認為內部指令。然而,這類方案依然基於大型語言模型的黑箱特性,專家目前還在爭論它到底算不算是本文一開始提到的「安全始於設計」的理想。假設這類方案能逐漸改良並逐漸推廣,類似EchoLeak的攻擊空間將會大幅縮小。但真正該擔心的是,LLM的資安漏洞無邊無際。根據開放網路應用安全計畫(OWASP)組織2025年提出的「LLM十大安全漏洞」(OWASP Top 10 for LLMs),提示語注入僅是最關鍵的一種攻擊方法,但並非唯一。當AI能夠主動幫我們執行的任務數量越來越多,種類越來越廣,「過度代理」(Excessive Agency)這類問題也將日益複雜,成為資安領域的重要挑戰。隨著AI深入各種工作流程,企業對它的管理方式將不再只是資安層面的防禦問題,會更像是新進員工的培訓與信任建立過程。剛導入的AI系統不宜立刻接手敏感任務,但若完全不建立起任何信任關係,企業恐怕也將錯失這場自網際網路以來最具顛覆性的技術革命。(作者為金融研訓院̮外聘研究員;譯者為劉維人)