FINRA 的 2025 年年度监管监督报告:关注 AI、其他新兴风险领域和最佳实践
快速阅读: 据《JD Supra》称,2025年1月28日,美国金融业监管局(FINRA)发布年度监管报告,重点关注人工智能等新兴风险领域和最佳实践。报告强调公司需加强AI监督、防范偏见风险,管理第三方供应商风险,并调整监控系统以应对新操纵手段。该报告旨在帮助公司减轻监管风险并为2025年做准备。
2025年1月28日,美国金融业监管局(FINRA)发布了其年度监管审查报告。该报告突出了新兴的风险领域和最新发展、常见的合规问题以及会员公司的最佳实践。报告不仅因其指出了FINRA未来几个月可能重点关注的领域而重要,还因为它提供了关于公司应具备何种类型的控制措施、流程和监督框架来应对优先风险领域的见解。请参阅以下完整发布以获取更多信息。查看PDF
【律师声明】2025年美国金融业监管局年度监管报告:聚焦人工智能及其他新兴风险领域和最佳实践
2025年2月18日
作者:斯蒂芬妮·尼古拉斯,伊丽莎白·L·米切尔,迈克尔·J·利奥塔,安德烈·E·欧文斯,苏珊·施罗德,艾亚娜·道,约书亚·纳森松
2025年1月28日,美国金融业监管局发布了其年度监管报告。该报告不仅指出了美国金融业监管局在未来几个月可能关注的重点领域,还揭示了美国金融业监管局对控制类型、程序和监督框架的期望,这些框架公司应具备以应对优先风险领域和活动。今年,该报告特别强调了与使用人工智能(AI)相关的新的考虑因素,这涉及多个监管领域和活动——包括第三方供应商和外包、网络安全、公众沟通以及《最佳利益条例》。在本警报中,我们并未涵盖报告中的所有主题,而是讨论2025年报告中更为显著的新内容及我们的主要观点,我们将这些内容分为以下几方面:(1)使用AI工具和技术,(2)使用第三方供应商,(3)金融犯罪预防(网络安全、反洗钱和操纵),(4)销售和交易,以及(5)后台和运营(包括记录保存)。通过利用这些领域的见解以及报告中的总体信息,公司可以减轻其监管风险,并更好地为2025年做好准备。
1. 人工智能
2025年美国金融业监管局年度监管报告(2025年1月),可从https://www.finra.org/sites/default/files/2025-01/2025-annual-regulatory-oversight-report.pdf获取。
该报告将AI视为“持续和新兴趋势”,强调了美国金融业监管局致力于跟上不断发展的AI格局及其对行业的影响,并鼓励业界继续参与。同时,报告强调,美国金融业监管局的规则是技术中立的,适用于AI就像适用于任何其他技术和工具一样。如果公司根据其特定的生成式AI使用案例发现应用美国金融业监管局规则存在模糊性,报告建议公司寻求解释性指导并与他们的美国金融业监管局风险管理分析师联系。基于美国金融业监管局迄今为止的观察,该报告提出了使用或考虑使用生成式AI工具的公司应考虑的一些具体事项:
– 公司应注重企业层面的AI监督,以及个人关联人员的监督。
– 公司应考虑如何识别并减轻在使用生成式AI工具时可能出现的不准确或偏见的风险。
– 使用由第三方提供的基础AI模型的公司以及在其现有解决方案中包含生成式AI的第三方供应商必须继续确保符合适用的监管要求。
– 公司的网络安全计划应考虑:
– 与公司及其第三方供应商使用AI相关的风险,例如基于员工输入的提示导致客户个人信息和公司专有信息泄露的风险;
– 与威胁行为者可能利用AI攻击公司及其客户的潜在风险。与此点相关,报告包含了一个专门针对其所谓的‘恶意使用’生成式AI的警告框,突显了恶意行为者如何利用生成式AI放大对投资者、公司和证券市场的威胁,例如通过勒索软件攻击、业务电子邮件被篡改以诱使公司员工进行欺诈性转账、假冒骗局诱骗受害者向欺诈实体投资,以及通过社交媒体传播虚假信息来操纵市场。报告建议公司考虑与其员工和客户沟通此类威胁及他们可以采取的缓解措施。
