2026 年 6 月 18 日,国家金融监督管理总局发布《关于银行业保险业人工智能安全开发应用的指导意见》(金发〔2026〕8号)。这是一份面向银行业保险业的人工智能治理文件,覆盖治理架构、开发应用、数据治理、算力建设、风险管理、安全能力、保障监督等方面。
监管要求共分八个部分、三十二条,可以按四层理解。第一层是治理责任,明确谁负责、谁牵头、谁审批;第二层是开发应用,覆盖需求、数据、训练、部署、运维和退出;第三层是风险控制,强调分类分级、高风险准入、人工监督、外包和供应链;第四层是监管保障,包括报送、监测、处置和年度评估。
监管机构在支持金融机构使用人工智能提升服务效率和风险管理能力的同时,要求金融机构把 AI 应用纳入既有全面风险管理体系,形成可登记、可分级、可准入、可监测、可干预、可追溯的管理闭环。
五类要求构成金融AI治理主线

重点要求
一是把人工智能纳入全面风险管理体系。
文件要求金融机构将人工智能风险纳入全面风险管理体系,定期开展人工智能应用风险及管理措施的评估审查。同时,董(理)事会应指定专门委员会对人工智能开发应用管理负责,并明确牵头部门和跨业务、科技、数据、风险等职能部门的协同机制。
解读:人工智能风险不能只由技术团队单独承担。业务部门要说明场景价值和客户影响,技术部门要说明模型、系统和运行边界,风险管理部门要判断是否进入高风险管理范围,数据部门要判断数据分类分级、脱敏和使用边界。
文件同时要求实施风险分类分级管理。金融机构应根据业务场景重要性、应用规模、对客影响度、模型依赖度、模型复杂度等因素识别风险,并制定应用清单和分级管控措施。
解读:落地时,可以先把 AI 应用分为低风险、一般风险和高风险,再对高风险场景单独设置审批、测评、人工复核、运行监测和退出要求。
二是建立高风险人工智能应用场景准入机制。
文件明确列出高风险应用,即涉及资金交易、资产评估、信贷审批、承保理赔、风险管理等,以及与客户利益直接相关、直接影响金融合约达成的生成式人工智能场景。高风险应用须经本机构风险管理委员会批准后方可实施。
解读:高风险 AI 需求不宜停留在业务条线或项目组审批,应形成一套需求准入流程,包括业务场景说明、风险等级、模型来源、数据使用范围、测评结果、人工监督安排、日志留存方案、紧急停用条件和人工替代流程。
在高风险应用关键环节建立人工监督和干预机制,明确紧急停用及模型退出条件,建立备用系统或人工替代流程。三是加强人工智能开发全生命周期管理。
文件要求金融机构建立覆盖需求分析、数据准备、训练开发、部署运行、维护迭代、评估退出的全生命周期人工智能应用管理体系。
解读:在需求阶段,要判断场景是否适合使用 AI、是否涉及客户权益、是否触发高风险准入。在数据准备阶段,要完成数据来源、授权、质量、脱敏和偏差检查。在训练开发阶段,要记录模型版本、训练数据、参数配置、评测结果和适用边界。在部署运行阶段,要监测性能、输出质量、安全事件和人工复核情况。在维护迭代阶段,要管理版本变更、回归测试和重新审批。在评估退出阶段,要定义停用条件、替代流程、回滚方案和历史记录留存。
四是严控人工智能数据安全训练和优化。
文件要求金融机构完善数据管理运营体系,建设高质量数据集,持续监测数据分布漂移;同时明确,姓名、身份证号、手机号、银行卡号等个人信息和隐私数据不得用于生成式人工智能模型训练和优化。
解读:个人客户信息保护是底线。对于客户身份信息、银行卡信息、交易流水等信息,应明确是否允许进入模型上下文,是否允许进入知识库,是否允许被日志记录,是否允许用于后续训练优化。
这一要求会直接影响大模型训练、微调、RAG 知识库建设、提示词上下文、运行日志和人工反馈回流。金融机构需要区分训练数据、测试数据、检索数据、推理上下文、日志数据和反馈数据,分别设置可用范围、脱敏要求、访问权限、留存期限和禁止用途。
五是强化人工智能外包和供应链管理。
文件要求,使用外部人工智能技术时,金融机构应在外包策略、数据安全、集中度管理等方面建立机制,通过合同协议明确安全管理方面的权责义务。对外包合作机构实行名单制管理,对引入的外部模型建立严格的内部评估框架。
解读:供应链管理不只看模型服务商,也包括算力、模型、数据、技术工具、开源组件、插件、向量数据库、推理网关、评测工具等。机构应建立供应商名单、开源软件管理台账、组件审查评估、代码审计、漏洞扫描、安全测试和退出预案,防止对个别服务形成过度依赖,也防止供应链投毒、后门组件和数据外泄。
拆解金融机构落地思路

金融机构如何做
对于金融机构而言,本文建议可以先从“可见、可分、可控、可证”四个方向推进。
第一,资产可见,建立人工智能应用资产清单。
应用资产管理方面,金融机构需要知道内部到底有哪些人工智能应用,清单至少应记录应用名称、业务场景、场景分类、需求部门、供应商、责任人、上线状态。
模型资产管理方面,对于外部引入的基础模型,金融机构应记录模型名称、模型分类、模型版本、模型使用协议、模型备案情况等信息,做好日志留存、服务连续性和退出机制。对于内部训练或优化的基础模型,还应保留训练数据来源、评测结果、适用范围和限制条件。
