金融监管总局近日发布《关于银行业保险业人工智能安全开发应用的指导意见》,为金融机构在人工智能领域的开发应用划定明确规范。该文件聚焦银行业保险业,针对金融机构在人工智能应用中的风险防控、数据安全及业务合规等关键环节提出系统性要求,旨在推动数字金融高质量发展与科技创新深度融合。
根据《意见》,金融机构在开发生成式人工智能技术时,必须严格保护个人信息与隐私数据。文件明确禁止将姓名、身份证号、手机号码、银行卡号等敏感信息用于模型训练或优化,要求企业将人工智能数据安全纳入整体数据安全管理体系,通过数据分类分级保护、访问权限管控、脱敏处理等措施防范数据泄露风险。同时,金融机构需加强模型安全防护,建立内容过滤机制,并严格管理外包合作中的数据流动。
针对高风险应用场景,《意见》首次作出清晰界定。涉及资金交易、资产评估、信贷审批、承保理赔及风险管理等直接关联客户利益的领域,均被列为高风险范畴。此类应用需经金融机构风险管理委员会审批后方可实施,并在关键环节设置人工监督与干预机制,明确紧急停用条件和模型退出流程。面向公众服务或高风险场景使用生成式AI技术的机构,还需向监管部门报备。
在治理架构层面,《意见》要求金融机构董事会或理事会设立专门委员会负责人工智能开发管理,构建覆盖全生命周期的风险管理体系。这包括实施风险分类分级管理、穿透式管控关联交易风险、强化外包供应链安全等具体措施。监管部门将重点检查金融机构是否将AI风险纳入全面风险管理体系,并督促其建立高风险应用准入机制。
为提升行业整体安全开发能力,《意见》从七个维度提出要求:增强系统稳健性、提高算法透明度、促进模型可解释性、保障伦理公平性、强化数据安全防护、提升网络防御能力及完善业务连续性管理。金融监管总局相关负责人强调,金融机构需统筹业务创新与风险防控,避免因技术滥用引发市场波动或操纵价格等违法行为。
监管层面将同步升级配套措施。金融监管总局计划联合相关部门构建银行业保险业AI安全开发技术框架,制定分类分级管理标准及安全开发规范。各级监管机构将优化风险监测指标体系,加强跨部门数据共享,重点评估高风险场景应用,并通过定期评估机制确保监管适配性。监管部门将加大复合型人才培养力度,提升对AI风险的识别与处置能力。
此前,金融监管总局科技监管司在公开场合多次强调个人信息保护的重要性。此次《意见》进一步明确,金融机构需规范开发流程中的数据访问权限,防范数据投毒攻击,避免使用可直接识别个体的数据。对于外包服务中的数据安全,要求建立严格的管控流程,确保第三方合作符合监管标准。