2. 第三方风险图景
报告强调了第三方风险(外包)作为2025年新的监管重点。特别指出,美国金融业监管局注意到公司越来越多地依赖第三方供应商来履行受监管和不受监管的功能。与此同时,这些供应商遭遇的网络攻击和中断事件数量也在增加。美国金融业监管局担忧,第三方供应商的网络攻击或中断可能会影响到大量公司。值得注意的是,报告强调了许多有效管理第三方风险的做法,包括以下几点:
– 公司应对支持与关键领域(如信息技术和网络安全、反洗钱监控)相关的系统的第三方供应商进行合理的初始和持续尽职调查。这些过程应包括:
– 验证第三方供应商合同中的数据保护措施;
– 解决第三方供应商使用供应商(即第四方供应商)处理公司数据的问题;
– 询问潜在的第三方供应商是否在其产品或服务中整合了生成式AI,并评估其监管影响和响应;
– 审查并适当调整第三方供应商工具的默认功能和设置,以符合适用的监管要求;
– 评估第三方供应商保护敏感公司和客户非公开信息和数据的能力;
– 询问第三方供应商是否使用由第三方供应商提供的基础模型;
– 建立针对第三方技术供应商业务影响的监督控制,包括评估和应急计划。
– 公司应维护一份所有第三方服务(包括由第三方提供的硬件和软件组件)的清单,这份清单可以帮助公司评估第三方供应商发生网络安全事件或技术中断的影响。
SEC 2025年的考试重点同样集中在外包安排上。
操纵小型IPO中的交易成为新的风险领域。报告指出,在2024年,这些计划演变为包括操纵来自疑似名义持有人账户的小型IPO股票交易,并把这些股票转移至外国综合账户中以谋取利润。为帮助公司应对这些风险,报告提出了几个新的有效措施:
– 根据产品类别(包括上市和场外股票、期权及固定收益产品(如国债))调整监督系统和流程;
– 监控与可能与发行人有关联的客户账户相关的警示信号,例如(1)由小市值发行人推荐给承销经纪商的客户账户(特别是当同一高管或CEO出现在多个发行人中时),以及(2)发行者与客户账户之间的资金流动;
– 监控警示信号,表明(1)在IPO前私人资本筹集中的利益冲突(特别是在代理人控制股份的情况下),以及(2)未注册人员参与私人和公共发行的承销和销售活动。
在单独的加密货币部分,报告包含了一段关于恶意行为者利用投资者对加密的兴趣并从事类似于低价证券市场常见的操纵计划(如泵吸和倾销计划)的新讨论。报告没有提供更多的有效实践细节,但提及了关于涉及低价证券的警示信号的先前指导。
观察到的实例包括:
– 未能审查电子通信以发现关联人员可能使用非官方渠道沟通的迹象;
– 未能保存和审查与业务相关的短信记录;
– 依赖过于宽泛且未充分明确(1)哪些是允许和禁止的平台,(2)如何确定注册代表是否在未经批准的平台上进行商务沟通,以及(3)如果注册代表违反公司政策并在未经批准的平台上进行商务沟通时应采取的纠正措施的政策和程序;
– 审查电子通信时没有选取足够数量的样本或使用有针对性的关键字搜索;
– 未能审查成员在其业务中使用的非英语电子通信;
– 未能适当监督支持公司对其关联人员电子通信进行监控的第三方供应商,导致公司未能监督或保留这些通信;
– 未能发现关联人员使用个人电子邮件账户或其他非官方渠道与客户沟通以处理公司业务的情况。
关于新的有效实践,报告指出公司应制定程序来监测关联人员可能使用非官方渠道沟通的迹象(例如,在某些以前使用的公司批准的通信渠道或工具上的活动减少或停止)。此外,公司应考虑定期更新用于监控关联人员可能使用非官方渠道沟通的关键字,并根据其业务模式调整关键字搜索。
下载PDF [426KB]
电子邮件报告
加载PDF文件:如果遇到任何问题,请点击此处下载文件。
(以上内容均由Ai生成)
