6月18日,国家金融监督管理总局发布《关于银行业保险业人工智能安全开发应用的指导意见》,以32条意见、七大方面的体系化框架,回应了一个根本性问题:当AI替代人做出直接影响客户权益的判断时,安全边界在哪里?责任归属如何厘清?
文件的核心立场清晰——AI可以用,但必须合规、可控、有人兜底。
一、高风险场景的界定与准入——AI不是"自由准入区"
本次《指导意见》最具实质约束力的一条,是对高风险应用场景作出了明确界定。
高风险应用 = 涉及资金交易、资产评估、信贷审批、承保理赔、风险管理,以及所有与客户利益直接相关、直接影响金融合约达成的生成式AI应用场景。
其核心逻辑是:凡AI输出可直接改变客户经济权益或金融合约结果的场景,均须纳入高风险管理范畴。
高风险并不等于禁止使用,而是实施准入管理与全流程管控:
须经风险管理委员会审批后方可部署,不得未经审批上线运行
关键环节须建立人工监督和干预机制,确保AI决策具备可追溯的"人控兜底"
须明确紧急停用条件与模型退出机制,形成异常场景下的应急响应能力
须建立备用系统或人工替代流程,保障AI系统故障时业务连续性不受中断
概括而言:AI可以辅助决策,但人类监督者须始终在场,具备随时推翻AI输出的能力与权限。
二、数据安全红线——个人信息不得作为AI训练语料
在数据治理层面,《指导意见》划出了一条清晰的禁止性红线。
姓名、身份证号、手机号、银行卡号等个人信息和隐私数据,明确禁止用于生成式人工智能模型的训练和优化。
这意味着:金融机构在构建AI模型时,不得将可直接识别个体身份的数据作为训练语料,防范客户隐私泄露风险。
此红线并非孤立条款,而是嵌入完整的数据安全治理体系:
AI数据安全纳入金融机构企业级数据安全管理体系,实行一体化管控
严格落实数据分类分级保护要求,明确不同敏感度数据的可使用边界
规范数据访问权限,防范数据投毒攻击——避免恶意注入导致模型输出偏差
完善数据脱敏规范,确保训练数据无法反溯至个体
外包合作中的数据流转实行严格管控,合同须明确安全权责义务
这条红线的意义在于:金融机构的数据优势不能以牺牲客户隐私为代价转化为AI训练资源。
三、四项基本原则——构建"谁用谁负责"的责任闭环
《指导意见》确立了四项基本原则,构成金融AI开发应用的制度底座:
① 谁使用谁负责——金融机构作为AI技术使用方,须承担主体责任,不得将责任转移至AI供应商或技术服务方。
② 自主可控——关键平台与软硬件须提升自主研发与适配能力,降低对外部技术体系的过度依赖。
③ 务实高效——以业务价值提升为导向,科学规划AI投入,平衡成本与效益,避免技术投入与业务产出脱节。
④ 安全发展——严格落实网络安全和数据安全法律法规要求,安全是发展前提而非可选项。
其中"谁使用谁负责"原则尤为关键——无论AI模型复杂度如何,使用该模型的金融机构必须对最终结果承担完整责任。技术赋能不等于责任转移,AI是决策辅助工具,而非免责依据。
四、算力共享与行业生态——破解中小机构"数字化鸿沟"
值得关注的是,《指导意见》提出了鼓励大型金融机构向中小金融机构输出算力服务的明确导向。
其背后是金融数字化进程中一个结构性矛盾:大型银行已具备成熟算力基础设施与AI工程化能力,中小机构在算力投入、技术人才上存在明显短板,难以独立构建完整技术栈。
监管总局的解决路径体现务实逻辑:
大型金融机构可向中小机构输出算力服务,降低后者的技术基础设施门槛
同业之间可共建共享基础设施,探索集约化、降本增效的合作模式
在安全合规前提下,金融机构可使用国家算力节点或行业基础设施,借助公共资源降低研发成本
但算力共享并非无条件开放——输出方须加强信息科技重要外包管理,接受方须审慎权衡战略自主性与数据主权,防火墙机制与风险隔离设计不可或缺。
五、双红线——严禁虚假信息生成与市场价格操纵
严禁滥用AI技术生成虚假信息。
严禁滥用AI技术操纵市场价格。
这两条禁令直指AI在金融领域可能引发的系统性风险:生成式AI若被用于制造虚假市场信息,将干扰市场信息传导机制;AI驱动的投资策略若出现模型趋同效应,则可能在波动时引发集体性同向操作,放大系统性风险。
策略趋同并非理论推演——2020年美股"量化踩踏"事件中,多家量化基金因策略高度同构集体抛售,数分钟内道指暴跌近10%。AI时代模型同源趋势可能进一步加剧这一风险,《指导意见》的禁令正是对此的制度性回应。
六、治理架构——董事会直管,全生命周期管控
在组织治理层面,《指导意见》要求董(理)事会指定专门委员会对AI开发应用管理负责——AI治理上升至最高决策层,而非仅由科技部门承担。
同时要求建立AI全生命周期管理体系,覆盖开发、部署、运行、退出各环节,每个阶段均须有制度规范与合规验证。面向公众或高风险场景使用生成式AI的机构,还须向金融监管总局或其派出机构报告,确保监管适配能力与技术演进同步。
32条意见的本质不是限制技术,而是为金融AI加装安全锁、准入规程与责任闭环——
让金融AI朝着有益、安全、公平的方向演进。
这是监管的制度态度,也是数字金融行稳致远必须坚守的底线。
夜雨聆风