数据资产管理方面,金融机构应明确人工智能数据边界,即哪些数据可以用于训练,哪些可以用于检索,哪些只能用于推理上下文,哪些只能脱敏后使用,哪些不得进入模型训练和优化。知识库也要纳入数据资产管理。知识入库、审核、发布、更新、归档应有流程,避免模型引用过期制度、错误话术或无权访问的内部材料。
供应链资产管理方面,金融机构应建立对人工智能算力、模型、数据、技术工具等的供应链资产清单。特别是将人工智能开源组件、开源模型或第三方工具纳入现有的开源软件管理体系,建立开源台账,做好漏洞扫描、恶意代码检测和版本变更跟踪。
第二,风险可分,建立风险分类分级治理机制。
金融机构应建立人工智能高风险业务场景准入机制,建立业务应用场景风险分级清单,可以依据业务场景重要性、应用规模、对客影响度、模型依赖度、模型复杂度等决定性因素,同时增加数据敏感度、是否影响客户权益、是否触发资金或合同动作、是否面向公众服务、是否具备工具调用能力等辅助判断因素,确定业务应用场景风险等级。
分类分级的目的不是做形式评分,而是决定后续控制强度。低风险应用可以走常规业务需求审批,高风险应用则需要董事会风险管理委员会批准,并设置更严格的测评、复核、监测和退出管理及技术要求。
高风险业务场景需求层面应设置人工复核节点,完整保留原始数据、推理路径及阈值触发记录,确保责任可追溯。复核不是简单点击确认,而是要能看到模型依据、关键输入、阈值触发、历史版本和可解释信息。
高风险应用应完善业务连续性预案,准备紧急停用条件、备用系统、人工替代流程和客户沟通机制。模型故障、异常输出、供应商中断、数据污染或安全事件发生时,业务不能因为人工智能不可用而失去基本处理能力。
第三,过程可控,全生命周期管控应用开发。
金融机构应将人工智能应用纳入现有科技项目、业务需求、模型管理、数据安全和网络安全管理流程,形成覆盖立项、设计、开发、测试、上线、运行、变更、退役的全生命周期管控机制。
在立项和需求阶段,应明确应用目标、业务边界、使用对象、数据范围、模型来源、输出用途和责任主体。对于涉及客户权益、资金交易、合同生成、风险评估、投资建议、自动化决策或智能体工具调用的场景,应在需求阶段同步开展风险评估和合规审查,避免应用上线后再补控制措施。
在设计和开发阶段,应坚持最小权限、数据隔离、权限分层和安全默认原则。模型、知识库、插件、工具、接口、日志、缓存、记忆等关键组件应有清晰边界,防止模型越权访问数据、调用工具或影响核心业务系统。对于智能体类应用,还应明确可调用工具范围、操作权限、执行条件、人工确认节点和异常中止机制。
在测试和上线阶段,应开展功能测试、业务规则测试、安全测试、对抗攻击测试和输出验证。测试内容不仅包括模型准确率、稳定性和响应质量,也应覆盖提示词注入、上下文污染、越权访问、敏感信息泄露、多模态攻击、工具滥用、异常输出等风险。
在运行和变更阶段,应持续监控模型行为、调用链路、输出质量、异常告警、权限变更、知识库更新和供应商服务状态。对于模型故障、异常输出、数据污染、供应商中断或安全事件,应具备紧急停用、回滚、人工接管和客户沟通机制。
第四,防护可证,建立安全防护验证机制。
金融机构不仅要建立人工智能安全防护措施,还要能够证明这些措施真实存在、持续有效、责任可追溯。防护可证的重点,是将安全要求转化为可检查的制度、可执行的流程、可复核的记录和可验证的技术证据。
测评验证方面,应完善人工智能测评体系,建设测试工具链、测评指标和测试用例集,全面评估模型基础能力、金融业务支持能力、安全可靠性、合规性和稳健性。测评不应只停留在上线前,而应覆盖上线前评估、上线后监测、重大变更复测和定期复评。
安全检测方面,应持续开展漏洞扫描、组件检测、恶意代码检测、提示词注入测试、数据泄露测试、越权访问测试和供应链安全检查。开源模型、开源组件、第三方插件、外部接口和供应商服务应纳入统一安全检测范围,检测结果、整改措施和复测结论应形成闭环记录。
日志审计方面,应建立统一日志和审计机制,完整记录模型调用、数据访问、知识检索、工具执行、权限变更、人工干预、异常告警和处置过程。日志应满足安全审计、事件调查、责任认定和监管检查需要。对于高风险应用,应保留用户输入、模型输出、检索内容、工具调用、人工复核、版本信息和关键决策依据,确保业务全流程责任清晰、过程留痕、结果可追溯。
在制度层面,建议形成四类企业内部标准规范:
一是人工智能开发应用管理办法,明确组织架构治理职责和管理流程。
二是人工智能应用风险分类分级规范,明确高风险场景需求管控要求。
三是生成式人工智能安全技术规范,明确模型训练、应用开发、工具调用和日志留存等技术要求。
四是人工智能外包与供应链管理规范,明确供应商、开源组件、算力和模型服务的准入要求。
在执行层面,可以先抓四个底座:应用清单、风险分级、高风险准入、全链路留痕。把这四件事做好,后续的数据治理、模型测评、人工复核、供应链管理和监管报告才有基础。
落到执行层面,金融机构需要同时管理模型、数据、场景、人员、权限、供应商、日志和退出机制。AI 能力建设决定业务效率,AI 治理能力决定这些能力能否稳定、合规、可持续地进入核心金融业务。
夜雨聆风